双11网购,电商企业需要注意的三大安全问题
网购已成为国内主流的消费习惯,双11更是各大电商平台每年最重要的节日,从“消费至死”到“全民狂欢”,商家发出的一个个订单,最终汇聚成一个个商业奇迹。但这场盛宴的背后,同样隐藏着安全隐患。每年双11前后,网络安全问题进入高发期,羊毛党、黄牛党、盗号党、欺诈党等黑产猖獗的发起进攻。据往年统计显示,双11当天发生的恶意行为要比平时要高出9倍之多。
企业面对这些安全威胁,有哪些需要警惕的呢?无外乎三件事:
1、别让坏人攻破你的防御;
2、别让黑产影响你的正常业务;
3、别让重要数据泄露。
一、移动化趋势明显,移动端安全防护愈发重要
随着智能手机能实现的功能越来越多,人们许多工作生活的重心也开始转移到移动端上。2016年“双11”全天淘宝天猫移动端销售额占比达83.5%,PC端占比16.5%,移动端的安全性愈发重要。
针对移动端的源码破解、数据篡改、病毒攻击、仿冒应用等威胁,单纯的APP加固已经无法应对黑客层出不穷的手段。比如APP被第三方反编译,然后修改其原有的付费接口,陷入用户完成付款却没有达成交易的骗局。企业应当从APP的设计、开发、编译、发布、运营整个流程就开始布局,为APP的每一个环节打造铜墙铁壁般的防御体系。
但企业安全体系犹如水桶原理,任一环节出现问题会导致整个安全策略崩盘,而移动端和PC端需要面临的风险却又不同。因此如何建立完善的端安全防护体系成为企业的重中之重。
业务风控结合全流程端防护,保护自身业务逻辑安全性的同时防止黑客通过技术暴力破解,将是未来电商平台建立安全防御体系的趋势。
二、羊毛党威胁日益凸显,已成为最大毒瘤
双11最大的特色是享受全年最低的折扣,优惠券、红包等让利活动。这类营销活动吸引海量用户关注的同时,羊毛党、黄牛党也在这天闻风而动。与DDoS、病毒木马等破坏平台运行的黑客攻击相比,羊毛党等黑灰产主要是基于业务本身运营的利益获取。据阿里安全2016年报显示,70%~80%的营销费用会被羊毛党薅走。
羊毛党利用脚本软件或设备牧场进行机器下单、人肉抢单,大量抢购低价营销商品或市场紧缺型商品(如iPhone新品发布),然后通过第三方渠道售出赚取差价。导致营销活动不仅不能有效刺激正常用户下单,并且大规模的机器下单,还会对网站的流量带来压力,产生类似DDoS攻击,甚至能够造成网站瘫痪。该产业遍布各大电商平台,小到一两分的积分,大到飞机票火车票都是目标之一,整体产业规模上百亿。
羊毛党大批量注册用户并模拟正常用户行为,还会影响电商平台对活动力度及备货量的判断,造成库存积压。另外一些黑灰产会针对平台的热门产品进行恶意刷单,致使产品下架,正常用户无法购买。这类风险对企业造成的伤害更加直接。
网络黑灰产不单纯的是技术工具,更多融合大量社工手段。软件程序有较强的规律性,但是人的行为却是个性化的体现,由此导致黑灰产攻击的更加复杂多变,这就需要在更多维度、指标、方式上使用更复杂的规则、模型进行防御。
针对这类威胁,目前国内主流的对抗策略是滑动验证码。滑动验证码结合设备指纹、行为特征、访问频率、地理位置等多项技术,能有效的拦截恶意登录、批量注册,阻断机器操作拦截非正常用户。由前阿里巴巴研究员陈树华推出的无感验证,对恶意行为前置拦截,拦截率高达90%以上,用户无需再经过计算、思考或输入操作,只需轻轻一滑即可进行验证,机器学习也会对用户行为进行建模,正常用户再次访问时,无需再滑动验证,直接通过。
三、电商平台是数据泄露的重灾区
不管是交易行为,信息存储和数据传输,都存在相当的隐私性,而这些行为的本质就是数据。对于黑灰产来说,数据可能比产品更值钱。双11期间不仅是购物的狂欢,更是数据的盛宴。电商平台是数据泄露的重灾区,黑产每年从平台上爬取的数据,可造成的经济损失近千万元。
此前大麦网爆出被撞库,黑客窃取用户个人信息,并且伪装成大麦网客服进行诈骗。全国各地有39名用户被骗,诈骗金额高达140多万。
黑灰产窃取企业的产品数据和用户数据等关键信息,前者可以对企业进行敲诈勒索,或直接拿来售卖,后者可以利用软件进行刷库撞库、电商诈骗,最大化的攫取个人用户的价值。在双11之前,黑产主要针对各平台的活动作弊,而过了双11,数据泄露引发的刷库撞库风险就开始持续走高。
离双11还有一个月的时间,电商平台忙着推广备货的同时,更需要提升自身业务风控的防御能力,对于那些中小电商和企业来说就没有那么多钱去保障平台的安全,这就需要借助顶象技术等专业的第三方风控服务做好黑灰产的防御。