行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
电子商务安全威胁和解决方案的基础知识
2020-03-25 15:47:13 【

电子商务的安全性不容小taken。重大数据泄漏从根本上破坏了对数字安全性的信任。消费者可以通过熟悉的系统(PayPal,Amazon,Google,Apple等)进行付款,但可以说服风险的公司向未知公司支付信用卡详细信息。毕竟,他们知道有什么危险。

无法确保在线零售业务的安全会直接影响销售额,甚至恶化您的声誉。一旦知道不能依靠一家公司来保护数据安全,就没有人愿意再向他们购买。

认真对待保护您的在线业务。了解您需要了解的有关电子商务安全威胁和解决方案的基础知识。


主要威胁:交易欺诈

每一秒钟,大量的金钱在线上转手,正如我们希望技术已经超越了对消费者构成危险的交易一样,事实并非如此。付款欺诈有两种主要形式。第一种是被盗的信用卡,其详细信息用于进行未经授权的付款(即使取消付款也保留或出售购买的产品)。第二个是在不安全的系统上被中断或重定向的事务。

在线购买者现在可以使用提供前所未有的财务便利的系统。银行支持可通过实时聊天获得,您甚至可以通过应用取消付款。但这并不能完全防止此类欺诈。原因很简单:即使是我们当中最勤奋的人,也有时会忘记查看我们的银行记录,而对于网络罪犯来说,只需花一点时间就可以支付大量款项。

在线购物者现在已经意识到网站安全标记(例如HTTPS指示器)的重要性。尽管如此,此类指标通常仍可以以足以令大多数人信服的方式被欺骗。这种类型的伪造可能很难分辨网站何时提供安全服务。消费者需要受过教育,并且要更好地保持警惕。

解决方案:符合PCI DSS

在PCI DSS标准的建立是为了网上支付的安全性提高水平大幅提升。任何希望保护其交易(并在此过程中增强其信誉)的电子商务企业都应采取行动以实现这一目标。遵从性还远远没有达到应有的水平。这很令人沮丧,因为对于单个零售商来说这不应该成为问题,因为从本质上讲,这是一种好处。顺从的卖方通过消除销毁有害死角的销售漏斗(一项关键的转换优化策略),并显示出他们对买方安全的投资,从而脱颖而出。

主要威胁:直接站点攻击

网络钓鱼是一种被动方法,但有时电子商务站点可能会以DDoS(专用拒绝服务)活动的形式遭受直接攻击。它是这样工作的:想要围困商店的人将对许多具有互联网功能的设备进行编程,以几乎恒定地尝试使用商店站点。

这种有组织的攻击将使商店的托管不堪重负,并阻止该网站为大多数(如果不是全部)常规访问者加载。主要是要保持它的忙碌,使其不能专注于真正重要的访问。这种攻击类型还会耗尽托管数据配额,给企业造成其他代价高昂的问题。这些战役相对罕见,但并不是那么多,因此它们并不是威胁。

DDoS攻击的最终目标是什么?这取决于实际情况。有时,由于公司的破坏,将给商店带来不便并损害其声誉。更常见的是,DDoS攻击将伴随勒索需求:支付一定的金额,攻击将被禁用。

解决方案:主动保护

不管eStore的基本安全级别如何,都可以随时对其进行攻击,这种威胁需要采取更强有力的措施,因此请使用DoS保护服务。这个概念很简单–监视和解析传入的流量,当访问请求本质上被认为是欺诈时,它们将被完全阻止。此防御可防止DDoS攻击使站点减速到爬网速度,或严重影响其性能。

主要威胁:密码攻击

自Internet诞生以来,密码策略就一直使安全顾问感到沮丧,这都是由于保护和便利之间需要令人不安的平衡。如果选择长而复杂的密码,最终可能会忘记它们并失去所有访问权限。创建易于记忆的密码会使系统高度脆弱,容易受到攻击。

发生这种类型的攻击有两种主要方法。首先是暴力破解,使用一种程序运行成千上万个密码,以期最终使其正确。第二,可以合理地称为知情猜测:利用用户生活中的信息,从社交媒体中搜集出最有可能出现在其密码中的单词。

而且,如果发现了关键管理员密码,则可能导致所导致的访问受到严重破坏,因为一段时间以来可能不会注意到该密码。可以进行重大更改,可以使系统脱机,可以窃取数据,还可以转移资金,所有这些都会对有访问权限的人造成最小的风险。这就像通过撬开锁闯入某人的房子一样-没有明显的损坏,但是当您应该在家时就会发生这种情况。

解决方案:更强大的密码和多因素身份验证

电子商务卖家如何应对内部系统和客户发现的密码的威胁?

