【偷雞電商小心了2】駭客最愛偷「這個」 消費者應慎選良心企業下單
面對國際疫情挑戰,全球更加明確朝數位化轉型發展趨勢,近期許多零售業者轉型拓展網路銷售,虛實整合過程中,將線上與線下商業模式逐漸加速整合,但隨之而來的資安威脅,也因企業數位轉型正伺機而動,零售業者轉型過程中,更需要承擔數位化的資安風險。
根據刑事警察局165平台公布,2022年第二季高風險網路賣場案件,詐騙案件更是較前一季高出3倍之多,駭客針對零售業搜集包括個人資料、地址、電話、取件方式與交易明細,皆已成為駭客眼中目標,也使得詐騙類型更加多樣化,特別對於近期交易紀錄明細,更是駭客眼中高價值目標,因為如此可透過近期訂單明細資訊,與受害者建立信賴感,增加詐騙成功率。
如梭世代技術經理郭姿君(Shirley)由過去資訊,觀察駭客對零售業電商業者攻擊手法,主要分為零售業者建置的銷售網路平台普遍安全性不足,很容易被駭客鎖定、攻擊與突破。在平台設計上,API服務權限未嚴格控管,造成商業邏輯出錯導致外洩。
另外,電商員工資安意識不足,常誤點擊釣魚郵件內惡意程式,造成駭客可遠端連線至企業內部網路竊取資料。攻擊者透過已知漏洞入侵,取得內部網路控制權限後,對平台網站添加惡意JavaScript腳本,以便繞過監控相關措施,並可取得即時性交易資料。攻擊者更能透過暗網搜集業者外洩帳號、密碼,使用撞庫攻擊進入內網後並橫向移動,竊取高價值資料庫內資料。
郭姿君說明駭客多變攻擊手法,已逐漸朝向資服業者提供服務進行刺探,如平台開發廠商、廣告追蹤商、或設備商等相關供應鏈廠商,此類型供應鏈攻擊行為更具破壞力,更容易造成許多業者資料外洩,且需要調查範圍更為廣大,業者必須重視平台所串接服務內資料流加以檢視。
如梭世代技術長何宜霖(Leo)觀察,許多零售業者對於資安投資也逐漸重視,但也需要盤點資安投資必須要短、中、長期規劃,依照威脅情況動態調整防護策略,對於企業內部人員培育與資服廠商配合極為重要,任何資安產品皆為軌跡日誌為核心。
何宜霖表示,如何訓練企業內部人員觀察相關Web日誌、Endpoint日誌等,辨識處理可疑事件,建構主動式防禦意識,才能有效逐步建構信任架構。另外,定期執行資安檢測,如紅隊演練與滲透測試,檢視目前資安現況與相關控制措施是否有能力足以抗衡資安威脅。
何宜霖也建議消費者,除了妥善保護個人資料,對網路購物平台不要使用常見密碼組合,與簡單易猜測的密碼,讓攻擊者有機可趁。消費者應謹慎點選網路上的超連結,確認該連結是可以信任與安全。對業者而言,任何數位化每個環節,都是資安防禦議題,強化資安意識,才能多一份保障,讓消費者對使用品牌產生信任感。