Sicurezza, Cartasì: società milanese specializzata nella sicurezza informatica e nello sviluppo di siti per il commercio elettronico ha scoperto una grave falla di sicurezza sul sito Cartasì che potrebbe essere usata da malintenzionati per carpire dati e/o denaro
Gli esperti di Accomazzi.net, realtà specializzata nel commercio elettronico e nella sicurezza informatica, hanno scoperto e già segnalato all’azienda un gravissimo errore di progettazione nel sito di CartaSì utilizzato per il commercio elettronico. L’errore consente a qualsiasi malintenzionato di usare facilmente il sito CartaSì per truffare i navigatori tramite il phishing.
Vedere per credere
Per una dimostrazione pratica e impressionante di cosa sia possibile fare grazie all’errore di progettazione, è sufficiente visitare l’indirizzo http://goo.gl/3aYIzc, creato dagli esperti di Accomazzi.net. Come noteranno immediatamente i più attenti, questo è davvero il sito di Cartasì, con tanto di certificato VeriSign che dichiara sicura la connessione e scritta verde che verifica che l’azienda è stata certificata da un’autorità. Quindi il navigatore medio non può certo immaginare che in realtà sta leggendo una pagina concepita da qualcun altro.
La scoperta è particolarmente rilevante in questo periodo, durante il quale secondo le stime del Consorzio Netcomm circa 10 milioni di italiani faranno acquisti online per un controvalore stimato in 2,4 miliardi di euro, per lo più utilizzando la carta di credito (secondo uno studio del 2012, CartaSì era il secondo sito in Italia con il 27% del mercato). Il sito CartaSì KeyClient è tra i più usati in Italia dai venditori web indipendenti, cioè quelli che non si appoggiano a un centro commerciale online come Amazon. Il valore del fatturato e-commerce in Italia nel 2013 è stato stimato in 22,3 miliardi di Euro.
Come evitare la truffa? Quattro regole d’oro per navigatori e aziende
Non sempre è facile o immediato rendersi conto se il sito con cui ci si collega è davvero quello della banca o del negozio online, oppure se è stato hackerato.
Gli esperti di Accomazzi.net suggeriscono a tutti i navigatori alcune semplici regole per limitare fortemente la possibilità di finire truffati. Eccole:
1. Non seguire i link (trovati in posta e sul web) per raggiungere un sito di commercio elettronico, ma invece digitarne il nome da zero. L’accorgimento impedisce al navigatore di finire su siti maligni dal nome ingannevolmente simile a siti onesti.
2. Accertarsi che tutte le pagine web su cui si lasciano i propri dati siano contrassegnate dal lucchetto chiuso, che deve trovarsi nella barra degli indirizzi e non sotto. Non scrivere mai in una mail le proprie credenziali di accesso (ID e password) e in generale dati sensibili.
3. La presenza del lucchetto in colore verde, o del nome del sito in colore verde, indica che un’autorità ha recentemente verificato che l’azienda esiste da almeno cinque anni e non ha in corso procedura di fallimento.
4. Mantenere aggiornato il programma con cui si naviga il web. Alcuni, come Firefox e Google Chrome, si aggiornano automaticamente se viene dato il permesso.
Per le aziende che hanno un sito di commercio elettronico, i consigli di Accomazzi.net
1. Dotarsi di certificazione https e usarla per erogare tutte le pagine del sito, non soltanto quelle dove viene mostrato il carrello o richiesti i dati anagrafici del cliente;
2. Utilizzare un software dedicato e non una soluzione generica per siti web (come WordPress o Joomla) nel quale viene installata una estensione per il commercio elettronico;
3. Nello sviluppo e hosting del proprio sito web appoggiarsi solo a un fornitore con provata competenza nella sicurezza informatica, che contrattualmente dovrà monitorare il sito e mantenere aggiornato il software;
4. Verificare che chi sviluppa e/o eroga il sito abbia fatto verificare la propria realizzazione a una azienda terza, o far eseguire direttamente un controllo del genere.