保护电子商务 保护电子商务和 和零售
作者：Source Defense

根据最新的 Visa半年威胁报告，近 75% 的欺诈和数据泄露案件涉及电子商务和零售商。针对电子商务平台和第三方代码集成的数字盗刷攻击很常见。

几乎所有电子商务网站都利用了十几个甚至更多的第三方和第四方数字供应链合作伙伴，而这些合作伙伴超出了其安全和合规团队的掌控范围。每天，该数字合作伙伴生态系统都会使电子商务组织面临数据泄露和数据盗窃的风险。

只需要一个第三方合作伙伴收集不应该收集的数据或一个受到感染的恶意脚本，网络犯罪分子就可以窃取您的电子商务客户的个人和财务数据，破坏您组织的声誉并威胁其生存。

Web 浏览器漏洞

在浏览器中，客户端 手机号码数据 进程几乎总是用 JavaScript 编写的。根据我们团队的最新情报，全球有超过 17 亿个面向公众的网站，其中 95% 的网站使用了 JavaScript。在过去 8 年中，桌面端 JavaScript 代码的大小增长了 347% 以上，移动端增长了 593% 以上，并且还在持续增长。

而这其中就存在着结构性安全问题，它对您最关键的业务渠道构成了最大的威胁之一——在入口点保护您的客户数据。您的所有第三方数字供应商（包括支付卡处理器、广告网络、社交共享服务、分析等）都使用 Javascript，它位于您的安全边界之外，容易受到各种攻击。

此代码是从远程服务器动态下载的，这意味着它绕过了传统的安全基础设施，包括网站所有者的防火墙和 Web 应用程序防火墙 (WAF)。第三方和第四方脚本的控制级别与网站所有者自己的脚本相同。页面上的每个脚本，无论其来源如何，都具有访问和创作能力，这意味着它可以更改网页、访问网页上的所有信息（包括表单），甚至可以记录并保存击键。

运营电子商务网站的零售商只能通过有限的手段来动态检测这些第三方脚本的任何变化，并且无法使用服务器端安全解决方案来阻止它们从客户的浏览器窃取数据或执行其他恶意活动。

客户端攻击

客户端攻击是一种针对 使用模拟器进行虚拟练习 用户而非服务器的网络攻击。客户端攻击可用于获取用户帐户信息或劫持其会话。

那么网络犯罪分子利用数字供应链中的 Javascript 漏洞的方式有哪些？

表单劫持。这些攻击可能同时影响数百万人，也可能具有很强的针对性，只影响特定人群。表单劫持是指网络犯罪分子入侵网站以控制其提供敏感信息的入口点。这种类型的攻击通常与网络犯罪分子有关，他们试图窃取电话号码和家庭住址等个人信息，这可能导致身份盗窃。

支付卡盗刷（电子盗刷、数字盗刷）。零售商和银行都经历过物理盗刷，攻击者在 ATM 机或销售点终端上安装隐秘的信用卡盗刷设备，窃取信用卡或借记卡号码和 PIN 码，而如今的网络犯罪分子在电子商务网站上做同样的事情，从现有支付表单的输入字段中盗取支付数据，或劫持不知情的用户进入虚假结账页面。

Magecart。Magecart是一种数字盗刷攻击，可窃取客户支付卡中的信息。它们的目标是 Magento 等系统的购物车，其中系统集成商破坏的第三方代码可能会在 IT 部门不知情的情况下被感染。这也被称为供应链攻击。

表单字段操纵。黑客可以操纵表单字段来更改发送到 Web 服务器的数据。他们通过研究网页上的源代码来了解您的表单字段数据。任何人都可以通过右键单击页面并选择“查看源代码”来做到这一点。HTML 代码包含您的表单字段数据，熟练的黑客可以使用注入攻击和其他技术来操纵这些数据。

对企业的影响

数据泄露已成为全球各组 新加坡數據  织面临的现实问题。但数据泄露后会发生什么？

数据泄露后，您的公司可能会立即失去客户的信任，从而导致销售额和收入下降。
您还可能面临受影响个人或团体的法律和监管处罚以及昂贵的诉讼。
您的声誉将受到损害，不仅会受到受影响客户的损害，而且有毒的搜索结果会让违规消息在互联网上持续传播。
您还可能会被迫花费大量资源调查违规行为并实施安全措施以防止其再次发生。
中断可能包括雇用网络安全专家、更新软件以及培训员工识别和预防潜在威胁。
在严重的情况下，向公众和股东披露违规细节可能会导致股价下跌、员工流动以及难以招聘到新的人才。

保卫您的数字企业

抵御客户端攻击和消除客户端风险的最佳方法是采取主动的方法并部署能够在攻击对您的业务或访问者造成损害之前阻止攻击的技术。通过管理网页和访问者的 Web 浏览器上运行的代码，客户端安全平台可以实时控制客户端代码可以做什么和不能做什么，甚至可以在新奇和有创意的攻击泄露数据之前阻止它们。