Oltre 150.000 siti web di piccole imprese statunitensi potrebbero essere infettati da malware in qualsiasi momento: ecco come proteggere il vostro
Secondo un recente rapporto, le vittime delle piccole imprese sono state coinvolte nel 43% delle violazioni di dati nel corso di un anno.
Era il 2 marzo 2016 e la giornata di Melissa Marchand a Cape Cod era iniziata come tutte le altre. Si era recata al lavoro presso la Hyannis Whale Watcher Cruises con la sua berlina di media cilindrata, aveva preso un cappuccino con l’1% di latte nella caffetteria locale e si era seduta alla scrivania per controllare la posta elettronica. Poi, Marchand ricevette la telefonata che nessun manager di siti web vorrebbe mai ricevere: Il sito non funzionava e nessuno sapeva come ripararlo.
Dopo aver contattato il provider di web hosting, le notizie sono andate di male in peggio: Whales.net era stato violato e, con orrore, tutti i visitatori venivano reindirizzati a siti porno. Google aveva persino segnalato i risultati di ricerca dell’azienda, avvertendo i potenziali clienti che il sito poteva essere stato violato.
«È stato un incubo totale: non avevo idea che potesse accadere una cosa del genere», ha dichiarato Marchand in un’intervista a Entrepreneur. «Direi che il 75-80% delle nostre prenotazioni avviene online, quindi quando il nostro sito non funziona, siamo proprio in un vicolo cieco».
Su suggerimento del fornitore, Marchand ha chiamato SiteLock, un’azienda che si occupa di sicurezza dei siti web, e ha concesso ai suoi rappresentanti l’accesso al sito. SiteLock ha scoperto che gli hacker avevano sfruttato un buco di sicurezza in un plugin di WordPress, che ha dato loro l’accesso necessario per reindirizzare i visitatori verso siti web volgari.
Alla fine della giornata lavorativa, Marchand era seduta in macchina nel parcheggio della sua palestra, parlando al telefono con un rappresentante di SiteLock per rivedere il piano d’azione. Finalmente sentiva che le cose sarebbero andate bene.
Nel giro di tre giorni, Whales.net è tornato a funzionare, anche se ci sono volute altre tre settimane perché Google rimuovesse l’avviso di blacklist dai risultati di ricerca dell’azienda.
L’attacco ha colpito circa un mese prima dell’inizio della stagione dell’osservazione delle balene, a metà aprile, e anche se non si trattava di un’alta stagione, l’azienda ha comunque perso la possibilità di prenotare in anticipo i gruppi di turisti da parte di scuole e campi. Marchand ha stimato che l’attacco ha fatto perdere all’azienda circa il 10% degli affari di marzo e aprile.
Un rischio per le piccole imprese di tutto il mondo
Secondo un rapporto di Verizon del 2019, i proprietari di piccole imprese sono stati vittime del 43% delle violazioni di dati tracciate tra il 1° novembre 2017 e il 31 ottobre 2018. Il rapporto ha monitorato gli incidenti di sicurezza in tutti i settori, ma quest’anno i settori più vulnerabili sono stati il commercio al dettaglio, le strutture ricettive e la sanità.
Come si presenta il problema su scala nazionale? Se prendiamo la dimensione del campione di siti infetti che SiteLock ha dichiarato di aver trovato nel 2018 — circa 47.244 su 6.056.969 controllati — e applichiamo tale percentuale ai 30,2 milioni di siti web di piccole imprese stimati nel Paese, meno il 36% stimato che non ne ha uno, possiamo stimare approssimativamente la quantità di siti web infetti di piccole imprese a circa 150.757.
Come proprietari di una piccola impresa, potreste non credere che qualcuno prenda di mira il vostro sito web, ma è proprio così: è probabile che i malintenzionati non stiano cercando il vostro sito in modo specifico, ha dichiarato Mark Risher, responsabile della sicurezza degli account di Google.
