Il settore retail è da sempre nel mirino dei cybercriminali per rubare facilmente le informazioni relative alle carte di pagamento elettronico. Conferma questa tendenza il Data Breach Investigations Report 2023 di Verizon Business. Questa analisi, giunta alla sua 16ª edizione, ha esaminato il periodo compreso tra il 1° novembre 2021 e il 31 ottobre 2022, rilevando 16.312 episodi legati alla sicurezza e 5.199 violazioni.
Gli aggressori, che sono esterni (93%), rubano dati per motivazioni quasi esclusivamente finanziarie (vicine al 100%). Le informazioni più ricercate sono legate ai pagamenti, con una percentuale del 37% (in aumento rispetto al 24% del Dbir 2022), seguite dalle credenziali al 35%, in crescita rispetto al 25% del 2022. Ma vediamo in maggior dettaglio alcune delle informazioni presenti nel report.
Sottrazione di credenziali soprattutto dalle applicazioni Web
Nel settore retail sono stati registrati 406 incidenti, di cui 193 con conferma di divulgazione di dati rubati. Rileviamo che l'anno precedente gli incidenti registrati erano stati ben 629. I principali metodi di attacco sono stati l'intrusione nel sistema, il social engineering e gli attacchi alle applicazioni web, che rappresentano l'88% delle violazioni. I dati compromessi sono principalmente carte di credito (37%), credenziali (35%) e dati personali (23%). Le altre categorie complessivamente raggiungono il 32%.
È interessante notare che nonostante il furto di dati delle carte di pagamento sia la causa più diffusa ed abbia rappresentato il 37% delle violazioni di quest'anno, il trend continua ad essere decrescente dal picco del 2018. Tuttavia, c'è stato un aumento significativo rispetto all'anno precedente. Andando a vedere i punti nei quali si concentrano gli attacchi, scopriamo che i dati vengono rubati per il 70% dalle applicazioni web, per il 17% dai distributori di benzina e per l'8% dai server PoS. Le motivazioni sono principalmente finanziarie (quasi il 100%), con una piccolissima percentuale legata allo spionaggio (1% scarso). Gli aggressori sono principalmente esterni (93%), ma vi sono anche attori interni (6%) e partner (1%).
Ascesa degli attacchi skimming
Per quanto riguarda le tecniche usate dai malfattori, ransomware e sottrazione di credenziali dominano con il 40%. Tuttavia, un'osservazione più dettagliata rivela una caratteristica distintiva in questo settore: la categoria "altro" rappresenta una delle principali modalità operative, con una percentuale superiore al 40%.
Questa situazione può essere attribuita alla varietà di tattiche usate per lanciare attacchi ransomware o per acquisire dati di pagamento. In particolare i malfattori noti come Magecart, specializzati nell'inserire del malware skimming nelle pagine di pagamento/checkout, intercettano e rubano le informazioni di pagamento (credit card) inserite dagli utenti, mettendo a rischio l’eCommerce. Questo tipo di attacco costituisce attualmente il 18% delle violazioni nel settore retail. Vale infine la pena notare che si attendono grandi benefici dallo standard di sicurezza dei dati come lo Standard PCI DSS 4.0 della Payment Card Industry (Pci), che dovrà essere adottato universalmente entro il 31 marzo 2025.
Aziende piccole e grandi con stesse infrastrutture
Un’osservazione a livello macroscopico riguarda l’avvicinamento del profilo di rischio tra aziende grandi e piccole. a causa dell'uso di servizi e infrastrutture simili, infatti, Pmi e grandi stanno diventando sempre più simili nelle loro superfici di attacco. Ovviamente il profilo di attacco è cosa diversa dalla capacità di rispondere alle minacce, che varia a seconda delle risorse disponibili.
Nell’indagine Dbir 2023 l'attenzione è stata posta sull'implementazione dei controlli di sicurezza per Pmi di diverse dimensioni. In particolare le imprese con meno di 1.000 dipendenti hanno registrato 699 incidenti, con il 92% delle violazioni derivanti da intrusioni nel sistema, ingegneria sociale e attacchi di base alle applicazioni web. Gli attori delle minacce sono principalmente esterni e motivati da ragioni finanziarie. I dati più compromessi sono le credenziali.
