魏可源

在線(xiàn)電子商務(wù)是目前最具發(fā)展?jié)摿σ彩前l(fā)展趨勢(shì)最好的一種商業(yè)模式，它可以幫助企業(yè)通過(guò)互聯(lián)網(wǎng)來(lái)尋找發(fā)展機(jī)會(huì)并擴(kuò)展各種業(yè)務(wù)，因?yàn)槟壳敖^大多數(shù)人都喜歡在線(xiàn)購(gòu)物，這種方法不僅靈活性更高、更加方便而且也能幫用戶(hù)節(jié)省大量的時(shí)間。

與此同時(shí)，由于目前的電子商務(wù)和網(wǎng)絡(luò)銷(xiāo)售因?yàn)榧夹g(shù)方面存在安全缺陷，導(dǎo)致用戶(hù)的信息（例如信用卡數(shù)據(jù)、借記卡數(shù)據(jù)以及個(gè)人敏感信息）面臨著非常嚴(yán)重的網(wǎng)絡(luò)威脅，這也是很多安全研究人員正在關(guān)注的地方。

電子商務(wù)不僅涉及到各種IT操作，還涉及到各種信息設(shè)備，比如說(shuō)線(xiàn)上倉(cāng)庫(kù)和數(shù)據(jù)中心等。由于電子商務(wù)是目前網(wǎng)絡(luò)犯罪分子們的主要攻擊目標(biāo)之一，因此它們對(duì)環(huán)境安全性和可用性的要求非常高。

電子商務(wù)業(yè)務(wù)中主要有4種不同成員會(huì)參與其中，即：

購(gòu)物者：購(gòu)買(mǎi)產(chǎn)品和服務(wù)的會(huì)員；

商家：提供產(chǎn)品或服務(wù)的一方；

軟件供應(yīng)商：給商家提供軟件或平臺(tái)的第三方供應(yīng)商；

攻擊者：參與攻擊電子商務(wù)網(wǎng)絡(luò)的個(gè)人或組織。

根據(jù)Market研究公司給出的最新數(shù)據(jù)，未來(lái)五年，電子商務(wù)的銷(xiāo)售額將達(dá)到3.5萬(wàn)億美元，其中2019年的銷(xiāo)售額將比2018年增長(zhǎng)5.5 %。

電子商務(wù)網(wǎng)絡(luò)攻擊的崛起

各種各樣的網(wǎng)絡(luò)威脅會(huì)讓電子商務(wù)業(yè)務(wù)更加容易受到攻擊，因?yàn)殡娮由虅?wù)的背后涉及到很多敏感的IT操作。就在幾年前，網(wǎng)絡(luò)犯罪分子主要利用的是賬號(hào)非法登錄、信用卡欺詐、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚(yú)和其他的各種技術(shù)來(lái)實(shí)現(xiàn)針對(duì)電子商務(wù)網(wǎng)絡(luò)的攻擊，這些嚴(yán)重攻擊的次數(shù)超過(guò)了1.5億次。

由于網(wǎng)絡(luò)犯罪組織和黑客對(duì)Web應(yīng)用程序的攻擊活動(dòng)越來(lái)越復(fù)雜，再加上軟件和聯(lián)網(wǎng)設(shè)備等基礎(chǔ)設(shè)施缺乏安全性，研究人員認(rèn)為，電子商務(wù)的廣泛使用將導(dǎo)致其在2019年的網(wǎng)絡(luò)攻擊向量出現(xiàn)激增。在2019年，將會(huì)有更多的網(wǎng)絡(luò)犯罪分子通過(guò)各種工具來(lái)搜索Web應(yīng)用程序中的新漏洞，以攻擊與電子商務(wù)相關(guān)的在線(xiàn)服務(wù)。

