情人節(jié)購物安全指南：值得電商行業(yè)重視的五類攻擊！

開年甜蜜局，又是一年情人節(jié)。佳人牽手共度美好時光，怎能少得了驚喜好禮！可以預見的是，在本次假日季來臨前，電商領(lǐng)域即將迎來一大波購物熱潮，網(wǎng)絡流量隨之激增。

值得注意的是，促銷節(jié)的攻擊者也在關(guān)注著購物人群的流向?；仡櫮曦浌?jié)、雙11、圣誕季等大促節(jié)點，紛至沓來的多樣化攻擊形式，從未缺席。網(wǎng)絡中充斥著如此多的攻擊類別，與不同類型的消費者畫像有著直接關(guān)系。因為犯罪分子會從消費者的購物習慣出發(fā)，布下陷阱、攫取利益。

為此，Akamai近日分享了在年終購物季觀察到的五類消費者畫像，同時有針對性地發(fā)布了防御建議，協(xié)助電商企業(yè)洞見安全盲區(qū)，全方位保護用戶與企業(yè)自身的資產(chǎn)安全。

顧名思義，計劃型購物者指的是購物節(jié)奏置前的剁手一族。這類購物者往往會提前幾個月就備好禮物。由于預先做好購物計劃，他們在經(jīng)常使用的在購物網(wǎng)站上，留有敏感數(shù)據(jù)——信用卡、登錄信息和其他個人數(shù)據(jù)。

攻擊者為獲取計劃型購物者的敏感信息，主要會采用撞庫攻擊。操作上，黑客會通過用戶憑據(jù)列表，用惡意爬蟲程序侵入系統(tǒng)。相當比例的用戶在多種服務中，會使用相同的用戶名/密碼，也給攻擊者留下了可乘之機。

撞庫攻擊應對建議

·在商家網(wǎng)站上保存付款明細時，應格外小心，以防商家系統(tǒng)被攻破時，數(shù)據(jù)失竊

·重視密碼保護，為不同網(wǎng)站設置不同密碼，使用管理器，設置獨特且難猜的密碼

相比于計劃型購物者，“最后一刻”型購物者的拖延特性非常明顯，直至促銷即將結(jié)束時才會完成下單。如雙11結(jié)束前才想起“再不買就虧了”。他們確實能搶到折扣優(yōu)惠，但操作時間非常緊迫。

“最后一刻”型購物者，很容易忙中出亂，失去判斷能力，意外點擊不可信鏈接，成為網(wǎng)絡釣魚攻擊的受害者。高偽裝度的電商促銷郵件和虛假網(wǎng)站，都對此類消費者有著顯著吸引力。

網(wǎng)絡釣魚攻擊應對建議

·點擊網(wǎng)站或提供任何個人信息之前，請驗證網(wǎng)站是否可信有效，主動辨別是否為虛假網(wǎng)站

·警惕來源不明郵件錯誤，或請求啟用宏、調(diào)整安全設置或安裝程序時，立即停止不當操作

比價型購物者的特點，不在于進行消費行為的時間早晚，而是側(cè)重更高性價比，他們會通過對全網(wǎng)價格信息的對比，來找到更優(yōu)的折扣與價格。

正因為比價型購物者，會篩選大量網(wǎng)站進行比較，由此攻擊者會利用這種薅羊毛的心理，向購物者發(fā)送虛假優(yōu)惠，以此換取消費者個人數(shù)據(jù)。更有甚者，黑客還會冒充Google Analytics等合法工具，入侵竊取電商企業(yè)更大規(guī)模的利益。

社會工程攻擊應對建議

·應務必驗證優(yōu)惠和發(fā)送者的身份是否真實有效，警惕不法分子精細打造的虛假詐騙網(wǎng)站

·請使用卓越的垃圾郵件過濾器來過濾電子郵件，作為防御可疑文件和鏈接的第一道屏障

如果說計劃型購物者是“工筆畫”選手，那么沖動型購物者的表現(xiàn)就尤為“寫意”。這類消費者完全受情緒驅(qū)使，通常情況在下單前不會做具體計劃。限時折扣商品，會誘導沖動型購物者做出不理性行為。

針對購物者的沖動傾向，品牌冒充攻擊具有更大的殺傷力。在攻擊路徑上，黑客會通過發(fā)送欺詐鏈接，冒充當紅品牌，誘導用戶通過下載惡意軟件等形式，騙取敏感數(shù)據(jù)。當下秒傳擴散的社交媒體，也成為了攻擊者的重要渠道，使得他們更容易地打造山寨品牌。

品牌冒充攻擊應對建議

·仔細檢查郵件中的鏈接，如果網(wǎng)址不正確，或指向與品牌無關(guān)的第三方網(wǎng)站，請謹防詐騙

·請在點擊任何鏈接付款前，通過官方渠道聯(lián)系品牌核實優(yōu)惠，同時確保檢查帳戶的真實性

研究型購物者兼具比價型購物者的薅羊毛特質(zhì)外，更會利用自動化工具來提升效率。他們善于在瀏覽器上安裝各種比價擴展程序，在多重維度快速篩選出優(yōu)質(zhì)產(chǎn)品，定位到更合適的優(yōu)惠價格。

由于廣泛使用擴展插件，研究型購物者更可能遭受惡意擴展程序攻擊，被盜取登錄憑據(jù)和瀏覽歷史記錄等數(shù)據(jù)。具有規(guī)避檢測功能的惡意擴展程序，也加劇了網(wǎng)絡黑客的氣焰。社交平臺上，攻擊者還會濫用購物者社交帳戶訪問權(quán)限，以向受害者朋友借錢等方式，侵害更多利益。

惡意擴展程序攻擊應對建議

·只通過官方網(wǎng)絡商店安裝擴展程序，而非通過不正式的渠道獲取

·如果擴展程序在安裝前所需的權(quán)限顯示可疑，即刻停止繼續(xù)安裝

一直以來，電商領(lǐng)域都是Akamai的重點服務行業(yè)。為確保消費者獲得安全流暢的網(wǎng)購體驗，Akamai針對以上五類攻擊形式，協(xié)助多方客戶布局有Akamai MFA,Account Protector,App&API Protector,Page Integrity Manager等安全解決方案，能夠全方位地支持并保護電商企業(yè)和用戶，暢享安穩(wěn)、高質(zhì)量的數(shù)字化生活。