Shopping online, 4.700 siti fasulli mettono a rischio privacy e sicurezza degli utenti in occasione del Black Friday
In occasione del Black Friday e delle molte altre offerte allettanti che si trovano su internet nel periodo delle festività natalizie, il rischio è quello di abbassare il livello di attenzione, soprattutto per quanto riguarda privacy e sicurezza online.
Gli esperti di EclecticlQ hanno rilevato una rete di quasi 4.700 siti di shopping fasulli in Usa ed Europa che, ben camuffati e con sconti “imperdibili”, che sono stati messi online esclusivamente con lo scopo di rubare i dati delle carte di credito. Creati da un gruppo hacker cinese, SilkSpecter, essi copiano la grafica di siti legittimi di noti marchi e indirizzano per gli acquisti verso loro pagine che rubano i dati.
Se si è interessati alle offerte proposte, invece di andare su link non affidabili, è bene andare direttamente sui siti dei marchi menzionati, e verificare l’offerta direttamente sugli store ufficiali.
I siti fake in questione sono stati creati ad arte con un phishing kit. I siti di shopping copiano il design di noti brand come North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA e Gardena. Il kit permette di rilevare la posizione geografica dell’utente e quindi di cambiare automaticamente la lingua dell’interfaccia.
Come domini di primo livello vengono spesso usati i domini .shop, .store, .vip e .top che non sono associati ai siti di e-commerce ufficiali (quasi tutti hanno infatti .com), e in molti casi nel nome di dominio c’è la stringa “blackfriday“ per dare a intendere che si tratta di una pagina web dedicata alle promozioni del periodo di saldi, nonché per ottenere maggiore indicizzazione ed essere trovati più facilmente dagli utenti che sono a caccia di promozioni.
La regola aurea è di non fare mai acquisti su siti che non si conoscono bene, specialmente se non hanno una sede in un paese dell’Ue, e verificare sempre le recensioni lasciate da chi ha già comprato da quel venditore.
Oltre questo, quando si fanno acquisti online è importante stare in guardia sui pericoli del furto dei dati personali, soprattutto quando si devono usare le carte di credito.
Potrebbe essere opportuno usare solo carte prepagate che hanno credito sufficiente solo per lo specifico acquisto.
I cybercriminali usano anche tool di tracking, come OpenReplay, TikTok Pixel e Meta Pixel, per monitorare il comportamento dei visitatori e monitorare l’efficacia degli attacchi.
Diversi siti di phishing integrano Stripe per l’elaborazione dei pagamenti. Per sfruttare gli sconti (fino all’80%) è necessario inserire i dati personali, mentre per completare l’acquisto vengono richiesti i dati della carta di credito (numero, data di scadenza e codice CVV). L’ignara vittima deve infine aggiungere il numero di telefono che verrà successivamente usato per ottenere il codice di autenticazione a due fattori tramite attacchi di smishing o vishing.
Inoltre, è importante non abbassare la guardia anche quando si fanno acquisti dai siti web più noti, dato che un’indagine della Commissione UE dello scorso anno ha evidenziato che il 37% dei siti di shopping online usano i “Dark Pattern” per indurre gli utenti a prendere decisioni contro i loro interessi o per farli rinunciare alla loro privacy.
Sono infatti numerosi i “trucchetti” a cui siti ed app di shopping online ricorrono per spingere i consumatori a fare acquisti frettolosi e senza ragionare sulla reale convenienza che hanno se comprano il prodotto reclamizzato, e abbondano anche escamotage studiati per indurre gli utenti a rinunciare alla loro privacy senza dare loro le informazioni in modo trasparente, come richiederebbe invece il GDPR per metterli in grado di decidere consapevolmente se e quando fornire i propri dati personali.
