線上購物網站陸續爆發資安問題,會員個人資料外洩事件頻傳,詐騙集團藉由掌握線上購物網站交易資料進行詐騙的事件層出不窮,到底線上購物網站的安全發生了什麼事?網路交易到底安不安全呢? 刑事警察局最新發布的網路詐騙統計中顯示,去年1∼8月累計的詐騙金額超過3億1千餘萬元,受害人數超過萬人,其中大多數情況,都是這類因為個人帳號與交易資料外洩引起的詐騙案件。其中多家大型線上購物網站,不論實際外洩情節輕重、或僅發生關連但外洩原因不明等情況,刑事警察局都在網頁通報中一一點名,希望能提高使用者的警覺心,來避免持續的金錢損失發生。
6大類常見線上購物網站安全危險 2007年發生多起線上購物網站的安全事件,發生問題的環節可歸納成6大類,從電子商務網站本身各層面的問題,到使用者端的環境,甚至是上下游相關產業或關連網站,都會威脅到線上購物網站的安全。
網路交易到底安不安全呢? 刑事警察局「165週報」發布的統計數據顯示,臺灣開始出現大量網路詐騙事件,是從2006年底開始,到2007年1月達到高峰。這時期的案件多數是利用使用者對網路交易的陌生和信賴感,謊稱ATM轉帳錯誤,來誘騙買家重複匯款。但到了2007年4月後,刑事警察局發現網路詐騙手法開始轉變,開始出現盜用帳號或者盜用交易資料的詐騙案件,例如冒用聲譽良好的賣家帳號,提供假交易。
露天拍賣從開發流程和制度落實安全 滿1歲的露天拍賣,在系統開發的流程上,已經陸續修補了Cookie安全性問題,和常見的XSS(Cross Site Script,跨站攻擊)以及SQL Injection(隱碼攻擊)等問題。此外IT部門也成立資安專責小組填補漏洞,負責維護系統安全;另有交易安全小組,預防網路詐騙。
直擊PayEasy購物網站的安全作法 看PayEasy怎麼面對中國大陸詐騙集團鎖定比對數千名會員帳號的危機處理,帶你深入PayEasy內部一探網站安全防護要做到什麼程度
4大手法強化網站安全 手法1:強化軟體開發流程 強化軟體開發流程可以從人員安全訓練,開發流程安全機制以及程式碼安全品管入手。而滲透測試以及原始碼檢測,是最常使用的兩種網站安全檢測方式,主要能尋找出網站有哪些漏洞或程式碼問題。多數企業受限於經費,往往從中選擇出一種測試方法,其實,兩種方式採取相反的檢測思維,搭配使用,能夠相互彌補彼此的缺點。
手法2:用架構與權限來控管安全 透過系統架構的隔離,強化功能的權限控管,可以建立網站防護的縱深,縮小安全威脅的打擊面。除了針對網站功能的重點項目加強以外,還需要特別檢視容易疏於防護的地方,包括網站配置以及例外處理。
手法3:用資安防護產品爭取時效
資安防護產品可以第一時間發現網站漏洞,防堵惡意攻擊,爭取修補網站程式防禦碼的時間,也可以避免損失繼續擴大。防禦硬體方面,除了網路安全設備可以提供網路環境的保護之外,針對網站的防禦,主要是網站應用程式防火牆(Web Application Firewall,WAF),能同時保護網站與使用者。
手法4:將使用者納入網站安全防護圈 使用者的安全是網站安全的最後一哩,網站業者必須將使用者納入防護,才能建構完整的網站防護圈。雖然不論是安裝防護程式,或者是使用一次性密碼的方式,都會造成使用者的不便,但是,陳彥銘表示:「不能一昧考慮使用者的方便性,必須在安全性和方便性之間取得平衡。」
全文>>