越来越多的在线欺诈行为称为劫持行为,盗贼可以窃取客户在电子商务网站上输入的数据,而无需购物者或网站所有者知道这种情况。
它发生在2018年的英国航空公司,当时有 38万客户的数据被网上转售劫持,而小企业也是如此。以下是您需要了解的有关此威胁以及如何保护您的电子商务网站的信息。
什么是劫掠?
Formjacking是一种趋势类型的数据泄露,在2018年出现在数据安全调查员的雷达上。去年,一家安全公司单独阻止了对其客户的370万次劫持攻击,估计每月有4,800家网上商店被劫持。那是因为劫掠很容易做到,难以发现并为小偷赚钱。
劫持电子商务结账表单所需要的只是插入恶意JavaScript代码。该代码捕获客户在这些字段中输入的任何支付数据,并将其发送给运行该骗局的攻击者,所有这些都不会中断网站的订单流程。
撇去的数据在黑暗的网络上销售。来自英国航空公司网站的数据显示,每条记录的售价高达50美元,包括CVV,到期日和客户的个人数据。该信息使CNP欺诈者更容易在线购物,因为通常必须对被盗卡号进行测试,以使其与安全码和到期日相匹配。
什么类型的网站形成劫机者的目标?
BA和Ticketmaster等主要电子商务网站都遭到了劫持。但是,劫机者似乎更喜欢中小型的在线业务,因为他们的网络安全计划往往比大型电子商务网站弱。
formjackers寻找拥有大量客户流量的网站,以便在最短的时间内窃取尽可能多的数据。这意味着购物旺季可能成为巅峰时期的巅峰期。这些犯罪分子寻找使用第三方应用程序和插件的网站,例如客户服务聊天机器人和满意度调查。网站上的额外代码可以更容易地伪装其嵌入的恶意代码段或破坏第三方代码。
Formjacking造成数据泄露噩梦
Formjacking攻击侵蚀了客户的信任,驱使购物者离开并破坏品牌。一个负面的购物体验可以促使 63%的消费者在其他地方购物,并且他们的卡片数据被悄悄偷走绝对是一种糟糕的体验。而且,form attacks的攻击越多,购物者对网上购物安全性的信心就越小,这就是为什么电子商务生态系统中的每个人都需要关注这一趋势。
如何保护网站免受劫持?
部署全站HTTPS加密是防止流量劫持最基础、最重要的安全防护措施!HTTPS在HTTP基础上加入SSL/TLS协议,对服务器与终端、服务器与服务器之间的传输数据进行加密,保护数据的机密性并验证数据的完整性。通过HTTPS加密连接传输的数据,流经运营商、路由器、WiFi等任意节点时都是密文,即使被劫持或窃取,没有私钥也无法解密,确保数据在传输过程中全程安全。SSL/TLS协议提供的身份认证机制,依靠SSL证书验证服务器身份真实性,确保数据传输到正确的通信方,防止虚假服务器钓鱼攻击,欺诈用户或窃取用户数据。全站部署HTTPS加密可以确保用户每一次连接、每一次访问都通过安全加密的方式进行,防止HTTP明文传输和局部HTTPS加密可能导致的安全风险。
时代在进步在发展,我们的生活越来越离不开网络,可以说网络承载着我们大部分的生活,稍不注意就会裸露在不法分子手上,网站被劫持后影响非常大。为网站部署SSL证书进程已势不可挡,数安时代建议广大站长或企业网站负责人尽早为网站部署合适的SSL证书.为了让网站更好的防劫持,网站都需要安装SSL证书实现 https 加密保护。
