Mettere in sicurezza il proprio ecommerce e prevenire le frodi: qualche consiglio

Visto il notevole interesse sul tema della sicurezza dei siti wordpress provo a riassumere quello che spiego spesso ai clienti quando implementiamo una soluzione wordpress con CRM e fatturazione elettronica: la necessità di controllo di flusso e integrazione sono fondamentali.

Alla base c’è la necessità di analizzare i dati: queste analisi vi consentiranno sia di capire se il vostro sito è fatto bene ed è usabile sia di verificare, prevenire e controllare una vasta gamma di attività sospette a cui spesso non pensiamo ma che senza che ce ne accorgiamo possono cambiare, e di molto, le performance della propria azienda. Sia essa un’azienda che vende online le proprie camere o i propri prodotti e servizi. Se si ha un ecommerce, si spendono soldi in ads e si vuole fare bene analisi e garantire la sicurezza questo, secondo me, è un buon inizio. 

Partiamo dalle basi: gli ingredienti:

Il sito è un tassello di un puzzle, tassello importante ma la cui sicurezza deriva anche da una serie di altre scelte infrastrutturali indispensabili. La prima è quella di adottare Google worksuite adeguando tutte le postazioni all’eliminazione della mail Pop3 o outlook, evitando del tutto lo scaricamento fisico delle mail e  facendo in cloud tutte le operazioni connesse a mail, allegati, calendari, contatti e chat.

• Whatsapp Business: approfondirò più avanti come implementarlo al meglio
• Zapier:  strumenti indispensabile per garantire che i vari applicativi possano parlare tra loro. A noi consente di aggiungere alle newsletter gli utenti che passano dal CRM, sincronizzare i loro dati con la rubrica di Gmail e automatizzare delle fasi ripetitive tipo rilanciare su Linkedin Business i posto di facebook e altre attività legate al marketing
• Google Worksuite: avere un indirizzo di staff centrale, tipo la classica info, consente di dotare tutte le persone a cui si darà accesso a questo account a una serie di servizi e applicazioni molto vasta. La scelta di avvalersi solo di programmi SAS con Google login non solo facilita la vita a tutti ma consente anche un alto stato di sicurezza grazie alla doppia autenticazione da mobile

Già questa scelta obbligherà chi opera sul sistema ad attenersi a dei semplici ma difficilmente violabili standard di sicurezza: come sullo stesso wordpress obbligatori accede, soprattutto se ha accessi amministrativi, a dotarsi di Google Authenticator e a farne uso su tutti i sistemi che metterete a sua disposizione.

Inoltre è possibile integrare la mail PEC con Gmail: questo aiuterà non poco nella gestione di cicli di fatturazione elettronica, si possono ricevere e inviare email PEC usando la stessa interfaccia di gmail 

Si potrebbe parlare giorni di google Worksuite, trovate qui una serie di approfondimenti.

Cosa non può mancare sul sito:

Senza entrare nel merito delle migliaia di plugin e servizi il mio consiglio è di far passare d cloudflare l’interfaccia per la gestione del DNS: semplificherà la vita per una serie di attività che vi troverete a fare e di configurazioni, prima di tutte quella di work suite per l’attivazione. A questo, parlando prettamente di WP, di sicuro va affiancato a wordfence un buon plugin per la gestione dei permessi e dei diritti degli utenti. members è un buon compromesso, esistono soluzioni miste integrando tra loro vari plugin ma, dopo aver fatto oltre un anno di prove, seguo i consigli del mio mentore e cerco soluzioni semplici e “stupide”. Poche cose, ben focalizzate e programmate bene.

Da scegliere con attenzione un buon programma che permetta al sito di operare in SMTP usando la nostra info: questo consente di poter monitorare l’attività mail di servizi, vendite e scambi di qualsiasi tipo direttamente dal client di gmail. il nostro wordpress potrà così essere usato per un maggior numero di attività, sempre ragionando in ottica di small business. Se si pensa di avere altissimi scambi di email dal proprio sito (oltre le 5/600 giorno) WPMail Smtp consiglia di avvalersi di OWS. Per un sito di normali dimensioni con 10/200 transazioni giorno Works Suite è la soluzione perfetta.

