電商平臺正在淪為“Bot攻擊”重災(zāi)區(qū)
雙11“購物節(jié)”將至,各大電商平臺宣傳信息看得人眼花繚亂,“尾款人”見了面打招呼,已經(jīng)從“吃了嗎”變成了“買了啥”,但你可能從未想過,消費(fèi)者將商品在電商平臺加購那一刻開始到商品真正送到其手中為止,整個流程都承擔(dān)著巨大的網(wǎng)絡(luò)安全風(fēng)險。
根據(jù)WAF廠商Imperva研究實(shí)驗(yàn)室的分析,電子商務(wù)行業(yè)仍然是網(wǎng)絡(luò)犯罪的主要目標(biāo)。2021年電子商務(wù)網(wǎng)站上記錄的所有攻擊中有 57%由Bot(網(wǎng)絡(luò)機(jī)器人)發(fā)起,其他所有行業(yè)的這一比例僅為33%。隨著全球供應(yīng)鏈威脅的持續(xù)影響,電商平臺可能會看到網(wǎng)絡(luò)攻擊造成的進(jìn)一步業(yè)務(wù)中斷。
報告顯示,2021年,電商網(wǎng)站上的月度Bot攻擊量比2020年增加了13%。值得注意的是:電商網(wǎng)站上復(fù)雜的惡意Bot攻擊比例在2021年也有所增長。這種機(jī)器人攻擊較難阻止,因?yàn)樗鼈儠a(chǎn)生鼠標(biāo)移動和類似人類行為的點(diǎn)擊,能夠逃避簡單防御,實(shí)施帳戶接管、欺詐和拒絕庫存攻擊,使合法購物者更難獲得他們想要的商品。
2019-2020和2020-2021電商Bot攻擊數(shù)據(jù)對比
對比2019-2020和2020-2021電商Bot攻擊數(shù)據(jù),可以看出,2019-2020年同期穩(wěn)步上升,而2020-2021年漲跌不一。從2020年第四季度到2021年上半年,Web應(yīng)用程序攻擊模式的特點(diǎn)是流量高峰與購物活躍時期相吻合,數(shù)據(jù)泄露成為主要攻擊類型,主要針對購物者的支付信息或忠誠度獎勵積分。到2021年,Bot攻擊占所有零售Web應(yīng)用程序攻擊的31.3%,與所有其他行業(yè)比例(26.9%)相比,這一比例更高。
在一項(xiàng)更直接影響消費(fèi)者的調(diào)研中發(fā)現(xiàn),2021年觀察到的所有在線零售商遭到的攻擊中有32.8%是帳戶接管(ATO)嘗試,高于其他行業(yè)25.5%的平均水平。對于信用卡或支付信息存儲在電子商務(wù)網(wǎng)站上的消費(fèi)者來說,帳戶接管是一個嚴(yán)重風(fēng)險。
另一個令人吃驚的發(fā)現(xiàn)是,電子商務(wù)網(wǎng)站上的DDoS事件在2021年9月飆升了200%。雖然假日購物開始時在線零售商DDoS事件適度增加并不罕見,但今年的急劇增加獨(dú)一無二,大概是Meris僵尸網(wǎng)絡(luò)攻擊的結(jié)果。如果這種趨勢持續(xù)下去,在線零售商應(yīng)該會在整個假期遭遇更大規(guī)模的DDoS事件,這對無法承受停機(jī)時間的在線零售商來說是一個威脅。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
