觀點

電子商務安全 刻不容緩

2018 / 11 / 06
編輯部
電子商務安全 刻不容緩
TWCERT/CC沈紀威分析師表示: “常見的問題包括網站原始碼存在安全漏洞,相同網站開發商所建置之網站,可能使用相同開發框架,若網站開發商對於網站資訊安全不重視,容易導致企業遭遇類似的資安風險。” 

現代人只需要用手機或是任何可以上網的裝置,便可以輕鬆地搜尋到各式各樣的商品,只需要簡單幾個步驟,便可以在家等著所購買的商品送上門,這使得網路購物已經是人們購物的主要通路,而電子商務也已經是廠家銷售商品的重要途徑。不過,因為電子商務所造成的網路詐騙事件層出不窮,一方面打擊消費者對於網路購物安全性的信心,也對電子商務商家的商譽帶來重大的影響。

常見的電子商務糾紛類型
最常見的電子商務問題,依照類型可以分成兩大類,一是賣家本身便有詐騙意圖,導致買家拿不到商品,或是商品有瑕疵,造成商業糾紛,最常見的便是在臉書上經常出現的商品銷售廣告,其以極低價錢與貨到付款為誘餌,導致許多人購買到仿冒的劣質品,由於這類電子商務糾紛是賣家刻意為之,政府應該加強網路購物宣導,提醒消費者如何辨別哪些屬於詐騙型購物網站。

另一種便是屬於電子商務網站遭受駭客攻擊,導致客戶資料丟失所衍伸的電子商務詐騙問題,最常見的便是消費者於購物網站購物後,突然接到電話告知消費者,其在購物過程不小心被設定為分期付款,需要到ATM解除設定這類老套的詐騙手法。雖然進行詐騙者並非賣家或是購物網站,但是買家的資料與購物訊息為何會外流,便是賣家與購物網站不可推卸的責任。

至於買家的購物訊息為何會流落到詐騙者手上,也可以主要分成兩大類,一種是購物網站內控出了問題,由內部人員刻意將資料賣給詐騙集團,另一種則是購物網站遭受駭客攻擊,資料被竊取。內部人員刻意將資料竊出,通常比較防不勝防,畢竟若是被授權可接觸到客戶資料的內部人員想要把資料帶走,其難度相對不高,企業除非有非常嚴格的內控機制,否則想要防堵資料外洩,真是一件困難的工作。但若資料外洩是因為被駭客入侵,則屬於資安威脅範疇,是每家企業都應該努力去防堵的工作。 

資安威脅類型多樣 防堵全面啟動
隨著資通科技(ICT)的迅速發展,雖然帶來了便利與智慧化的生活,同時也衍生了資訊安全的疑慮,對個人而言,常見的便是個資外洩、檔案勒索或財務盜刷等事件。對單位而言,則造成經濟損失、商譽受損或機密外洩,若從國家層面來看,關鍵資訊基礎設施遭駭,也會引發政經民心動亂。當前政府已將資訊安全提升到國家安全的層級,因此,資訊安全的觀念應成為國民的基本素養。

TWCERT/CC沈紀威分析師表示,由於資訊化普及,個人資料均以電子檔案方式儲存,因此個人資料遭竊案例,時有所聞。目前最常見的電子商務詐騙手段,便是臉書的一頁式廣告詐騙,這類詐騙常以破盤價、免運費、貨到付款、7天鑑賞期等方式吸引消費者,並冒用原廠圖片影片,引誘消費者點擊可疑網址,然而當商品寄送到客戶端時,消費者才發現商品與實際不符,造成民眾財損或被植入惡意程式。

另一種常見的詐騙手法,則是網站遭轉址服務利用的資安風險,駭客利用一些與常見購物網站近似的網名來誘騙消費者點擊,然後轉址到仿冒的購物網站,沈紀威分析師表示,電商業者應該經常以自己的網站名稱、網域等關鍵字進行搜尋,檢查是否遭非法冒用,若發現有非網站管理者意願之重製行為,應向網域轉址服務平台反映並通報當地CERT/CSIRT組織或網域管理單位來協助移除。此外,使用者應該小心其網站名稱與網址是否有異,勿認為從搜尋引擎找到的連結都是正確的。網域轉址服務平台商也應對申請者建立更嚴謹的身分驗證機制,以防止有心人士利用網域轉址服務作為網路釣魚用途。

 

下一篇我們將與您探討中小企業常發生資安問題的原因。