«A volte parliamo della distinzione tra obiettivi di scelta e obiettivi casuali», ha detto Risher. «Gli obiettivi casuali sono quelli in cui l’aggressore cerca di fare qualsiasi cosa, camminando nel parcheggio per vedere se le portiere delle auto si aprono. L’obiettivo di scelta è quando si concentra su un’auto scintillante e appariscente, ed è quella che vuole scassinare, provando i finestrini, le portiere… il tettuccio apribile. Credo che per le piccole imprese ci sia la tentazione di pensare: «Nessuno mi sceglierebbe mai, quindi me la caverò in modo anonimo». Ma il problema è che non tengono conto del grado di automazione che gli aggressori stanno utilizzando».
Secondo la ricerca di SiteLock, anche i siti web meno trafficati subiscono una media di 62 attacchi al giorno. «Questi criminali informatici ora gestiscono davvero le aziende», ha dichiarato Neill Feather, presidente dell’azienda. «Con la crescente facilità di automazione degli attacchi, è altrettanto redditizio compromettere 1.000 piccoli siti web che investire il proprio tempo per cercare di comprometterne uno di grandi dimensioni».
John Loveland, responsabile della sicurezza informatica di Verizon e uno degli autori del rapporto sulle violazioni dei dati, ha dichiarato che dalla prima pubblicazione del rapporto, avvenuta 12 anni fa, ha riscontrato una netta impennata degli attacchi alle piccole e medie imprese. Poiché il malware, il phishing e altri attacchi sono diventati «più comuni e più facilmente accessibili agli hacker meno qualificati», ha affermato, «si è aperto un varco… per tipi di obiettivi che potrebbero essere preziosi».
Che cosa ci guadagnano gli hacker? Non si tratta solo di informazioni potenzialmente lucrative sui clienti e sulla cronologia delle transazioni. C’è anche l’opportunità di armare la reputazione del vostro sito web. Ospitando il malware su un sito web precedentemente affidabile, un hacker può aumentare la diffusione di un attacco — e amplificarne le conseguenze — potenziando l’ottimizzazione del malware sui motori di ricerca (SEO). Secondo Risher, possono infettare i visitatori che cercano il sito in modo organico o che vi accedono tramite link di newsletter, articoli o altre aziende.
Anche se si esternalizzano alcuni aspetti dell’azienda, ad esempio la rendicontazione dei tempi e delle spese, le risorse umane, l’archiviazione dei dati dei clienti o le transazioni finanziarie, non c’è garanzia che le informazioni siano al sicuro quando il proprio sito web viene compromesso. Loveland ha dichiarato di aver riscontrato un aumento delle e-mail di phishing specificamente progettate per catturare le credenziali degli utenti per gli account di posta elettronica basati sul web, gli strumenti CRM online e altre piattaforme, e le segnalazioni di compromissione delle credenziali sono aumentate del 280% dal 2016, secondo un’indagine annuale della società di software Proofpoint.
Come proteggere se stessi e i propri clienti
Come possono i proprietari di piccole imprese proteggere se stessi e i loro clienti? Dal momento che gran parte dei cyberattacchi può essere attribuita all’automazione, mettere in atto protezioni di base contro il phishing, il malware e altro ancora può aiutare il vostro sito a non cadere nella via di minor resistenza.
Ecco cinque modi per migliorare la sicurezza informatica della vostra piccola impresa.
1. Utilizzate un gestore di password.
Esiste una quantità esaustiva di consigli sulle password che circolano nell’etere, ma il più importante è questo, ha detto Risher: Non riutilizzare la stessa password su più siti. È una regola difficile da rispettare per comodità — soprattutto perché l’86% degli utenti di Internet dichiara di tenere traccia delle proprie password attraverso la memorizzazione — ma gli esperti di sicurezza informatica raccomandano i gestori di password come soluzione efficiente e sicura. I gestori di password gratuiti sono LastPass, Myki e LogMeOnce.
2. Impostate metodi di recupero dell’account e-mail per proteggervi dagli attacchi di phishing.
Gli attacchi di phishing sono un problema di cybersecurity che si protrae nel tempo, sia per le grandi che per le piccole imprese: L’83% degli intervistati nell’indagine annuale sul phishing di Proofpoint ha dichiarato di aver subito attacchi di phishing nel 2018, con un aumento rispetto al 76% dell’anno precedente. L’adozione di una cultura più consapevole del cyberspazio, che comprende la vigilanza per identificare potenziali attacchi di phishing, link sospetti e mittenti fasulli, è fondamentale per la sicurezza delle e-mail.
