近年来,网络攻击的频率猛增、手法愈加“老练”,因此,采取能够保护你的企业和客户免受网络威胁的电商安全措施绝不能掉以轻心。网络攻击的类型和手段千差万别,虽然不可能一一道尽,但本文还是挑选了一些对于电商而言比较重要的部分来进行说明。
近年来,网络攻击的频率猛增、手法愈加“老练”,因此,采取能够保护你的企业和客户免受网络威胁的电商安全措施绝不能掉以轻心。网络攻击的类型和手段千差万别,虽然不可能一一道尽,但本文还是挑选了一些对于电商而言比较重要的部分来进行说明。
电商网站面临的安全威胁
网络钓鱼
网络钓鱼是一种社交工程陷阱,它是指黑客用来诱骗受害者的方法(通常通过电子邮件、短信或电话)来提供诸如密码、帐号、社交账号密码等私人信息。特别提醒BigCommerce卖家注意,BigCommerce不会向你发送包含更新商店或登录凭证链接的电子邮件。如果你收到来自“BigCommerce”的要求提供个人信息的电子邮件、电话或短信,请直接与客服联系以进行验证。
恶意软件和勒索软件
当你的设备或网络感染了恶意软件或勒索软件后,你可能就无法访问所有重要数据和系统,因此,建议你定期备份网站数据以帮助避免对你的业务造成毁灭性的打击。此外,不点击可疑链接或在计算机上安装未知软件,可以更好地保护自己免受攻击。
SQL注入
如果你的网站未能将数据安全地存储在SQL数据库中,则可能会面临风险。如果未正确验证,恶意查询将能够使黑客具有查看权限,甚至可以操纵数据库中的任何信息。
跨网站脚本(XSS)
XSS是指在网页中插入一段恶意代码(通常是JavaScript)的行为。与其他类型的攻击不同,此攻击不会影响网站本身,但会影响该页面的用户(即你的客户),使他们遭受恶意软件、网络钓鱼等攻击。
Skimming(网络窃听)
E-Skimming是指黑客将恶意代码植入电商网站,并窃取信用卡数据或个人身份信息的行为。黑客可以通过网络钓鱼尝试、暴力攻击、XSS或第三方来访问你的网站,从而对客户输入到结帐页面的付款信息进行实时捕获。
随着网络安全问题日趋严峻,不仅有关部门对电商网站合规性的要求越来越高,而且全球消费者对个人数据和个人隐私的重视也日益增加。
此外,用户的支付信息几乎成为大多数网络攻击的主要目标,而对电商网站的攻击比率也呈现上升趋势。
作为卖家,如果你的电商网站的安全漏洞导致客户数据丢失,你所要面临的相关罚款以及对品牌声誉的损害都将是惨痛的。
1、采用安全性强且独特的密码,并确保你的客户也这样做
超过80%的网络攻击归咎于密码安全性薄弱或密码被盗,因此,你有必要确保你、你的员工和客户都使用安全性强的密码,特别注意:
·密码至少包含8个字符,并且包含大小写字母、数字和符号。
·切忌共享密码,每个用户都应该拥有自己的唯一的专用用户名和密码。
·切勿重复使用与其他电商网站相同的密码。
·考虑使用密码管理器。
·切勿公开共享敏感信息,例如你的出生日期、社保号码或任何其他可用于回答安全问题的信息。
·请勿使用任何形式的默认管理员名称。如果你使用过类似“admin”的内容,被黑客入侵成功的可能性也越大。
2、保护你的设备
无论你是使用家庭网络还是专用网络办公,请确保你的连接设备具有防病毒软件、防火墙等可以应对网络威胁的软件工具。
3、避免陷入网络钓鱼陷阱
避免感染恶意软件的有效方法之一是避免落入网络钓鱼的陷阱。除非你已验证过收件人的身份,否则切勿提供任何级别的个人信息。
切勿点击电子邮件中的可疑链接,因为它们可能会将你带到一个看起来与正规网站高度相似的登录页面以窃取你的信息。此外,切忌不要下载陌生的附件。
以下是几种将网络钓鱼尝试与合法电子邮件区分开的方法:
·电子邮件的主题行或正文中明显的拼写和语法错误可能表明发件人可疑;
·仔细查看电子邮件发件人的域名,通常“高仿”的非法域名可能只有1个字母的差别(例如,BigCommerce.com可能变为BgCommerce.com);
·注意识别URL,同样地也有许多“高仿”URL出现;
·可疑的电子邮件可能会要求你执行诸如转帐或授权付款之类的事情,并要求你立即处理。
4、实施其他身份验证因素
虽然可能会增加一定的麻烦,但是使用两步验证、两要素身份验证或多要素身份验证可以进一步确保你和授权用户是唯一能够登录到你商店的人。
5、仅存储所需的客户数据
当涉及到存储数据时,建议你不要保留超出开展业务所需的内容。尤其是随着越来越多的数据隐私法规的出台,你更加需要重视客户体验、业务便利性和安全性之间的平衡。
你可以通过隔离和分段网络系统,将客户的关键数据与其他信息分开,防止黑客连续攻击。部署防火墙并进行审核,以确保你所有的安全措施都能够按照预期的方式运行。
6、确保你的网站始终升级到最新版本
如果你使用的是BigCommerce之类的SaaS电商平台,平台将能够自动完成软件更新。如果你使用的是其他电商解决方案,也请你密切关注软件更新、错误修复和漏洞补丁,将防病毒和反恶意软件升级到最新版,并且开启防火墙。
7、切换到HTTPS
安全的HTTPS托管(需要SSL证书)将有助于保护你的网站,而且这也有利于SEO,因为谷歌自然搜索排名对HTTPS网站要更为友好。
8、备份你的数据
如果你的网站遭到破坏并失去对数据的访问权限,则需要备份以帮助你尽快恢复业务并正常运行。
9、定期检查所有插件和第三方集成软件
筛查你在商店中运行的所有第三方解决方案,确保你知道它们的来源和作用,并评估第三方软件的可信度。如果你不再使用某一款第三方软件,请将其从商店中删除。这样做是为了在不影响业务效率的情况下,尽可能地减少有权访问你的客户数据的参与方数量。
来源:跨境电商说