過去大型購物網站一直是詐騙集團攻擊的目標,在經過一段時間的資訊安全整頓之後,詐騙集團開始轉向一些較為小型但仍擁有數十萬會員的網站,例如一些知名的直銷公司網站。
資安技術顧問判斷,這些直銷公司的網站有些已開始針對安全作強化,所以出問題的網頁通常並不是主架構,而可能是一些短期促銷的活動網頁,因為臨時性推出而沒有做嚴謹詳細的檢查,導致成為一個短暫卻致命的漏洞,目前已知有一、兩個直銷網站的會員資料全數被撈走,使用的攻擊手法仍然是老舊的SQL Injection、Shell Injection等,顯現出這些網站開發人員的數位安全落差問題。
目前已有幾家直銷網站公司注意到詐騙案例因而開始在網站上提醒消費者。
.jpg)
圖片來源:Amway網站。
圖片來源:Nuskin網站。
資安顧問提到,其實也有些全球性的入口網站,因為其流量太大,光是Log分析工作就難以負荷,所以甚至會採取主動式的防禦,例如在安全條款上加註,歡迎測試該公司網站安全,只是必須提供報告給該公司參考等。
這些攻擊手法實在是老舊到不行,至少運用十年以上,但因為網頁應用程式開發人員仍然沒有資安意識,而使得漏洞持續的出現。要說是開發人員有數位落差也行,但更重要的是網站管理者是否正視問題的嚴重性,中小企業也同樣受到個資法的規範。如果將來要在網站上做生意,基礎的網頁安全管理實在不可不注意。