PANTHEK
BEKO

Black Friday alle porte, attenzione agli acquisti online: il caso AliExpress

Al Black Friday, che simboleggia ormai anche in Italia l’inizio della stagione dello shopping natalizio, non manca che una manciata di ore. Durante questo periodo, in cui i consumatori cercano occasioni online, visitano i siti di comparazione dei prodotti e, in generale, evitano il fastidio di centri commerciali affollati, lo shopping online non può che registrare un’impennata.

Ma l’attenzione deve rimanere alta. A un maggior utilizzo dei portali online, infatti, corrisponde anche un aumento di probabilità di incappare in attività criminali online. Per questo motivo  Check Point Software Technologies, società israeliana specializzata in sicurezza informatica, ha cercato di alzare l’asticella dell’attenzione generale rendendo nota una vulnerabilità scoperta lo scorso 9 ottobre dal team di ricerca di Check Point sul portale AliExpress che è stata poi risolta da AliExpress due giorno dopo, l’11 ottobre.

Con oltre 100 milioni di clienti e 23 miliardi di dollari di fatturato in tutto il mondo, AliExpress, parte del Gruppo AliBaba, è uno dei siti più popolari in cui fare acquisti online.
La nuova vulnerabilità consente ai cyber-criminali di colpire gli utenti di AliExpress inviando loro un link a una pagina web di AliExpress contenente del codice Javascript malevolo. Nel momento in cui si apre la pagina, il codice viene eseguito nel browser web dell’utente e quindi ignora la protezione di AliExpress dagli attacchi di tipo cross-site scripting utilizzando una vulnerabilità di reindirizzamento aperto sul sito web.

Teoricamente, i cyber-criminali potrebbero far partire questo attacco attraverso una campagna di phishing via e-mail, sfruttando il normale customer journey del cliente di AliExpress, senza che questo abbia il sospetto che qualcosa di insolito o spiacevole stia accadendo. I cyber-criminali potrebbero ad esempio far apparite il pop-up di un coupon con un’offerta sulla schermata iniziale – che gira sotto un sottodominio di proprietà AliExpress – chiedendo ai clienti di fornire dettagli della carta di credito per consentire un’esperienza di acquisto più agevole e più efficiente. Gli hacker, tuttavia, controllano esclusivamente questa finestra pop-up con tutti i dati della carta di credito inseriti direttamente a loro, non il sito di acquisti online.

Tutti i dettagli tecnici della vulnerabilità sono consultabili qui.

Ecco qui un video che spiega bene questi aspetti:

Dopo aver scoperto la vulnerabilità, i ricercatori di Check Point hanno immediatamente informato AliExpress che, vista la costante cura e attenzione nei  nei confronti della sicurezza informatica, ha agito rapidamente e risolto entro due giorni dalla falla, modalità che deve essere d’esempio per tutti i rivenditori online.

recenti report indicano che gli attacchi informatici ai siti di shopping online sono raddoppiati a partire dal 2016; i consumatori devono quindi essere consapevoli che la barba di Babbo Natale potrebbe non essere sempre bianca come sembra, e prestare la massima attenzione durante gli acquisti online in qualsiasi sito durante le festività natalizie.

BEKO
AIR TWISTER
DIFUZED
FIZZ
PALADONE
OTL
CROCKPOT
PANTHEK
ARCADE1UP