2019年電子商務(wù)網(wǎng)絡(luò)攻擊的崛起

魏可源

在線電子商務(wù)是目前最具發(fā)展?jié)摿σ彩前l(fā)展趨勢最好的一種商業(yè)模式，它可以幫助企業(yè)通過互聯(lián)網(wǎng)來尋找發(fā)展機會并擴展各種業(yè)務(wù)，因為目前絕大多數(shù)人都喜歡在線購物，這種方法不僅靈活性更高、更加方便而且也能幫用戶節(jié)省大量的時間。

與此同時，由于目前的電子商務(wù)和網(wǎng)絡(luò)銷售因為技術(shù)方面存在安全缺陷，導(dǎo)致用戶的信息（例如信用卡數(shù)據(jù)、借記卡數(shù)據(jù)以及個人敏感信息）面臨著非常嚴(yán)重的網(wǎng)絡(luò)威脅，這也是很多安全研究人員正在關(guān)注的地方。

電子商務(wù)不僅涉及到各種IT操作，還涉及到各種信息設(shè)備，比如說線上倉庫和數(shù)據(jù)中心等。由于電子商務(wù)是目前網(wǎng)絡(luò)犯罪分子們的主要攻擊目標(biāo)之一，因此它們對環(huán)境安全性和可用性的要求非常高。

電子商務(wù)業(yè)務(wù)中主要有4種不同成員會參與其中，即：

購物者：購買產(chǎn)品和服務(wù)的會員；

商家：提供產(chǎn)品或服務(wù)的一方；

軟件供應(yīng)商：給商家提供軟件或平臺的第三方供應(yīng)商；

攻擊者：參與攻擊電子商務(wù)網(wǎng)絡(luò)的個人或組織。

根據(jù)Market研究公司給出的最新數(shù)據(jù)，未來五年，電子商務(wù)的銷售額將達到3.5萬億美元，其中2019年的銷售額將比2018年增長5.5 %。

電子商務(wù)網(wǎng)絡(luò)攻擊的崛起

各種各樣的網(wǎng)絡(luò)威脅會讓電子商務(wù)業(yè)務(wù)更加容易受到攻擊，因為電子商務(wù)的背后涉及到很多敏感的IT操作。就在幾年前，網(wǎng)絡(luò)犯罪分子主要利用的是賬號非法登錄、信用卡欺詐、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚和其他的各種技術(shù)來實現(xiàn)針對電子商務(wù)網(wǎng)絡(luò)的攻擊，這些嚴(yán)重攻擊的次數(shù)超過了1.5億次。

由于網(wǎng)絡(luò)犯罪組織和黑客對Web應(yīng)用程序的攻擊活動越來越復(fù)雜，再加上軟件和聯(lián)網(wǎng)設(shè)備等基礎(chǔ)設(shè)施缺乏安全性，研究人員認(rèn)為，電子商務(wù)的廣泛使用將導(dǎo)致其在2019年的網(wǎng)絡(luò)攻擊向量出現(xiàn)激增。在2019年，將會有更多的網(wǎng)絡(luò)犯罪分子通過各種工具來搜索Web應(yīng)用程序中的新漏洞，以攻擊與電子商務(wù)相關(guān)的在線服務(wù)。

2019年最危險的電子商務(wù)網(wǎng)絡(luò)威脅

1.網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚是一種針對電子商務(wù)用戶的常見威脅，攻擊者主要通過釣魚郵件來欺騙用戶提交自己的個人數(shù)據(jù)、登錄憑證和其他敏感信息。大多數(shù)用戶都無法及時意識到釣魚攻擊的發(fā)生，而且他們也很難去區(qū)分合法郵件與偽造郵件之間的區(qū)別。

2. DDoS攻擊

DDoS攻擊也叫做分布式拒絕服務(wù)攻擊，它是一種非常危險的攻擊，尤其是針對電子商務(wù)業(yè)務(wù)。因為DDoS攻擊能夠通過發(fā)送大量無效請求來拖垮目標(biāo)服務(wù)器，從而讓電子商務(wù)網(wǎng)站“下線”。除此之外，DDoS攻擊也很難通過簡單的IP地址屏蔽等方式來阻止，因為所謂“分布式”指的就是攻擊者能夠通過成百上千個不同的IP地址來發(fā)送垃圾請求。

3.信用卡欺詐

線上信用卡欺詐活動很常見，網(wǎng)絡(luò)犯罪分子會利用這種技術(shù)來竊取目標(biāo)用戶的信用卡數(shù)據(jù)，然后用這些數(shù)據(jù)在電子商務(wù)平臺上進行消費。實際上，信用卡欺詐是無法避免的，因為用戶在進行信用卡消費時，商戶或銀行不會對使用者身份的合法性進行驗證。

4.身份竊取和退款欺詐

身份竊取指的是攻擊者使用目標(biāo)用戶的身份信息和信用卡數(shù)據(jù)在網(wǎng)上進行非法交易，這也是目前很常見的一種電子商務(wù)欺詐活動。除此之外，在針對電子商務(wù)業(yè)務(wù)的攻擊活動中，退款欺詐活動也在不斷增加。

上述這些都是電子商務(wù)企業(yè)缺乏安全防御控制從而造成虧損的主要原因。

電子商務(wù)平臺中的網(wǎng)絡(luò)攻擊防御

電子商務(wù)平臺不應(yīng)以明文形式存儲用戶密碼，以避免在發(fā)生數(shù)據(jù)泄露事件時影響到用戶其他賬號的安全；在開發(fā)第三方電子商務(wù)軟件時，聘請外部審計人員來檢查產(chǎn)品是否遵守了安全技術(shù)流程；向?qū)I(yè)技術(shù)人員和非專業(yè)人員提供網(wǎng)絡(luò)安全教育或培訓(xùn)，以確保他們了解所有針對Web應(yīng)用程序的攻擊威脅。

另外，在終端設(shè)備和基礎(chǔ)設(shè)施上都應(yīng)部署防火墻，用于控制進出流量，并部署入侵檢測系統(tǒng)，以監(jiān)控各種非法操作；確保網(wǎng)站符合PCI標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)提供了在線金融交易安全的最佳安全實踐；確保網(wǎng)站成功修復(fù)了已知的安全漏洞，并定期進行安全審計和軟件更新；在用戶輸入支付卡信息時，始終檢查網(wǎng)站是否受SSL（HTTPS）保護，URL是否帶有綠色安全鎖圖標(biāo)。