LA SICUREZZA INFORMATICA: DIMINUIRE I RISCHI CON SISTEMI DI CONTROLLO EFFICIENTI E CON LA CONOSCENZA Dino Elisei (Amm. Keypass S.r.l.) Vice Presidente Manageritalia Ancona Gli strumenti utilizzabili per una navigazione sicura nel mondo del lavoro e nelle famiglie
Il 9% degli italiani è vittima di furto di identità online La metà degli italiani che sono stati vittima di frodi online sono ancora in causa in attesa di ricevere un risarcimento Come i certificati SSL con EV possono migliorare la sicurezza dei siti Aziendali
Gli argomenti sul tavolo + Il problema Gli effetti del Phishing sul business online Azioni per un efficace soluzione + La Soluzione: Extended Validation (EV) SSL Cos è Come appare sul browser Come funziona Come ottenerlo
Che cos è Extended Validation SSL? + Il più importante cambiamento nel mondo dell e-commerce negli ultimi 10 anni + Una nuova classe di certificati SSL + Un passo da gigante nel riportare la fiducia dei consumatori nel mercato online + Una nuova formidabile arma per combattere il phishing
Il mercato online ha un problema + La crescita esponenziale del Phishing I siti di phishing sono arrivati a 38,514 (un incremento dell 89% in 18 mesi)1 + Il risultato è un aumento della sfiducia dei consumatori Il 78% dei consumatori teme un furto d identità (Europe) Il 43% ha subìto un furto d identità o conosce qualcuno che lo ha avuto4 L 84% crede che le Aziende non facciano abbastanza per proteggere i loro acquisti on line2 Il 24% non acquista prodotti on line2 I consumatori hanno bisogno di essere certi di non trovarsi su un sito phishing 1. Anti-Phishing Working Group, December 2007 2. Forrester Research, December 2005. http://www.internetretailer.com/article.asp?id=17763 3. Why Phishing Works, April 2006. http://people.deas.harvard.edu/~rachna/papers/why_phishing_works.pdf
Anti-Phishing Working Group + Anti-Phishing Working Group From Wikipedia, the free encyclopedia + L Anti-Phishing Working Group (APWG) è un Consorzio Internazionale che raggruppa le Aziende che subiscono maggiormente gli attacchi di Phishing, Aziende del settore della sicurezza informatica, Agenzie Governative ed Associazioni di consumatori. + Fondato nel 2003 da David Jevans l APWG annovera più di 3.200 associati provenienti da più di 1.700 Aziende ed Agenzie Governative in tutto il mondo. Il Consorzio annovera, tra le altre, Aziende leader nel settore della sicurezza informatica quali Symantec, McAfee, VeriSign e IronKey e della Finanza quali ING Group, VISA, Mastercard e l American Bankers Association.
Le Aziende Leaders hanno risposto alla chiamata! + L incremento più alto di siti Phishing ad Aprile 2007 + L Anti-Phishing Working Group ha documentato uno stupefacente aumento di 55,643 nuovi attacchi di Phishing nell Aprile del 2007. Il più grande attacco di phishing di sempre nella storia ed un aumento di ben 14 volte in 18 mesi.
Le Aziende Leaders hanno risposto alla chiamata! + Il secondo attacco di Phishing di sempre nel Giugno del 2009 + Il numero di siti Phishing scoperti nel Giugno 2009 ha raggiunto i 49.084, il secondo più alto numero da quando APWG ha cominciato le sue rilevazioni. + http://www.antiphishing.org/
Le Aziende Leader nel settore hanno risposto alla chiamata! + Il CA / Browser Forum ha deciso di creare un nuovo standard per i certificati SSL. CA / Browser Forum è un gruppo di primarie Certification Authorities e Internet Browsers. www.cabforum.org + Ora i Certificati SSL possono essere emessi con lo status EV (Extended Validation) + Compatibile con il passato Le versioni più datate dei Browsers mostrano il certificato come le versioni più recenti.
