店内 店内购物与 -网上
作者:Source Defense
零售盗窃猖獗,损失源 于员工盗窃、运营损失、管理失误、有组织犯罪和退货欺诈。
这些损失迫使全国各地的零售商集中大量资源用于上锁的产品展示、安全摄像头、用于追踪产品的物联网传感器、物理访问检测解决方案、自主安全机器人、车牌识别系统以及用于检测未通过结账通道的购物车和篮子的人工智能和机器学习系统。
那么网络安全怎么样?
与此同时,世界上最老练 台湾数据 的犯罪分子每年继续通过秘密植入电子商务网站的数字后门窃取数百亿美元。去年,Visa 全球风险团队调查的欺诈和数据泄露案件中,近 75% 涉及电子商务商家。针对电子商务平台和第三方代码集成的数字窃取攻击很常见。
在线购物车是网络犯罪分子极具价值的目标。客户卡上的所有付款详细信息都已收集,并集中存放,等待黑客携带恶意软件从购物车中直接窃取。几乎所有电子商务网站都不会彻底审查这些第三方使用的代码,因此黑客的工作非常简单。
Magecart 和 eSkimming 攻击
针对客户端软件供应链(通 销售助手是一款冷电子邮件自动化一体化工具 常包括数十个第三方和第四方 Javascript 应用程序)的攻击没有减缓的迹象。研究人员 推测,Mageca rt 攻击可能已经危及了大约 38% 的零售网站。Magecart 是指一群专门针对 Magento 购物车(现为 Adobe Commerce)进行“盗刷”攻击和支付卡盗窃的网络犯罪分子。
Magecart 攻击旨在窃取结账页面上付款表单中输入的信息,然后将数据发送回攻击者控制的远程计算机。这对电子商务行业来说是一个潜在的安全噩梦,因为下个月几乎所有的资源都将集中在订单完成和销售上,而不是保护第三方软件。
去年,零售业正处于疫情过后大规模网购浪潮之中,网络犯罪分子利用支付盗刷器攻击了超过500 个电子商务网站,而该平台已推出 12 年,Adobe 已于 2020 年 6 月 30 日停止对该平台的支持。据 Adobe 称,仍有超过 95,000 个网站在使用这个过时的平台。
传统安全计划不足以满足需求
传统安全程序的任何组件 新加坡數據 都无法阻止通过 JavaScript 发起的客户端攻击。只需第三方供应商被黑客入侵并更改其代码,或者内部开发人员集成恶意代码(无论是意外还是故意),即可实现攻击。运营电子商务网站的零售商动态检测更改的手段有限,也无法使用服务器端安全解决方案来阻止其从客户浏览器窃取数据或执行其他恶意活动。
平均每个电子商务网站都会使用数十种第三方工具,零售商表示他们计划每年平均为其网站添加 3 到 5 种新的第三方技术。黑客通常不会攻击电子商务网站本身,而是攻击第三方插件并使用他们的 Javascript 来搭便车入侵电子商务网站。
仅检查电子商务网站的安全边界是不够的。网站会受到其使用的所有第三方工具的安全边界的影响。此外,它无法控制第三方圈子之外发生的事情:还有第四方圈子、第五方圈子等等,大多数网站所有者对此一无所知。
尽管如此,电子商务网站对第三方、第四方和第五方技术的依赖却成倍增加,平均与 583 个外部方共享机密和敏感信息。
因此,当零售业将注意力转向额外的物理安全控制时,网络犯罪分子正在利用他们最大的安全盲点——网站。事实上,我们的研究表明,每 39 秒就会发生一次针对这些客户端漏洞的新在线攻击。
源防御如何提供帮助
Source Defense帮助在线零售商在出色的客户体验和关键安全性之间取得平衡,同时又不损害网站性能或稳定性。我们创建虚拟页面,将第三方脚本与电子商务网站隔离开来。虚拟页面是原始页面的精确副本,但不包括第三方不应看到的内容。我们监控虚拟页面上的所有第三方脚本活动。如果活动在允许的前提下,我们会将其从虚拟页面转移到原始页面。如果不是,我们会将他们在虚拟页面上的活动与用户隔离开来,阻止任何恶意活动,例如数字盗刷。