Veniamo all’ingrediente principale: il CRM

Il primo problema che abbiamo preso in analisi in questa valutazione è stato quello della centralizzazione delle comunicazioni: l’attività sui social, dalla chat a whatsapp ai commenti ai post, la mail, il numero di telefono del centralino, i telefoni personali sono tutti elementi di dispersione dell’informazione. Questo, per fare un esempio, faceva si che un’informazione chiesta al centralino, la cui risposta poteva scatenare una potenziale vendita, essendo avvenuta al telefono e non venendo in qualche modo registrata porta alla perdita di un potenziale deal. Moltiplicate lo stesso processo per il numero di canali che ci si trova a gestire e capite che questo può diventare un problema.

Per questo la soluzione di hubspot, che si integra gmail in maniera nativa diventa uno strumento strategico sia che ci si debba collegare a gestire l’informazione in 3 che in 300. Anzi, più aumenta il numero di persone che hanno o avranno necessità di accedere al dato maggiore è il beneficio di un CRM ce ha infiniti utenti gratuiti e che, ben gestito, permette di usare una sola licenza attivata sulla mail info per godere di tutte le funzionalità avanzate di strumenti e analisi che il CRM ci consente.

Essendo integrato a WP inizia così a tracciare dal primo istante l’attività del singolo IP e lo segue: se questo si trasforma in un potenziale deal, sia che abbia mandato una richiesta di maggiori informazioni o una vera e propria prenotazione o acquisto, raccoglierà nella sua scheda tutte queste informazioni. Questo ci serve per svariati motivi: il primo è quella costante attività di analisi sulle abitudini d’uso dell’utente del nostro sito. Capire che giro abbia fatto prima di effettuare una qualsiasi azione ci permette di migliorare e semplificare il sito, meno strada gli faremo fare più alta sarà la probabilità che clicchino sul link che ci interessa. 

Altrettanto è valida l’interpretazione inversa di questo ragionamento: un nuovo utente che ha fatto una sola visita, visto solo una o due pagine e che poi prenota è automaticamente sospetto. Esattamente come l’utente che ha cliccato 7/8 volte sul nostro banner prima di compilare un form di richiesta di maggiori informazioni: più è grande la società più è facile che concorrenti molto poco corretti usino questo metodo (io li ho soprannominati i ladri di tempo) sovraccaricando la piattaforma di attività inutili per le vendite. In particolare agire sui banner porta anche a perdere soldi inutilmente, quando questo tipo di fenomeno (che Google cerca di prevenire) diventa molto intenso è consigliabile avvalersi di appositi software che monitorano le nostre campagne ADS.

Uno dei punti di forza di hubspot è la possibilità di creare form: per quanto possa apparire banale l’uso spinto dei form per la gestione delle informazioni diventa un facilitatore non indifferente quando si offrono servizi. I dati che vengono così raccolti entrano e diventano gestibili dal DB e possiamo formattare mail o frammenti automatizzati basandoci sulle informazioni che abbiamo acquisito: la compilazione del modulo per la questura delle prenotazioni degli ospiti si auto compone con ciò che l’utente ha compilato sul sito ad esempio, la comanda alla cucina arriva con il menù della colazione selezionato del cliente direttamente dal sui letto con il form interno al sito disponibile agli ospiti e così via. Pian piano wordpress diventà così una piattaforma di servizi che interagiscono tra loro, la massima integrazione ci consente di compilare con Woocommerce la fattura di checkout, comunicarla a fattura24 e recapitare conto e dettagli al cliente la sera prima della sua partenza. Con un bel bottone paypal o carta di credito che consente di ricevere il pagamento senza doverlo incontrare alla reception. 

Le false richieste, i troll e gli imbecilli della rete:

Questo fenomeno, molto più diffuso di quanto si pensi, è difficilissimo sia da identificare che da prevenire. In realtà un attento monitoraggio di alcuni fattori aiuta a limitarlo e contrastarlo, come sempre quando questo tipo di fenomeno inizia ad assumere dimensioni importanti il consiglio è quello di rivolgersi alla Polizia Postale denunciando e salvando quante informazioni possibili. Parlo sempre di limiti estremi ma è da quelli che si trovano le soluzioni più idonee ed è così che ci siamo arrivati noi scegliendo di tenere bloccato un sito che rendeva per fermare un attacco strutturato. E in qualche modo, enormi spese a parte dovrei ringraziare chi ha attaccato perché mi ha insegnato moltissimo sulle metodologie moderne, abbiamo così riprogettato Più Turismo e lo stesso sito Servizi che ancora provano a bucare con richieste che ora vengono immediatamente identificate all’origine. 

