电子商务安全性不容小觑。重大数据泄露从根本上损害了人们对数字安全的信任。消费者习惯于通过熟悉的系统(PayPal、亚马逊、谷歌、苹果等)进行支付,但更有说服力地将他们的信用卡详细信息与不知名的公司进行冒险。毕竟,他们知道什么是危险的。未能确保在线零售业务可能会直接影响销售,或者更糟的是,会毁掉您的声誉。一旦知道不能依靠企业来保证数据的安全,就没有人愿意再次向他们购买。认真对待保护您的在线业务。了解您需要了解的有关电子商务安全威胁和解决方案的基础知识。
主要威胁:交易欺诈
每一秒都有大量的金钱在网上易手,尽管我们认为技术已经超越了对消费者造成危险的交易,但事实并非如此。付款欺诈有两种主要形式。第一个是被盗的信用卡,其详细信息用于进行未经授权的付款(即使付款被取消,购买的产品也会保留或出售)。第二个是不安全系统上的交易被中断或被重定向。
在线买家现在可以访问提供前所未有的财务便利的系统。银行支持可通过实时聊天获得,您甚至可以通过应用程序取消付款。但这并不能完全防止这种类型的欺诈。原因很简单:即使是我们当中最勤奋的人,有时也会忘记检查我们的银行记录,而网络犯罪分子只需一次疏忽就可以进行大量付款。
在线购物者现在意识到网站安全标记的重要性,例如HTTPS 指示器。尽管如此,这些指标通常可以以对大多数人来说足够令人信服的方式进行欺骗。这种类型的伪造会使判断网站何时提供安全服务变得非常棘手。消费者需要接受教育,并在网上提高警惕。
解决方案:PCI DSS 合规性
PCI DSS 标准 的 设立是为了显着提高在线支付的安全水平。任何想要保护其交易(并在此过程中增强其信誉)的电子商务企业都应该采取行动来满足它。合规性仍然远未达到应有的普遍程度。这令人沮丧,因为它不应该成为个体零售商的问题,因为从本质上讲,这是一种好处。合规的卖家通过摆脱破坏性死胡同(一种关键的转化优化策略)并展示他们对买家安全的投资而更加突出。
主要威胁:直接站点攻击
虽然网络钓鱼是一种被动方法,但电子商务网站有时会受到 DDoS(专用拒绝服务)活动形式的直接攻击。它的工作原理是这样的:那些想要围攻商店的人会对许多支持互联网的设备进行编程,以几乎不断地尝试使用商店网站。
这种精心策划的攻击将使商店的托管服务不堪重负,并阻止大多数(如果不是全部)常客加载网站。这主要是为了让它保持忙碌,以至于无法专注于真正重要的访问。这种攻击类型还可以通过托管数据限额烧毁,给企业带来其他代价高昂的问题。这些活动相对少见,但也不至于不构成威胁。
DDoS 攻击的最终目标是什么?这取决于实际情况。有时会因为企业破坏而给商店带来不便并损害其声誉。更多的时候,DDoS 攻击会伴随着敲诈要求:支付一定的金额,攻击将被禁用。
解决方案:主动保护
eStore 随时可能受到攻击,无论其基本安全级别如何,这种威胁都需要更强有力的措施,因此请使用DoS 保护服务。这个概念很简单——传入流量被监控和解析,当访问请求被认为具有欺诈性质时,它们会被完全阻止。这种防御可以防止 DDoS 攻击使站点慢下来,或者显着影响其性能。
主要威胁:密码攻击
自从互联网诞生之初,密码策略就一直让安全顾问感到沮丧,这一切都是由于保护和便利之间需要的令人恼火的平衡。如果您选择长而复杂的密码,您最终可能会忘记它们并失去所有访问权限。创建易于记忆的密码会使系统极易受到攻击并容易受到攻击。
发生此类攻击有两种主要方法。第一种是暴力破解,使用程序运行成千上万个密码,希望最终能正确使用。其次,可以合理地称为 知情猜测:使用用户生活中的信息片段,从社交媒体中收集到最有可能出现在其密码中的单词。
而且,如果发现了一个关键的管理员密码,那么由此产生的访问 可能会造成巨大 的破坏,因为它可能会在一段时间内不会被注意到。可以进行重大更改,系统可以离线,数据可以被盗,资金可以转移,所有这些对有权访问的人来说风险最小。这就像撬锁闯入某人的房子——没有明显的损坏,但它发生在你应该在家的时候。
解决方案:更强的密码和多因素身份验证
电子商务卖家如何应对其内部系统和客户发现的密码威胁?