2019年最危險(xiǎn)的電子商務(wù)網(wǎng)絡(luò)威脅

1.網(wǎng)絡(luò)釣魚(yú)攻擊

網(wǎng)絡(luò)釣魚(yú)是一種針對(duì)電子商務(wù)用戶(hù)的常見(jiàn)威脅，攻擊者主要通過(guò)釣魚(yú)郵件來(lái)欺騙用戶(hù)提交自己的個(gè)人數(shù)據(jù)、登錄憑證和其他敏感信息。大多數(shù)用戶(hù)都無(wú)法及時(shí)意識(shí)到釣魚(yú)攻擊的發(fā)生，而且他們也很難去區(qū)分合法郵件與偽造郵件之間的區(qū)別。

2. DDoS攻擊

DDoS攻擊也叫做分布式拒絕服務(wù)攻擊，它是一種非常危險(xiǎn)的攻擊，尤其是針對(duì)電子商務(wù)業(yè)務(wù)。因?yàn)镈DoS攻擊能夠通過(guò)發(fā)送大量無(wú)效請(qǐng)求來(lái)拖垮目標(biāo)服務(wù)器，從而讓電子商務(wù)網(wǎng)站“下線(xiàn)”。除此之外，DDoS攻擊也很難通過(guò)簡(jiǎn)單的IP地址屏蔽等方式來(lái)阻止，因?yàn)樗^“分布式”指的就是攻擊者能夠通過(guò)成百上千個(gè)不同的IP地址來(lái)發(fā)送垃圾請(qǐng)求。

3.信用卡欺詐

線(xiàn)上信用卡欺詐活動(dòng)很常見(jiàn)，網(wǎng)絡(luò)犯罪分子會(huì)利用這種技術(shù)來(lái)竊取目標(biāo)用戶(hù)的信用卡數(shù)據(jù)，然后用這些數(shù)據(jù)在電子商務(wù)平臺(tái)上進(jìn)行消費(fèi)。實(shí)際上，信用卡欺詐是無(wú)法避免的，因?yàn)橛脩?hù)在進(jìn)行信用卡消費(fèi)時(shí)，商戶(hù)或銀行不會(huì)對(duì)使用者身份的合法性進(jìn)行驗(yàn)證。

4.身份竊取和退款欺詐

身份竊取指的是攻擊者使用目標(biāo)用戶(hù)的身份信息和信用卡數(shù)據(jù)在網(wǎng)上進(jìn)行非法交易，這也是目前很常見(jiàn)的一種電子商務(wù)欺詐活動(dòng)。除此之外，在針對(duì)電子商務(wù)業(yè)務(wù)的攻擊活動(dòng)中，退款欺詐活動(dòng)也在不斷增加。

上述這些都是電子商務(wù)企業(yè)缺乏安全防御控制從而造成虧損的主要原因。

電子商務(wù)平臺(tái)中的網(wǎng)絡(luò)攻擊防御

電子商務(wù)平臺(tái)不應(yīng)以明文形式存儲(chǔ)用戶(hù)密碼，以避免在發(fā)生數(shù)據(jù)泄露事件時(shí)影響到用戶(hù)其他賬號(hào)的安全；在開(kāi)發(fā)第三方電子商務(wù)軟件時(shí)，聘請(qǐng)外部審計(jì)人員來(lái)檢查產(chǎn)品是否遵守了安全技術(shù)流程；向?qū)I(yè)技術(shù)人員和非專(zhuān)業(yè)人員提供網(wǎng)絡(luò)安全教育或培訓(xùn)，以確保他們了解所有針對(duì)Web應(yīng)用程序的攻擊威脅。

另外，在終端設(shè)備和基礎(chǔ)設(shè)施上都應(yīng)部署防火墻，用于控制進(jìn)出流量，并部署入侵檢測(cè)系統(tǒng)，以監(jiān)控各種非法操作；確保網(wǎng)站符合PCI標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)提供了在線(xiàn)金融交易安全的最佳安全實(shí)踐；確保網(wǎng)站成功修復(fù)了已知的安全漏洞，并定期進(jìn)行安全審計(jì)和軟件更新；在用戶(hù)輸入支付卡信息時(shí)，始終檢查網(wǎng)站是否受SSL（HTTPS）保護(hù)，URL是否帶有綠色安全鎖圖標(biāo)。