电子商务的安全性不容小觑。重大数据泄漏从根本上破坏了对数字安全的信任。消费者可以通过熟悉的方式(支付宝,微信,网上银行,Apple pay等)进行付款,但无法确保在线零售业务的安全会直接影响销售,甚至造成极坏的影响。一家企业一旦不能确保数据安全,就没有人愿意再向他们购买产品或服务。 认真对待保护您的在线业务。了解有关交易所及电商平台安全威胁的基本知识。 主要威胁:交易欺诈 每一秒钟,大量的金钱在线上转手,就像我们想认为技术已经超越了对消费者构成危险的交易一样,事实并非如此。付款欺诈有两种主要形式。第一种是被盗的信用卡,其详细信息用于进行未经授权的付款(即使取消付款也保留或出售购买的产品)。第二个是在不安全的系统上被中断或重定向的事务。 在线购买者现在可以使用提供前所未有的财务便利的系统。银行支持可通过实时聊天获得,您甚至可以通过应用取消付款。但这并不能完全防止此类欺诈。原因很简单:即使是我们当中最勤奋的人,也有时会忘记查看我们的银行记录,而对于网络罪犯来说,只需花一点时间就可以支付大量款项。 现在,在线购物者已经意识到网站安全标记(例如https)的重要性。但是,此类指标通常仍可以以足以使大多数人信服的方式被欺骗。这种类型的伪造可能很难分辨网站何时提供安全服务。消费者需要接受教育,并且要提高警惕性。 主要威胁:直接站点攻击 网络钓鱼是一种被动方法,但有时电子商务站点可能会以DDoS活动的形式受到直接攻击。它是这样工作的:想要围困商店的人将对许多具有Internet功能的设备进行编程,以几乎恒定地尝试使用商店站点。 这种有组织的攻击将使商店的托管不堪重负,并阻止该网站为大多数(如果不是全部)常规访问者加载。主要是要保持它的繁忙状态,以致于无法专注于真正重要的访问。这种攻击类型还会耗尽托管数据配额,给企业造成其他代价高昂的问题。这些战役相对罕见,但并不是那么多,因此它们并不是威胁。 DDoS攻击的最终目标是什么?这取决于实际情况。有时,由于公司的破坏,将给商店带来不便并损害其声誉。更常见的是,DDoS攻击将伴随勒索需求:支付一定的金额,攻击将被禁用。 主要威胁:密码攻击 自互联网开始以来,密码策略就一直使安全顾问感到沮丧,这都是由于保护和便利之间需要令人不安的平衡。如果选择长而复杂的密码,最终可能会忘记它们并失去所有访问权限。创建易于记忆的密码会使系统高度脆弱,容易受到攻击。 发生这种类型的攻击有两种主要方法。第一种是强制获取,使用一种程序来运行成千上万个密码,以期最终使其正确无误。其次,可以合理地称为知情猜测:利用用户生活中的信息,从社交媒体中搜集来识别最有可能出现在其密码中的单词。 而且,如果发现了关键管理员密码,则可能导致所导致的访问受到严重破坏,因为一段时间以来可能不会注意到它。可以进行重大更改,可以使系统脱机,可以窃取数据,还可以转移资金,所有这些都会对有访问权限的人造成最小的风险。这就像通过撬开锁闯入某人的房子一样-没有明显的损坏,但是当您应该在家时就会发生这种情况。 主要威胁:社会工程学 社会工程学是一种广泛的方法,可以通过欺骗在社会层面而不是直接 通过技术来获取系统,金钱或资产 。网络工程是最常见的社会工程形式之一,它涉及在与某人联系并利用这种信任从他们那里获取某些东西时假装自己是值得信任的人。 在最近的过去,网络钓鱼最常见的情况是通过电话,信件甚至是上门拜访。网络钓鱼攻击的一个例子是打电话给某人并声称自己来自银行,说他们需要确认信用卡详细信息。随着在线购物和电子商务的发展并变得越来越流行,它变得越来越复杂。 此时,网络钓鱼者可以了解购物者使用的零售商,并欺骗他们的电子邮件。载有风险(例如欺诈性表格)的电子邮件发送给按键记录安装程序。他们还可以通过社交媒体冒充零售商或通过使用略有不同的URL并窃取数据来建立看起来与合法站点非常相似的商店。这些网络罪犯经常使用拼写错误,并建立一个复制受信任零售商的设计的商店,即复制亚马逊的设计并将其发布在上。