他们可以实施两种策略。首先,他们应该使用并要求在内部使用更复杂的密码。它们不需要长得滑稽或笨拙,但不能像“1234”或“密码”那么简单。
其次,他们应该开始对他们的管理员访问(或对客户帐户的重大更改)使用多因素身份验证。此设置要求登录用户将其密码访问与另一种形式的身份验证相结合,例如通过短信发送的身份验证代码。创建定期站点备份也是值得的 :这样,在不太可能发生的情况下,有人确实获得了未经授权的访问并进行了彻底的更改,他们可以快速恢复到以前的备份。
主要威胁:社会工程
社会工程是一种通过社会层面的欺骗而不是直接 通过技术来获取系统、金钱或资产的广泛方法 。最常见的社会工程形式之一是网络钓鱼,其中包括在联系某人时假装是值得信赖的人,并利用这种信任从他们那里获取一些东西。
在最近的过去,网络钓鱼最常通过电话、信件甚至上门拜访发生。网络钓鱼攻击的一个例子是打电话给某人并声称来自他们的银行,说他们需要确认信用卡详细信息。当在线购物和电子商务发展并变得越来越流行时,它变得更加复杂。
此时,网络钓鱼者可以了解购物者使用哪些零售商,并欺骗他们的电子邮件。带有风险的电子邮件,例如向键盘记录器安装程序发送欺诈性表格。他们还可以通过社交媒体冒充零售商,或者通过使用略有不同的 URL 并窃取数据来建立与合法网站非常相似的商店。这些网络犯罪分子经常使用拼写错误并建立一个复制受信任零售商设计的商店,即复制亚马逊的设计并将其放在网站上。
解决方案:更广泛的教育
网络钓鱼很难预防 ,因为它是一个广泛的类别,而且它不涉及任何力量。它归结为犯罪分子放下诱饵并希望人们接受它。最好的方法是让零售商让他们的客户了解他们的经营方式。他们应该向他们的网站内容添加提示并使用他们的一般营销材料。客户应该知道,当他们收到电子邮件时,他们知道如何识别它们是合法的。客户需要知道他们可能会被要求什么以及永远不会被要求什么。零售商需要鼓励他们的客户在收到可疑电子邮件时与他们联系以进行确认。
您应该知道的其他电子商务威胁
对于从事日常货币交易的电子商务企业来说,安全性必须成为第一要务。需要实施强化安全措施以有效阻止威胁并保护交易。以下是电子商务网站面临的其他常见威胁:
蛮力攻击
蛮力攻击针对在线商店的管理面板。为什么?他们想找出密码并获得访问权限,攻击的直接性使其暴力破解。在使用软件连接到站点后,它使用代码处理程序通过使用可以想象的所有可能组合来破解密码。该解决方案很简单,通过创建强大而复杂的密码并定期更改密码来保护您的系统。
机器人
机器人有好有坏。好的是那些爬网并确定如何在搜索引擎中对您的网站进行排名的网站。机器人还可以抓取网站以获取库存信息和定价,并更改网站上的价格,冻结购物车中的热门商品,从而损害网站的销售和收入。解决方案是保护暴露的 API 和移动应用程序,并定期检查流量来源以寻找峰值,然后阻止这些托管服务提供商和代理服务。
恶意软件
有不同类型的恶意软件想要渗透后端以窃取敏感的站点数据和客户信息。恶意软件是那些使用恶意广告、勒索软件、跨站点脚本、SQL 注入、针对信用卡信息和个人数据的软件。恶意 JavaScript 编码是最常见的。使用 WooCommerce 和 Shopify 的 WordPress 网站经常通过小部件和插件升级成为恶意软件注入的目标。解决方案是使用专业的防病毒和反恶意软件,切换到 HTTPS,保护服务器和管理面板并使用 SSL 证书,同时使用多层安全性。
网络钓鱼
