疫情影響下,消費者的消費模式從戶外轉移至在家消費以策安全,零售商加速轉營網上業務成新常態。網上零售商専注業務發展,在兼顧品牌管理和物流管理等多重壓力下,往往忽略了網絡安全的重要性。Barracuda 調查發現,58%港企為節省成本應付疫情,削減網絡安全預算。香港電腦保安事故協調中心的調查結果亦顯示,港企在疫情下經營困難,集中把資源投放在經營開支,令網絡保安凖備指數比 2019 年下降,當中又以零售和旅遊相關行業的得分最低,僅 40.9,指數按年下跌 3.1。
零售業的網上流量龐大,擁有大量的客戶數據,容易成為網絡攻擊的目標。而一旦被攻擊,企業可能被盜取客戶資料或公司數據,甚至被網絡罪犯加密文件勒索,蒙受金錢損失或因違反法規而遭受大額罰款,甚至損失商譽。現時的網絡攻擊越趨複雜,而電郵往往是罪犯用作誘騙受害者的第一個關口。黑客利用虛假域名,偽冒相關公司或僱員發出網絡釣魚,電郵內容可能涉及冒充服務,誘騙受害者點撃連接並轉載到虛假網站去盜取和收集個人認證資料;或在電郵中內藏惡意軟件,常見的有勒索軟件和殭屍電腦攻擊等。
勒索軟件風險未減
其中一種後續攻擊是勒索軟件,2020 年首十個月,全球便有多達 10,00 家公司曾受到勒索軟件攻擊。用戶若不小心點擊不當電郵連結,有機會觸發勒索軟件攻擊。黑客會竊取企業資料、用戶憑證資料,或加密受害機構檔案並威脅公開其數據,繼而要求勒索贖金。
早前黑客組織 REvil 就曾利用網絡釣魚電郵攻擊,成功進入一家香港大型零售集團的電腦系統和伺服器,並啓動勒索軟件加密企業檔案,令旗下公司營運一度受影響。過去,香港大型零售連鎖店亦曾受到 Maze 和 NetWalker 兩種勒索軟件攻擊。
利用球鞋機械人 DDoS 圖利
近年,「球鞋機械人」正在興起,網絡罪犯會利用這種機械人去偵查及搜羅最新的球鞋款式,或其他限量版精品出售圖利。最近的例子有受大眾追捧的 AMD RX6000 顯示卡,和 Sony 的 Playstation 5,令「球鞋機械人」廣為人知。而惡意機械人在節日網購旺季更是活躍,罪犯可透過機械人進行 DDoS 攻擊、購物詐騙以及尋找可利用的漏洞。
網釣可為企業招致長遠的後續攻擊。用戶若誤墮網絡攻擊,可令企業陷入重大的安全危機。因此,零售商必須部署全面的網絡安全策略,包括:
- 部署以 API 為基礎的電郵防禦:利用機器學習偵測並阻截越過傳統電郵閘道的網絡釣魚攻擊,如帳戶接管和域名冒充等惡意攻擊;
- 採用雙重身份驗證 (MFA):透過主動措施防禦黑客藉品牌仿冒,或偽造登錄等攻擊竊取存取憑證,為用戶名和憑證提供額外安全防禦;
- 部署數據備份和還原:對關鍵數據進行加密,確保黑客即使竊取數據亦無法將其用作勒索;
- 採用零信任存取控制,通過多重驗證去管制用戶權限,沒有被安全監察的私人裝置不應給予與業務相關的應用程式存取權限;
- 提升用戶的安全意識:利用模擬網絡釣魚訓練培訓員工識別網絡釣魚攻擊,可大大減低相關風險。
撰文:Barracuda Networks 亞太區副總裁 James Forbes-May