蛮力攻击 蛮力攻击针对在线商店的管理面板。为什么?他们想弄清楚密码并获得访问权,攻击的直接性使其成为蛮力。使用软件连接到站点后,它使用代码压缩程序通过使用所有可能的组合来破解密码。 机器人 机器人既有好也有坏。好的是那些可以在Internet上爬网并确定如何在搜索引擎中对网站进行排名的网站。机器人也可以抓取网站以获取库存信息和价格,并在网站上更改价格,冻结购物车中的热门商品,从而损害网站的销售和收入。 恶意软件 有不同类型的恶意软件想要渗透到后端以窃取敏感的站点数据和客户信息。 恶意软件是指使用恶意广告,勒索软件,跨站点脚本,SQL注入,针对信用卡信息和个人数据的恶意软件。恶意java script编码是最常见的。 网络钓鱼 接收到发给公司或客户的虚假“必须采取行动”电子邮件是黑客广泛使用的一种欺骗手段。它确实需要跟踪,并且无意间提供了登录信息或个人标识信息。 垃圾邮件 博客评论的联系表和文本框向垃圾邮件发送者开放。他们可能留下受感染的链接,其他人可以单击这些链接,从而破坏了您的声誉和网站安全。这些网络攻击也称为SQL注入,它们希望通过查询表单访问数据库。这些链接会静静地等待收件箱中的员工,并且还会影响网站速度。
等保合规性 公安部网络安全保卫局针对如何保护电子商务网站发布了等保2.0实施标准。它概述了应该使用哪种类型的网络托管,付款处理级别所需的安全级别等,请采用其准则以确保您的网站保持安全。 CDN 内容分发网络(CDN)是电子商务网站托管的另一层。他们通过将内容存储在数据中心遍布全国的服务器上来改善流程,这些服务器被称为“存在点”。这些数据中心具有自己的安全性,这意味着它增加了另一层安全性。 备份数据 始终备份数据并定期执行此操作。备份和还原插件将有所帮助。尽管在许多安全级别上进行了投资,但没有任何电子商务网站是不可渗透的。黑客有足够的耐心和时间来寻找破解网站的新方法。备份数据非常重要,这样,如果发生攻击,企业就可以快速恢复。 服务器安全性 确保使用您可以信任的,具有顶级安全功能的成熟IDC服务商。其中应包括服务器端防火墙,CDN或SSL证书以及专用的托管计划,其中共享服务器环境不与其他站点共享。确保他们遵循服务器最佳安全策略。 支付网关安全 与虚拟主机一样重要,这也是确保支付网关提供商非常重视安全性并确保与您的网站连接的所有第三方网站都将安全性放在首位的关键。 防病毒和防恶意软件 始终使用防病毒和防恶意软件来维护和更新网络的服务器和设备。 防火墙功能 Web主机应该具有用于服务器的防火墙,但是也最好为您的网站和计算机设置一个防火墙。内置防火墙附带了许多安全插件。 SSL证书 电子商务网站必须具有SSL证书,因为它是Google的标准。但是它是免费的,并且是一种向现场交易添加更多层加密和安全性的简单方法。 定期更新软件 该软件只能在其最新版本中正常运行,因此,如果提供商未建议更新该软件,则可能会使您的电子商务网站和业务受到威胁。计划更新并定期更新所有程序,软件和插件。
电子商务安全重中之重:提前计划以保持安全 我们研究过的电子商务安全的主要威胁不仅对零售商而且对客户都具有潜在的破坏性。因此,必须采取适当的措施,并制定应对措施。您根本不能随便随意地保护网站或客户数据。 目标应该是为在线消费者提供一个安全的场所。通过保护它们,您也可以保护利润。除了我们在此处概述的电子商务安全威胁和解决方案之外,请定期进行站点安全审核,以防范危险。 养成向访问者提供明智的安全建议的习惯。设置高质量的活动站点保护,以抵制DDoS活动。最后,养成使用高质量密码的习惯,并配置多因素身份验证,以防止由于将关键密码留在办公室便签纸上而导致整个站点受到损害。
|