向您的公司或客户接收虚假的“您必须采取行动”电子邮件是黑客使用的一种广泛使用的策略和诡计形式。它确实需要跟进并无意中提供登录信息或个人身份信息。这里的解决方案是员工培训和教育消费者。
垃圾邮件
博客评论的联系表格和文本框对垃圾邮件发送者开放。他们可以留下其他人可以点击的受感染链接,从而破坏您的声誉和网站安全。这些网络攻击也称为 SQL 注入,希望通过查询表单访问数据库。这些链接静静地等待收件箱中的员工,也会影响网站速度。解决方案是员工培训和下载垃圾邮件过滤工具和杀毒软件,定期更新。
电子商务安全最佳实践
现在您已经熟悉了电子商务安全问题,以及它们对利润和声誉的影响。让我们看看有助于将威胁防护策略付诸行动的解决方案。
PCI合规性
PCI 安全标准委员会发布了一套关于如何保护电子商务网站的严格指南。它概述了应使用哪种类型的网络托管、支付处理级别所需的安全级别等,采用他们的指导方针以确保您的网站保持安全。
内容分发网络
内容交付网络 (CDN) 是电子商务网站的另一层托管。他们通过将内容存储在位于全国各地的数据中心的服务器上来改进流程,这些数据中心被称为“存在点”。这些数据中心有自己的安全性,这意味着它增加了另一层安全性。
安全插件
安全插件对于维护 WordPress 站点、确保插件的安全安装以及保持站点前端的安全非常重要。他们防御站点 DDoS 攻击、恶意软件和黑客攻击,在实时检测到威胁时让您了解情况。
备份数据
始终备份数据并定期执行此操作。备份和恢复插件会有所帮助。尽管投资了许多级别的安全性,但没有一个电子商务网站是不可穿透的。黑客有耐心和时间来寻找破解网站的新方法。备份数据非常重要,这样企业可以在发生攻击时快速恢复。
服务器安全
请务必使用您可以信任并具有顶级安全功能的成熟电子商务网络托管公司。这应该包括服务器端防火墙、CDN 或 SSL 证书以及共享服务器环境不与其他站点共享的专用托管计划。确保他们遵循服务器安全最佳实践。
支付网关安全
与网络托管一样重要的是,确保支付网关提供商非常重视安全性并确保与您的网站连接的所有第三方网站都优先考虑安全性也是关键。
防病毒和反恶意软件
始终使用防病毒和反恶意软件维护和更新网络的服务器和设备。
防火墙
网络主机应该有一个服务器防火墙,但也有一个专门用于您的网站和计算机的防火墙也很好。内置防火墙有许多安全插件。
SSL 证书
电子商务网站必须具有 SSL 证书,因为它是 Google 标准。但它是免费的,而且是一种为现场交易添加更多加密和安全层的非常简单的方法。
定期更新软件
软件仅在其最新版本中运行良好,因此如果在提供商建议时未更新,您的电子商务网站和业务将面临风险。安排更新并定期更新所有程序、软件和插件。
电子商务安全:提前计划以保持安全
我们所研究的电子商务安全的主要威胁不仅对零售商而且对客户都具有潜在的破坏性。出于这个原因,必须采取适当的措施,并制定战略来解决这些问题。您根本无法对网站或客户数据的保护感到随意。
目标应该是为在线消费者提供一个安全的场所。通过保护它们,您也可以保护底线。除了我们在此处概述的电子商务安全威胁和解决方案之外,还应定期进行站点安全审计,以防患于未然。
养成向访客提供明智的安全建议的习惯。投资于满足 PCI DSS 标准以保护交易。设置高质量的活动站点保护以抵御 DDoS 活动。最后,养成使用高质量密码的习惯,并配置多因素身份验证,以防止由于关键密码留在办公室便利贴上而导致整个网站受到威胁。