他们可以实施两种策略。首先,他们应该使用并要求在内部使用更复杂的密码。它们不必长得可笑或笨拙,但它们不必像“ 1234”或“ password”那样简单。

其次,他们应该开始对管理员访问权限(或对客户帐户进行重大更改)使用多因素身份验证。此设置要求登录的用户将其密码访问权限与另一种形式的身份验证(例如,通过短信发送的身份验证代码)结合在一起。创建常规站点备份也是值得的:这样,在极少数情况下,如果有人确实获得了未经授权的访问并进行了全面更改,则他们可以快速恢复到先前的备份。

主要威胁:社会工程

社会工程是一种广泛的方法,可以通过欺骗在社会层面而不是直接 通过技术来获取系统,金钱或资产  。网络工程是最常见的社会工程形式之一,它涉及在与某人联系并利用这种信任从他们那里获取某些东西时假装自己是值得信任的人。

在最近的过去,网络钓鱼最常见地是通过电话,信件甚至是房屋拜访来实现的。网络钓鱼攻击的一个例子是打电话给某人并声称自己来自银行,说他们需要确认信用卡详细信息。随着在线购物和电子商务的发展并变得越来越流行,它变得越来越复杂。

此时,网络钓鱼者可以了解购物者使用的零售商,并欺骗他们的电子邮件。载有风险(例如欺诈性表格)的电子邮件发送给按键记录安装程序。他们还可以通过社交媒体伪装成零售商,或者通过使用略有不同的URL并窃取数据来建立看起来与合法站点非常相似的商店。这些网络罪犯经常使用拼写错误,并建立一个商店来复制受信任零售商的设计,即复制亚马逊的设计并在www.amazom.com上发布。

解决方案:更广泛的教育

网络钓鱼很难防止,因为它是一个如此广泛的类别,并且不涉及任何强制。归结于犯罪分子放下诱饵,并希望人们能够接受它。最好的处理方法是让零售商对客户进行有关其经营方式的教育。他们应该在网站内容中添加提示,并使用其一般的营销材料。客户应该知道,当他们收到电子邮件时,他们知道如何将其识别为合法邮件。客户需要知道可能  会 问他们  什么,  永远不会 问他们什么。如果零售商收到可疑的电子邮件,则需要鼓励其客户与他们联系以进行确认。


您应该知道的其他电子商务威胁

对于从事日常货币交易的电子商务企业,安全性必须成为第一要务。需要采取严格的安全措施,以有效地阻止威胁并保护交易。以下是电子商务网站面临的其他常见威胁:

蛮力攻击

蛮力攻击针对在线商店的管理面板。为什么?他们想弄清楚密码并获得访问权,攻击的直接性使其成为蛮力。在使用软件连接到站点后,它使用代码压缩程序通过使用所有可能的组合来破解密码。该解决方案很简单,可以通过创建强而复杂的密码并定期进行更改来保护您的系统。

机器人

机器人既有好也有坏。好的是那些可以在Internet上爬网并确定如何在搜索引擎中对您的网站进行排名的网站。机器人也可以抓取网站以获取库存信息和价格,并在网站上更改价格,冻结购物车中的热门商品,从而损害网站的销售和收入。

该解决方案是保护公开的API和移动应用程序,并定期检查流量源以查找峰值,然后阻止那些托管提供商和代理服务。

恶意软件

有不同类型的恶意软件想要渗透到后端以窃取敏感的站点数据和客户信息。

恶意软件是指使用恶意广告,勒索软件,跨站点脚本,SQL注入,针对信用卡信息和个人数据的恶意软件。恶意java script编码是最常见的。使用WooCommerce和Shopify的WordPress网站会定期通过小部件和插件升级受到恶意软件注入的攻击。解决方案是使用专业的防病毒和防恶意软件,切换到HTTPS,保护服务器和管理面板,并在使用多层安全性的同时使用SSL证书。