Il primo elemento che è estremamente facile da verificare è l’indirizzo email: basta incollarla su google per sapere subito se è un utente reale o se quella mail è stata generata e aperta solo per questa azione: il risultato nullo, la presenza di numeri casuali nell’indirizzo, la sua strana unicità rispetto agli standard a cui siamo abituati (ne cito una, infostalker, ci siamo arrivati dopo che era un indirizzo da attenzionare ad esempio) sono tutti campanelli d’allarme che ci possono allertare. 

Grazie al CRM è possibile sincronizzare in tempo reale il nuovo contatto, indipendentemente dal suo punto d’entrata via mail, chat, whatsapp eccetera con contact+: questo programma analizza e verifica i vari social network identificando ed associando all’anagrafica che avremo sulla nostra Gmail tutti i dati di contatto social dell’interlocutore. Questo è un altro strumento sia marketing che di analisi, la totale assenza di questo contatto sui social è un altro possibile identificatore di account farlocco o di simpatico burlone che pensa di essere furbo. Io, nel mio caso, ne ho trovati e identificati circa 1600 con lo stesso applicativo che di norma usiamo per seguire sui social i nostri clienti ed utenti. 

Inoltre da quando è entrato nel sistema l’indirizzo viene traccato e loggato: sapremo sempre se e quante volte ha aperto la nostra Email di risposta, se ha cliccato o meno sui link di attivazione account o sui link contenuti nelle nostre email, avremo costantemente traccia di ciò che viene fatto delle nostre comunicazioni. Questo serve, ad esempio, a non chiamare un cliente prima che abbia ricevuto, aperto e letto un nostro preventivo ma serve anche a capire che l’interlocutore dall’altra parte è in buona fede o meno. Noi, ad esempio, ci siamo accorti che tuti quelli che usavano un indirizzo ad hoc per fare finte prenotazioni dopo aver aperto il flusso non aprivano mai le mail di risposta, come nel aso precedente un procedimento del tutto insensato rispetto a ciò che fa sempre un utente reale.

Questa sincronia consente, in sostanza, di avere una rubrica centralizzata e sempre aggiornata: ogni nostro operatore accede a quella rubrica dal proprio telefono, in questo modo sia chiamare un cliente che sapere chi sia il cliente che chiama diventa estremamente semplice. Inoltre avere HubSpot sul proprio devices mi consente, a fine chiamata, di avere accesso diretto alla azione successiva: posso lasciarmi un appunto collegato all’interlocutore, mettermi o assegnare un task da far eseguire a qualcuno dello staff, posso lasciarmi una nota vocale e così via. Soprattutto posso avere operatori esterni all’azienda che non accedono alla rubrica info ma solo a quella di HubSpot: in questo modo la medesima informazione sarà accessibile anche all’addetto del marketing che potrà fare il suo lavoro ma con le sue credenziali e accedendo solo alla parte di CRM che gli metterò a disposizione e non al sistema centrale.

Telefonate moleste, call center, finti clienti: facciamo prevenzione

Per prima cosa chiudete qualsiasi linea telefonica tradizionale, se amate il vostro numero chiedete il trasferimento e spostatevi in VOIP: il nel 2007 ho detto addio al centralino tradizionale, da allora uso Lyber avendo una micro impresa, per soluzioni più grandi oltre i 10 collaboratori la soluzione più adatta e NFON e il loro sistema di centralino. 

