Avatar

從虛擬零售店、團購網站以至拍賣平台,網上購物日趨普及,讓顧客可隨時隨地購物,為他們帶來更大的方便。不少顧客活躍於網上購物,為自己及摯愛選購心儀禮品,這個情況於長假期前後如聖誕節、農曆新年及最近的復活節尤為顯著。然而,網上購物亦同時為零售商帶來隱憂,尤其面對現今互聯網世界中不斷增加的形形色色網絡威脅。

中國網上購物市場的閃耀新星

不同專題研究均清楚顯示中國人口強大的網上購買力。Adobe最近一期的年度研究《假期購物預測》(Holiday Shopping Predictions),預計中國於2015年假期期間(11及12月)的網上購物總銷售額達1500億元美元,較前一年增加13%。事實上,實際數字更為驚人,去年的光棍節(2015年11月11日)成為了全球零售日誌上最重要的網購日子,中國消費者僅在24小時內已於阿里巴巴的網購平台消費了912億元人民幣(143億美元)﹗

另一項由Ipsos進行的跨境消費研究亦指出,中國網購市場表現強勁,特別是跨國交易。中國是全球第二大的網上消費市場,僅次於美國,同時亦是其中一個最受歡迎的跨境網購目的地之一。展望未來,預料2016年中國網民的跨境消費將增長31%。

以上各項驚人的消費數據及強勁的增長模式確令人印象深刻,亦同時代表著當中蘊含的龐大商機。不過,從網絡罪犯的角度來看,網購活動正是龐大而有利可圖的犯罪目標。

香港 網絡保安應為消費者首要考慮

以香港為例,根據最近一項電子商貿消費者監察研究,香港消費者於網購時最注重產品和服務質素,以及所涉的國際運費、銷售稅及其他「隱藏費用」等額外費用。另一邊廂,付款保安則未受重視,反映出消費者必須加強對網上消費的保安意識之餘,零售商也得保證其網站、網絡及數據中心的安全,因為這些網絡基建用於收集、處理及儲存顧客的敏感資料,而顧客亦已假定了他們所提供的資料已受到保護。

然而,這種蓬勃的電子商貿環境製造了不少漏洞,令不良份子有機可乘,進行黑客攻擊以從中獲利。對零售商來說,這是成敗攸關的時刻,因為長遠來說,他們業務發展成功與否,取決於他們能否保證網頁、網絡及伺服器均能免受黑客入侵。那麼,零售商應如何確保他們的網絡資產,乃至客戶的重要資料得到保護呢?一切皆源於加強網絡保安意識,而緊貼最新的保安趨勢和事件亦有幫助。

流動購物的保安威脅

使用流動裝置進行網購漸成潮流,但很多流動裝置並未能有效阻擋廣告,包括惡意廣告。有見及此,保安情報小組Talos Security Intelligence and Research Group預測,惡意廣告及垃圾電郵將於購物旺季成為網絡犯罪的主要渠道,特別是針對流動裝置用戶。雖然流動裝置的廣告攔截功能日趨普及,但很多用戶都沒有注意到甚至毫不在乎,不少熱門廣告攔截應用程式會要求用戶通過第三方主機代理其網絡流量,以便阻擋廣告。無論用戶希望透過這些應用程式去除廣告或避免侵入式內容,此舉只會令他們的私隱資料暴露無遺。

值得注意的頂尖保安趨勢

由保安專家揭示就最迫切的網絡科技趨勢和問題所發表的分析報告,甚具啟發意義,值得細閱。例如思科《2016年度安全報告》指出,愈來愈多黑客利用合法資源進行有效攻擊,並從個人及企業收益中獲利,顯示黑客組織正逐漸工業化。網絡罪犯正提升他們的技術,從受害人身上獲取金錢,同時逃避偵測,令他們得以繼續竊取資料和知識產權。以下乃企業和用戶均需注意的幾個主要範疇:

瀏覽器附加元件為資料外洩的主因
儘管瀏覽器附加元件被保安團隊視為低級威脅,惟報告指出瀏覽器受感染的情況遠較企業想像中嚴重。每當用戶以受感染的瀏覽器開啟新的網購頁面,惡意附加元件便會收集資料。它們可收集內嵌於URL中的高度敏感資料,包括用戶憑證、顧客資料,甚至是零售商的內部應用程式界面(APIs)及基建資料。

網絡攻擊方式

網絡罪犯最常用的惡意程式,是利用Facebook 詐騙來初步接連至企業組織的網絡。這是最划算的方式,能相對容易地感染大量用戶,其次是JavaScript 木馬下載器及Windows代碼。網購涉及大量敏感交易資料,在此成了保安隱患,所以每一個網購程序皆不能忽略。

網絡攔截活動

談到網絡攔截活動,報告以「攔截比例」來對比預測的網絡流量及惡意活動的程度。當「攔截比例」的數值為1,表示攔截數目與網絡大小合符比例。香港的攔截比例為9,遠超區內其他國家,清楚顯示香港的伺服器受襲程度相對較高。

立即行動以降低網絡保安風險

面對上述各種活動及趨勢,顯然未來的網購保安環境只會變得更為複雜,更高風險。作為負責任的營運商,為了客戶的網購安全,企業可透過以下建議提升他們的保安能力:(一)設立保安電郵閘道,如電郵保安設備(Email Security Appliance),有助防禦透過濫發郵件傳播的非法交易;(二)從網絡至終端採用進階惡意程式防護 (Advanced Malware Protection),以辨別及應付可能跨越其他防線的惡意入侵;(三)安裝企業專用的「廣告攔截軟件」,以保護公司內部客戶端瀏覽器;以及(四)切記要不斷更新最先進的保安措施,以應付最新型的威脅,特別是那些提供網上零售服務的營運商。

除了硬件之外,教育客戶在購物時保持機警,也是明智的做法。《假期購物預測》調查顯示,假期購物人士多數透過廣告(23%)得知大額折扣,其次是社交媒體(14%)及電郵(11%)。這可能是個潛在問題,皆因很多威脅其實透過濫發郵件、社交媒體及惡意廣告傳播 ,而它們多以網上廣告、虛假電郵優惠或偽裝成社交媒體推廣的惡意程式等方式出現。零售商應告知客戶,無論是在購物旺季或任何時候,較安全的網購方法是直接登入他們的官方網站,避免墜入上述陷阱。零售商時刻提醒客戶注意保安,並提供良好的網購建議,改善客戶購物體驗,從而增加銷量。 

網上購物本是一種方便、愉快及令人滿足的體驗,沒有人想在過程中成為網絡犯罪活動的受害者。為保交易安全、客戶滿意,企業營運商以至供應鏈上的所有成員必須盡力抵禦網絡入侵者及他們的攻擊。事實上,在現今世上,無論從會議室到店舖,從零售店主到終端用戶,在家中或在街上,人人都緊記「無處不在的網絡保安」。

(原文刊登於工商月刊 – 2016年4月號)

Originally Posted at: https://apjc.thecisconetwork.com/site/content/lang/tw/id/5517