Come il Cliente percepisce l EV
Come il Cliente percepisce l EV
Come il Cliente percepisce l EV
Firefox 3
Firefox 3
Opera 9.5
Google Chrome beta 1
Google Chrome e i certificati self-signed
Gli utenti di Internet hanno risposto molto favorevolmente alla barra verde + Nel Gennaio 2007, Tec-Ed ha effettuato una ricerca sulle abitudini di 384 acquirenti on line. + Sono stati misurati i loro comportamenti su siti web con e senza la barra verde Il 100% del campione si accorge se il sito web visualizza la barra verde Il 93% preferisce acquistare sui siti che visualizzano la barra verde Il 97% inserisce più facilmente la sua carta di credito su siti che hanno la barra verde ed al contrario solo il 63% lo fanno su siti che non ce l hanno. Il 77% esita ad effettuare acquisti su siti che in precedenza avevano la barra verde
Internet Explorer 7: schema dei colori anti Phishing
Sito sospetto
Sito Phishing riconosciuto
Extended Validation / Case Studies 28 case studies in 11 differenti Paesi hanno dimostrato un aumento delle transanzioni dal 5% fino all 87% : + Overstock.com 8.6% di diminuzione del tasso di abbandono + CRS Hotels 30% aumento del tasso di conversione + Trend Micro Più dell 8% di aumento dei rinnovi + Flagstar Bank 10% di aumento di nuove sottoscrizioni on line + PayPal Diminuzione del tasso di abbandono di diversi punti percentuali www.verisign.com/sslcasestudies
Aumento delle transazioni grazie ad EV + E commerce Nord America PayPal tasso di abbandono diminuito di diversi punti percentuali * Overstock.com 8.6% di riduzione del tasso di abbandono Virtual Sheet Music 13% di aumento delle vendite Fragrance X 11% di aumento delle vendite Canada Drugs 33% di aumento delle vendite EMEA Dwell 14% di aumento delle vendite Fitness Footwear 17% di aumento delle vendite Scandanavian Design 8% di aumento delle vendite * PayPal limita a confermare che la variazione è relativa a diversi punti percentuali senza voler specificare in dettaglio il numero esatto
Aumento delle transazioni grazie ad EV + Viaggi CRS Hotels 30% di aumento delle vendite Harvey Travel (Australia) 56% di aumento delle vendite + Servizi Scribendi (Canada) 27% di aumento delle vendite Paper-Check 87% di aumento delle vendite Proof-Reading.com 17% di aumento delle vendite Cleaner Today 10% di aumento delle vendite
Aumento delle transazioni grazie ad EV + Finanza DebtHelp 11% di nuove sottoscrizioni PayPal vedi sopra + Altro SISTIC (Singapore, on line tickets) 14% di aumento delle vendite CreditKarma (credit monitoring) 26% di nuove sottoscrizioni
I benefici dell SGC + il più alto livello di crittazione = SGC + Mette nelle condizioni ogni utente di connettersi con il più alto livello di crittazione possibile + Livelli di crittazione 40-bit, 56-bit = crittazione debole Si può forzare in pochi minuti utilizzando un normale PC 128-bit, 256-bit = crittazione forte Occorre un trilione di anni per forzare un simile livello di crittazione
Quale sistema è in grado di stabilire una crittazione forte? + I seguenti Internet Browsers e sistemi operativi non sono in grado di stabilire una connessione a 128 bit con qualsiasi tipo di certificato SSL installato: + Browsers: Alcune versioni di Internet Explorer dalla 3.02 alla 5.5 Alcune versioni di Netscape browser dopo la 4.02 e fino alla 4.72 + Sistemi operativi: Windows 2000 fino a Marzo 2001 dove non è stato installato Microsoft s High Encryption Pack o Service Pack 2
Tendenze e abitudini di coloro che effettuano acquisti online: Gli utenti oltre i 55 anni sono il target meno colpito, infatti solo il 6% afferma di essere stato vittima di una frode online. Gli uomini italiani sono più attenti delle donne quando effettuano acquisti online, infatti l'84% dichiara di acquistare solo da siti Web con funzionalità di sicurezza avanzata. Di conseguenza vengono truffati meno, con solo l'8% che afferma di essere stata vittima di una frode online rispetto all'11% delle donne. Gli italiani con meno di 34 anni sono quelli che vengono truffati più spesso, con una media del 14% che afferma di essere stata vittima di una frode online. Il 16% degli utenti oltre i 55 anni, invece, continua a non avvantaggiarsi delle offerte online, in quanto dichiarano di non avere mai effettuato transazioni o fornito i loro dettagli personali online. Il gruppo di persone con età compresa tra 25 e 34 anni è il più cauto: l'86% afferma, infatti, di non acquistare da un sito Web se non sono presenti funzionalità di sicurezza avanzata.
I seguenti suggerimenti, disponibili in dettaglio sul sito Web Trust the Tick all'indirizzo https://trustthetick.com, sono determinanti per garantire la sicurezza durante gli acquisti online Proteggere il computer aggiungendo un firewall personale e software antivirus. Non rimanere connessi a Internet quando non è necessario essere online. Se si utilizza un portatile, creare una password che viene richiesta per accedere a qualsiasi informazione. Mantenere la segretezza delle password - Non condividere le password, cambiarle spesso e non scegliere password di facile intuizione. Se possibile, utilizzare l'autenticazione a due fattori, dove la seconda password viene generata da un dispositivo ed è un numero che cambia ad ogni accesso.
Verificare che il sito Web utilizzato sia sicuro. Prima di inserire i dati per il pagamento in un sito Web, verificare che l'indirizzo URL inizi con https (dove la s indica che il sito è sicuro ). Se un sito contiene errori ortografici evidenti o nessuna informazione sulla sicurezza, evitarlo. In caso di dubbi, fare clic sul segno di spunta di VeriSign per verificare l'identità del sito e, se possibile, utilizzare un browser che garantisce una protezione elevata e visualizza la barra degli indirizzi SSL EV verde. Non scaricare allegati di posta elettronica o fare clic su un collegamento in un messaggio di posta elettronica a meno che non provenga da una fonte affidabile e non fornire mai informazioni riservate in un messaggio di posta elettronica. Tenere presente che i siti Web finanziari non richiedono mai ai loro utenti nome utente, password, PIN o altre informazioni riservate in un messaggio di posta elettronica. Solo i truffatori lo fanno. Accertarsi di utilizzare una rete Wi-Fi sicura. Impostare una password per rendere la rete wireless privata sicura ed evitare di effettuare acquisti online o controllare siti Web di banche e di investimenti utilizzando una rete Wi-Fi pubblica