Se siete utenti di Gmail, una recente ricerca dell’azienda suggerisce che l’aggiunta di un numero di telefono di recupero al vostro account potrebbe bloccare fino al 100% dei cyberattacchi provenienti da bot automatici, il 99% degli attacchi di phishing in massa e il 66% degli attacchi mirati. È utile perché in caso di accesso sconosciuto o sospetto, il telefono riceverà un codice SMS o una richiesta di verifica sul dispositivo. Senza un numero di telefono di recupero, Google si affiderà a sfide più deboli, come il ricordo della posizione dell’ultimo accesso, e anche se questo blocca la maggior parte degli attacchi automatici, l’efficacia contro il phishing scende al 10%.
3. Eseguite il backup dei dati per proteggervi dal ransomware.
Il ransomware — un attacco informatico in cui un hacker trattiene l’accesso al computer e/o i dati in cambio di un riscatto — ha dato il via a una «frenesia di attività legate alla criminalità informatica incentrate sulle piccole e medie imprese», ha dichiarato Loveland. In effetti, secondo il rapporto di Verizon, è la seconda varietà di azione malware del 2019 e ha rappresentato il 24% degli incidenti di sicurezza. Gli hacker in genere la considerano un’opzione potenzialmente a basso rischio e alta remunerazione, quindi è importante avere delle protezioni in atto per un attacco di questo tipo: in particolare, avere un backup completo dei dati in modo da non essere alla mercé dell’hacker. Strumenti come Google Drive e Dropbox possono aiutare, così come programmi di backup automatico come Code42 (tutti a pagamento). È anche possibile acquistare un disco rigido esterno ad alto contenuto di memoria per eseguire il backup autonomamente.
4. Utilizzate uno strumento di sicurezza DNS dedicato per bloccare i siti sospetti.
Poiché i computer possono comunicare solo attraverso i numeri, il sistema dei nomi di dominio (DNS) è parte integrante di Internet, in quanto funge da «traduttore» tra un nome di dominio inserito e un indirizzo IP risultante. Il DNS non è stato originariamente progettato pensando alla sicurezza di alto livello, quindi l’utilizzo di un DNSSEC (DNS Security Extension) può aiutare a proteggersi da siti web sospetti e da reindirizzamenti derivanti da malware, attacchi di phishing e altro. Questi strumenti verificano la validità di un sito più volte durante il processo di ricerca del dominio. Sebbene i provider di servizi Internet forniscano in genere un certo livello di sicurezza DNS, gli esperti sostengono che l’utilizzo di uno strumento DNSSEC dedicato sia più efficace, e le opzioni gratuite includono OpenDNS e Quad9 DNS. «Si tratta di una mossa a basso costo e non impegnativa che può evitare che le persone si rivolgano a indirizzi IP sbagliati», ha dichiarato Loveland.
5. Considerate la possibilità di iscrivervi a una società di sicurezza per siti web.
Pagare un abbonamento mensile a un’azienda che si occupa di sicurezza dei siti web può non essere l’ideale, ma potrebbe ripagarsi in termini di perdita di affari dovuta a un attacco al sito. Ridurre la vulnerabilità degli attacchi significa installare il più tempestivamente possibile le patch di sicurezza e gli aggiornamenti per tutti gli strumenti online, il che può essere difficile per gli impegni di un piccolo imprenditore.
La tentazione di un piccolo imprenditore è quella di dire: «Sono abbastanza abile, posso farlo da solo»», ha detto Risher. Ma la realtà è che, anche se siete molto tecnici, potreste non lavorare 24 ore su 24 e… vi state facendo carico della manutenzione e del monitoraggio 24 ore su 24, 7 giorni su 7″. È sicuramente denaro ben speso avere una grande organizzazione che lo fa per voi».
