|
这里选看一个案例,曾被称为美国史上最著名黑客之一的艾伯特 冈萨雷斯,利用黑客技术突破电脑防火墙,,那么他主要利用的手段,是通过受害公司的Web网站,植入了恶意软件代码,于2006.10月---2008.1月,侵入5家大公司的电脑系统,盗取了未加密的大约1.3亿张信用卡和借计卡的账户信息,总共盗刷金额1.7亿美元。这看起来黑客技术以乎无所不能,无坚不摧。
我们知道,安全是相对的,曾经安全的网上交易和服务,面临越来越大的挑战,新的问题层出不穷。似乐那些攻击安全的“矛”总能找到突破口。这里的“矛”用电商安全领域的专业术语说,就是威胁Threats,就是指可能遭受的攻击。那么电子商务的安全所面临的威胁是非常广泛的,大体上可以分为两类内部威胁和外部威胁。 一、外部威胁。上面的案例就是外部威胁造成损失的典型事件,那么外部威胁主要包括哪些呢 1、首先是恶意代码,它包括病毒、蠕虫、木马等等。它们入侵后会导致系统运行速度降低,设置被改动, 重要文件泄露或损害,给企业带来巨大的损失。 2、其次,就是所谓的不受欢迎的软件。例如广告软件、间谍软件等等。广告软件会在用户并不需要的时候,晃示广告的内容,而间谍软件则会追踪用户的访问浏览信息,并将其发送到指定的服务器。 3、钓鱼,指的是通过欺诈手段,诱使用户去访问恶意链接,获取用户的重要信息或植入木马程序。例如伪装成中奖短信或邮件。 4、黑客攻击,则是一种大家容易理解的来自外部的威胁。我们俗称的黑客,是拥有高超计算机技木的专业人士,但并非所有的黑客都会带来威胁。人们把恶意的黑客称为“黑帽黑客”,而用技术为大家做正面贡献的黑客,被称为“白帽黑客”。 5、信用卡的伪造和窃取,除了指通过技术手段入侵系统获得此类敏感信息外,还包括在系统中获得用户的身份信息后,转向线下利用身份信息申请信用卡进行盗刷。这种威胁在当前环境的一个新变化,是利用身份信息向小额贷款公司申请贷款。 6、拒绝服务攻击,指外部攻击者利用僵尸网络对网站发起瞬间大量访问,使得网站的服务瘫痪,借以对该网站的声誉和顾客关系造成负面影响。 7、网站伪造(Spoofing),指创建一个假的镜像站点,诱使用户访问假站点提交重要信息,对顾客造成损失。如︰创建eBay,支付宝等的高仿站点来获取用户支付信息。 8、嗅探(Sniffing),是攻击者利用工具监控在网络上传输的数据包以便截取重要信息。例如电子邮件信息等等。 二、内部威胁。内部威胁主要指内部授权访问敏感信息的人员对安全造成威胁。例如这些人的误操作,他们对用户数据的窃取等等。2012年的315晚会,CCTV就曾揭露过一些银行职员,出卖顾客的隐私信息,导致几十个用户的在线银行,被盗窃超过300万人民币的资产。此外、设计糟糕的服务器和客户机软件,则会带来额外的安全问题。我们都知道,软件越庞大漏洞越多,一些没有必要的图形化设计和视频功能,会导致软件更容易被黑客所攻破。 三、其他威胁。其他的威胁还来自于社交网络,移动平台和云服务,社交网络上存在大量的用户身份信息,很容易为犯罪分子利用。而移动平台所承载的App,如果没有经严格的审核,则很容易被不法之徒用来当作传播木马的途径。如今云服务已经非常普及,在感受方便的同时存储在云端的个人隐私信息,例如照片、视频、作品等等。也更容易遭受到来自互联网的攻击。 “矛”的指向:不管种类存在怎样的差异,“矛”所攻击的目标,总是经典的安全基本要素,机密性(Confidentiality)、完整性(Integrity)以及及需性(Availability)。机密性指的是对信息内容的保护,不能世露。而完整性指信息不能够被改动,及需性指的是服务不能被中断,由于存在多种威胁,大量的漏洞,总有攻击行为能够成功,总有用户遭受损失。
|
|
|