La gente prenota di notte, tantissimo operatori turistici me lo confermano sempre, e la gente pensa che il gestore viva attaccato alla sua agenda e al cellulare. Avere un numero urbano VOIP porta a vari benefici:

• chi ci chiama non chiama su un cellulare un tizio che magari e in autostrada e sta guidando: ha l’impressione di chiamare un ufficio. In realtà chi risponde sono io con la mia cuffia bluetooth dalla mia macchina, magari, ma non lo percepirà chi chiama
• chi chiama si sente rispondere subito: io mentre guido o sono in riunione non posso garantirlo,  il risponditore è un assistente importante per dare serietà alla propria prima impressione. 
• avere un instradatore vocale di chiamata (IVR) personalizzabile consente di minimizzare il numero di chiamate deviando su segreterie e servizi terzi le chiamate superflue
• posso impostare gli orari di chiusura e di pausa pranzo: l’interlocutore lascerà un messaggio vocale che verrà recapitato via MP3 via mail, non perderò l’informazione ma garantirò una dignitosa pausa pranzo ai miei collaboratori
• il sistema ricevendo una chiamata consulta la rubrica condivisa: se a chiamare è un cliente posso decidere di interrompere la pausa per sentire cosa abbia bisogno, altrettanto non amo fare con chi vende il cambio di gestore elettrico o cerca di fare truffe con  il trading online

Inoltre il numero VOIP urbano ha un segreto poco conosciuto: è possibile attivare Whatsapp business su questa linea evitando così di dare al mondo il nostro recapito cellulare. Si tratta di un client separato, seppur quasi identico, a quello tradizionale e ciò consente di avere sul proprio apparato entrambi i client fornendo un grosso numero di informazioni all’interlocutore (come il sito web e la mail) che normalmente non ha. Configurando BOT e sistemi di automazione lo stesso whatsapp diventa uno strumento marketing e di sicurezza indispensabile, la possibilità di abilitarlo su 4 differenti PC consente di attivarlo come strumento aggiuntivo ai nostri operatori per gestire un’utenza che è sempre più orientata verso la comunicazione in real time rispetto a quella via mail o telefonica. 

Trai benefici del CRM c’è che si può impostare quel numero come numero chiamante: sarà così possibile usare hubspot come skype con le cuffie e chiamare apparendo con il proprio numero dell’ufficio. La versione di hubspot da 50€/mese regala 500 minuti gratuiti di chiamate internazionali, integra un registratore che consente di salvare ogni conversazione intercorsa perché sia a disposizione dei colleghi.

Le domande a caso, l’utente distratto (o il finto utente molto stupido):

Altra attività che abbiamo monitorato è stata quella dei ladri di tempo seriali: richieste ripetitive di persone che chiedono vari dettagli, spesso a caso, e spesso informazioni presenti nell’articolo di loro interesse. In realtà in questi casi coprire di domande ha il solo scopo di impegnare tempo a chi gestisce il sito o l’e-commerce e l’interlocutore non ha alcuna intenzione di acquistare ma solo di divertirsi. E’ anche per questo che consigliamo sempre di avere un blog aggiornato e completo anche delle attività o servizi di contorno. Grazie ai template di HubSpot e ai suoi frammenti (blocchi di testo che possono essere richiamati e automaticamente inseriti nel testo della mail automatizzando in part e la risposta) possiamo velocemente rispondere con un link di approfondimento sul sito. E’ anche vero, è questo ormai è fatto noto, che la gente legge poco e frettolosamente, non solo finti utenti, ciò non toglie che individuare e intervenire sulle fasi che ci fanno sprecare tempo sia strategico per migliorare leperformance del proprio lavoro.

Come ogni grande albergo attivate un sistema di blacklist

Ci sono persone che quando chiamano lo sheraton e cercano di prenotare non trovano mai posto. Loro non capiscono perché ma la receptionist ben lo sa che il nome del richiedente è in una black list e quindi non gli troverà mai un posto libero. Ma se non sei una grande catena e non usi programmi da migliaia di euro al mese per le prenotazioni un’alternativa esiste e si chiama truecaller. 

Attivando la versione a pagamento, che consiglio si potranno filtrare tutte le attività dei call center noti. E se qualcuno riesce a passare perché non è in elenco e disturba il nostro lavoro potete essere voi a segnalarlo al circuito e bloccarlo per il futuro alla vostra utenza e a tutti quelli che leggeranno “chiamatore seriale” o “trading truffa” quando chiama. Questa estate qualcuno ha pensato di deliziarmi con circa 400 chiamate da numeri esteri: non solo possono essere bloccate senza che suoni il telefono quelle estere o di determinati paesi, possono essere bloccati i numeri anonimi e si può anche settare perché faccia passare solo le telefonate dai numeri presenti in rubrica. 

