di Nicola Vanin
Nel corso del tempo, i processi di incasso e pagamento hanno costantemente migliorato protocolli e procedure di sicurezza tanto che oggi fare acquisti on-line non rappresenta più una preoccupazione per i consumatori che si sentono normalmente tranquilli nell’usare carte ed app con cui stanno affinando anche il loro rapporto di confidenza.
Nel mondo del turismo, invece, c’è ancora un gap da colmare, soprattutto nei confronti dei paesi del nord Europa. Le aziende devono rafforzare i protocolli di protezione dati e prestare maggiore attenzione alla cyber security. Ad oggi il mondo del turismo vive di pagamenti elettronici, ogni prenotazione avviene prevalentemente utilizzando una carta di pagamento. Al contempo, e paradossalmente, questo mondo non ha prestato la dovuta attenzione alla messa in sicurezza delle transazioni e della gestione dei dati relativi alle carte di pagamento. Basterebbero dei semplici accorgimenti di buon senso per evitare danni ben peggiori, non è difficile trovare operatori del turismo che chiedono di inviare la carta di credito via e-mail ad esempio, oppure che conservano i numeri di carta in file senza nessun tipo di protezione per i dati personali e di pagamento.
Il problema, però, risiede nel fatto che il mondo del turismo è anche uno di quelli maggiormente bersagliati dagli hacker di tutto il mondo.
Recentemente, infatti, sono state rilevate infezioni personalizzate Trojan in Argentina, Bolivia, Cile, Costa Rica, Francia, Italia, Messico, Portogallo, Spagna, Tailandia e Turchia al fine di rubare i dati delle carte di credito degli ospiti dai sistemi alberghieri attaccati, nonché le informazioni finanziarie inviate da siti Web di prenotazioni di terze parti come Booking.com
La catena di attacco così specializzata prende il nome di RevengeHotels, un nome significativo che testimonia l’intento del gruppo.
I Trojan RevengeHotels sono in grado di scavare nei computer infetti, creando tunnel all’interno del server di comando e controllo (C2) dell’operatore e mantenendo la persistenza.
Un modulo aggiuntivo, soprannominato ScreenBooking e scritto dal gruppo, viene utilizzato per acquisire informazioni sulla carta di pagamento.
Ma come possono le aziende e i consumatori tutelarsi da questi spiacevoli casi?
In questi casi il buon senso dovrebbe darci i primi suggerimenti utili come, ad esempio, mai annotare numeri di carte su fogli lasciati incustoditi. Ma ovviamente non basta. I sistemi che gestiscono un pagamento con carta possono essere molto complessi, esistono standard internazionali come la PCI DSS che aiutano ad affrontare la messa in sicurezza di queste transazioni in maniera organica, strutturata e completa. Nascono da anni di esperienza sul campo da parte dei principali attori ed esperti del mondo della sicurezza IT e dei pagamenti elettronici.
Le aziende devono capire che investire in sicurezza porta prima di tutto valore per loro stesse.
