【偷雞電商小心了2】駭客最愛偷「這個」 消費者應慎選良心企業下單

mm-logo會員專區時事
許多零售業將線上與線下商業模式逐漸加速整合,但隨之而來的資安威脅,也因企業數位轉型正伺機而動。(示意圖,Pexels)
許多零售業將線上與線下商業模式逐漸加速整合,但隨之而來的資安威脅,也因企業數位轉型正伺機而動。(示意圖,Pexels)
面對國際疫情挑戰,全球更加明確朝數位化轉型發展趨勢,近期許多零售業者轉型拓展網路銷售,虛實整合過程中,將線上與線下商業模式逐漸加速整合,但隨之而來的資安威脅,也因企業數位轉型正伺機而動,零售業者轉型過程中,更需要承擔數位化的資安風險。
根據刑事警察局165平台公布,2022年第二季高風險網路賣場案件,詐騙案件更是較前一季高出3倍之多,駭客針對零售業搜集包括個人資料、地址、電話、取件方式與交易明細,皆已成為駭客眼中目標,也使得詐騙類型更加多樣化,特別對於近期交易紀錄明細,更是駭客眼中高價值目標,因為如此可透過近期訂單明細資訊,與受害者建立信賴感,增加詐騙成功率。
如梭世代技術經理郭姿君(Shirley)由過去資訊,觀察駭客對零售業電商業者攻擊手法,主要分為零售業者建置的銷售網路平台普遍安全性不足,很容易被駭客鎖定、攻擊與突破。在平台設計上,API服務權限未嚴格控管,造成商業邏輯出錯導致外洩。
另外,電商員工資安意識不足,常誤點擊釣魚郵件內惡意程式,造成駭客可遠端連線至企業內部網路竊取資料。攻擊者透過已知漏洞入侵,取得內部網路控制權限後,對平台網站添加惡意JavaScript腳本,以便繞過監控相關措施,並可取得即時性交易資料。攻擊者更能透過暗網搜集業者外洩帳號、密碼,使用撞庫攻擊進入內網後並橫向移動,竊取高價值資料庫內資料。
郭姿君說明駭客多變攻擊手法,已逐漸朝向資服業者提供服務進行刺探,如平台開發廠商、廣告追蹤商、或設備商等相關供應鏈廠商,此類型供應鏈攻擊行為更具破壞力,更容易造成許多業者資料外洩,且需要調查範圍更為廣大,業者必須重視平台所串接服務內資料流加以檢視。
如梭世代技術長何宜霖(Leo)觀察,許多零售業者對於資安投資也逐漸重視,但也需要盤點資安投資必須要短、中、長期規劃,依照威脅情況動態調整防護策略,對於企業內部人員培育與資服廠商配合極為重要,任何資安產品皆為軌跡日誌為核心。

歡迎加入鏡週刊 會員專區

限時優惠每月$79
全站看到飽

10元可享單篇好文14天
無限瀏覽

已經是會員?