双11“购物节”将至,各大电商平台宣传信息看得人眼花缭乱,“尾款人”见了面打招呼,已经从“吃了吗”变成了“买了啥”,但你可能从未想过,消费者将商品在电商平台加购那一刻开始到商品真正送到其手中为止,整个流程都承担着巨大的网络安全风险。
根据WAF厂商Imperva研究实验室的分析,电子商务行业仍然是网络犯罪的主要目标。2021年电子商务网站上记录的所有攻击中有 57%由Bot(网络机器人)发起,其他所有行业的这一比例仅为33%。随着全球供应链威胁的持续影响,电商平台可能会看到网络攻击造成的进一步业务中断。
报告显示,2021年,电商网站上的月度Bot攻击量比2020年增加了13%。值得注意的是:电商网站上复杂的恶意Bot攻击比例在2021年也有所增长。这种机器人攻击较难阻止,因为它们会产生鼠标移动和类似人类行为的点击,能够逃避简单防御,实施帐户接管、欺诈和拒绝库存攻击,使合法购物者更难获得他们想要的商品。
2019-2020和2020-2021电商Bot攻击数据对比
对比2019-2020和2020-2021电商Bot攻击数据,可以看出,2019-2020年同期稳步上升,而2020-2021年涨跌不一。从2020年第四季度到2021年上半年,Web应用程序攻击模式的特点是流量高峰与购物活跃时期相吻合,数据泄露成为主要攻击类型,主要针对购物者的支付信息或忠诚度奖励积分。到2021年,Bot攻击占所有零售Web应用程序攻击的31.3%,与所有其他行业比例(26.9%)相比,这一比例更高。
在一项更直接影响消费者的调研中发现,2021年观察到的所有在线零售商遭到的攻击中有32.8%是帐户接管(ATO)尝试,高于其他行业25.5%的平均水平。对于信用卡或支付信息存储在电子商务网站上的消费者来说,帐户接管是一个严重风险。
另一个令人吃惊的发现是,电子商务网站上的DDoS事件在2021年9月飙升了200%。虽然假日购物开始时在线零售商DDoS事件适度增加并不罕见,但今年的急剧增加独一无二,大概是Meris僵尸网络攻击的结果。如果这种趋势持续下去,在线零售商应该会在整个假期遭遇更大规模的DDoS事件,这对无法承受停机时间的在线零售商来说是一个威胁。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】