网络钓鱼

接收到发给公司或客户的虚假“您必须采取行动”电子邮件是黑客广泛使用的一种欺骗手段。它确实需要跟踪,并且无意间提供了登录信息或个人标识信息。解决方案是员工培训和教育消费者。

垃圾邮件

垃圾邮件发送者可以使用联系表单和博客评论文本框。他们可能留下受感染的链接,其他人也可以单击该链接,从而破坏了您的声誉和网站安全。这些网络攻击也称为SQL注入,它们希望通过查询表单访问数据库。这些链接会静静地等待收件箱中的员工,并且还会影响网站速度。解决方案是员工培训和下载垃圾邮件过滤工具和防病毒软件,并定期进行更新。


电子商务安全最佳实践

现在您已经熟悉了电子商务安全性问题,以及它们对底线和声誉造成的损失。让我们看一下有助于将威胁防护策略付诸实践的解决方案。

PCI合规性

PCI安全标准委员会针对如何保护电子商务网站发布了一套严格的准则。它概述了应使用哪种类型的网络托管,在付款处理级别所需的安全级别等,请采用其准则以确保您的网站保持安全。

CDN

内容交付网络(CDN)是电子商务网站的另一层托管。他们通过将内容存储在数据中心遍布全国的服务器上来改善流程,这些服务器被称为“存在点”。这些数据中心具有自己的安全性,这意味着它增加了另一层安全性。

安全插件

安全插件对于维护WordPress网站,确保插件的安全安装以及保持网站前端安全非常重要。它们可以防御站点的DDoS攻击,恶意软件和黑客攻击,使您可以在实时检测到威胁时及时通知您。

备份数据

始终备份数据并定期执行此操作。备份和还原插件将有所帮助。尽管在许多安全级别上进行了投资,但没有任何电子商务网站是不可渗透的。黑客有足够的耐心和时间来寻找破解网站的新方法。备份数据非常重要,这样,如果发生攻击,企业就可以快速恢复。

服务器安全性

确保使用您可以信任的,具有顶级安全功能的成熟电子商务网站托管公司。其中应包括服务器端防火墙,CDN或SSL证书以及专用的托管计划,其中共享服务器环境不与其他站点共享。确保它们遵循服务器安全最佳实践。

支付网关安全

与虚拟主机一样重要,确保支付网关提供商非常重视安全性并确保与您的网站连接的所有第三方网站都将安全性放在首位也很关键。

防病毒和防恶意软件

始终使用防病毒和防恶意软件来维护和更新网络的服务器和设备。

防火墙功能

Web主机应该具有用于服务器的防火墙,但是也最好为您的网站和计算机设置一个防火墙。内置防火墙附带了许多安全插件。

SSL证书

电子商务网站必须具有SSL证书,因为它是Google的标准。但是它是免费的,并且是一种向现场交易添加更多层加密和安全性的简单方法。

定期更新软件

该软件只能在其最新版本中正常运行,因此,如果提供商未对其进行更新,则您的电子商务网站和业务将面临风险。计划更新并定期更新所有程序,软件和插件。


电子商务安全:提前计划以保持安全

我们研究过的电子商务安全的主要威胁不仅对零售商而且对客户都具有潜在的破坏性。因此,必须采取适当的措施,并制定应对措施。您根本不能随便对网站或客户数据的保护。

目标应该是为在线消费者提供一个安全的场所。通过保护它们,您也可以保护利润。除了我们在此处概述的电子商务安全威胁和解决方案之外,请定期进行站点安全审核,以防范危险。

养成向访问者提供明智的安全建议的习惯。投资满足PCI DSS标准以保护交易。设置高质量的活动站点保护以抵御DDoS广告活动。最后,养成使用高质量密码的习惯,并配置多因素身份验证以防止由于将关键密码留在办公室便签纸上而损坏整个站点。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇全球国防IT支出市场的机遇,趋势.. 下一篇远程办公人员面临的六大安全威胁

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800