Noi abbiamo anche aggiunto un’icona alla rubrica dedicata agli spammer: quando richiamano un cartello di divieto avvisa tutti gli operatori connessi in quel momento che la chiamata, la mail, il contatto whatsapp o facebook è già nel sistema e non è un potenziale cliente bensì un ladro di tempo. La cosa divertente è che di moltissimi non avevamo il nome ma grazie a truecaller magicamente appare e si ha anche il riferimento certo dell’autore del disturbo. 

L’ultimo ingrediente: l’IP e l’indirizzo di casa loro

L’adeguamento del GDPR e tanti motivi portano gli operatori come noi a chiedere sempre una verifica della mail del mittente: vero che è una necessità normativa ma altrettanto vero è che è sempre meglio verificare. Anche perché se sono passati tramite un form gli basta usare vpn4test o qualsiasi altro programma per dissimulare il loro IP e farci apparire che si connettono da Colombo, in Srli Lanka, altrettanto non accade quando poi ci confermano il loro indirizzo dal cellulare connesso alla wifi di casa o del pc dell’ufficio. Questo consente di avere in maniera certa un dato che abbiamo sempre quando scambiamo una mail, l’indirizzo IP originale del mittente (praticamente l’indirizzo di casa o ufficio), lo si trova negli headers delle email. Soprattutto l’interlocutore, che poi magari non si presenta all’appuntamento per le due stanze che ha prenotato per una settimana, non può dire di non essere il mittente delle mal o l’interlocutore con cui abbiamo interagito, l’indirizzo IP in caso di problemi è un dato certo a cui per legge deve corrispondere un soggetto fisico o aziendale identificabile tramite provider.

Nei due casi storici, uno il primo della mia carriera, ho davvero scioccato il mio interlocutore: nel primo caso, un disturbatore seriale che cercava di vendere cd clonati di windows nel 2000 su un nostro newsgroup mentre lavoravo in Virgilio si è visto interrompere la connessione di casa del modem e pochi istanti dopo suonare il telefono: ero io che avevo prima fatto un avviso di chiamata, ai tempi era sufficiente per interrompere un modem 56k e far cadere la linea, e poi l’ho chiamato per spiegargli che se c’ero riuscito io la finanza ci avrebbe messo meno. Smise di disturbare il newsgroup di tecnologia che moderavo, ai tempi avevamo un fil diretto via chat con il GAT della Guardia di Finanza ma disturbavo Dario solo per cose importanti e gravi.

Il secondo un collaboratore che nel 2007 aveva pensato bene di farmi passare per inaffidabile mandando via posta delle buste anonime con documenti che parevano compromettermi agli investitori del primo rifinanziamento aziendale. Fece L’errore di mandarne una anche al mio avvocato, innanzitutto un grande amico,  che non si scompose e mi chiamò per informarmi di cosa stesse accadendo: simulammo di litigare via mail,  imbastimmo con un amico bergamasco un finto investitore dell’ultimo minuto disposto a mettere non 20 ma 200.000 in quell’azienda sperando che fosse così fesso da mandare una mail invece di una busta anonima visto il poco tempo disponibile: ovviamente il “simpatico burlone” (che ci costò 60.000 €) ci cascò e caso vuole che l’indirizzo IP fosse lo stesso di casa del nostro ex direttore generale che avevo licenziato in tronco, si era vendicato facendomi fare pure una figura ignobile tra gli altri anche con quello che oggi è il ministro del governo in carica. 

Insomma, la morale è che bisogna sempre tenere gli occhi aperti e analizzare bene le informazioni, con questo strumenti messi insieme potete farlo e farlo in casa, se vi serve una mano o una consulenza sulla sicurezza della vostra infrastruttura contattateci tramite il sito e i form di hubspot: risponderò ovviamente solo alle richieste credibili 😉 

Gli approfondimenti della scuola di Più Turismo:

I servizi che forniamo alle aziende:

[yith_wc_productslider id=38094]