勒索軟體、銷售點管理系統(PoS)駭入與供應鏈威脅只能算是今日零售商煩惱的一小部份。處理大額金額與龐雜顧客資料時,才是更大的賭注。
文/James Careless‧譯/Nica
零售商成為駭客最鍾愛的目標原因相當多。零售商賺取並處理巨額金錢、儲存數百萬筆客戶信用卡號碼,還擁有缺乏網路安全訓練的第一線員工。為了省錢,部份零售商會使用未適時更新、沒有安全保障與沒有監控的舊式設備處理網路攻擊。據 Verizon 在 2202 資料外洩報告中指出,2022 年零售產業回報 629 則意外事件,其中 241 件已「確認資料外洩」。
攻擊的後果影響深遠,從失去客戶信任到遺失資料到財務損失都有可能。本文將介紹今日零售商面臨的五大網路威脅,並說明謹慎行事的企業正採取哪些措施自我保護。
1. 勒索軟體名列第一
據資料安全公司 BlackFog 所述,IKEA、麥當勞與加拿大連鎖百貨 Sobey 都是 2022 年零售商的眾多勒索軟體的受害者。美國零售聯合會的零售科技暨網路安全副總裁 Christian Beckner 認為這在意料之中。他表示:「勒索軟體如今影響的是每一個人,顯然是零售商一直以來的主要風險。」
網路安全公司 Sophos 指出,該產業有三分之二的公司回報,在 2022 年遭受勒索軟體攻擊。有一半以上的攻擊,歹徒都能成功加密檔案。在一份針對 422 位零售 IT 專業人員的調查中,有 77% 表示他們的企業在 2021 年曾遭到勒索軟體攻擊,較 2020 年上升 75%。
此類攻擊所引發的財務損失與混亂很可能相當嚴重。「勒索軟體攻擊會引發零售商一連串重大網路安全風險。」卡巴斯基全球研究暨分析團隊主管 Fabio Assolini 如此表示。部份情況下,企業遭受攻擊後不得不關閉營運或銷售點系統,讓 IT 團隊能夠調查意外事件。「勒索軟體攻擊甚至還會帶來嚴重的商譽風險,因為結果可能涉及資料外洩。零售業處理信用卡資料的公司,可能也會因勒索軟體攻擊而曝露於風險之中。」
2. 從機器人到冒充者的電子商務威脅
零售商容易遭受各種直接電子商務網路威脅的攻擊,程度遠遠超越勒索軟體。攻擊內容包含駭客變更禮物卡與/或用於啟用它們或管理的系統、換掉產品條碼騙過自助結帳系統、透過線上回覆表單進行退貨服務欺詐獲得訂單項目的退貨款項、劫持顧客帳號以竊取個人資訊,以及透過數位竊密(digital skimming)盜取信用卡號碼。
電子商務網站的機器人攻擊是必須重視的另一威脅。這些自動 script 可利用瀏覽器模擬人類行為,包括滑鼠移動與點擊,使之更難以偵測。進階機器人還能經由匿名代理伺服器、匿名網路或公有雲服務,利用路由封包隱藏真實位置。機器人促成帳號接管,讓駭客得以利用從客戶帳號得到的禮物卡、折扣券與忠誠點數甚至已儲存的信用卡資訊等資料進行欺詐購買。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
機器人可以執行竊取憑證的惡意軟體,或接管瀏覽器以客戶名義執行動作,甚至以暴力破解方式猜密碼。電子商務網站中,有近四分之一試圖登入的理由是為了帳號接管,而其他產業平均是十分之一。超過 90% 此類的嘗試攻擊是利用其他資料外洩事件中洩露的憑證猜測使用者密碼,亦即知名的憑證填充(credential stuffing)技術。
還不止這些。品牌冒充,是威脅行動者建立合法品牌網站、電子郵件位址或社交媒體帳號的欺詐版本矇騙客戶,進而竊取登入憑證、財務資訊或個人資料等機敏資訊的一種戰術。「看起來像合法電子商務網站的假線上商店、利用知名財務機構商標與品牌的釣魚騙局,以及看起來與商譽優良品牌相關的假客服電話號碼,都是常見的品牌冒充案例。」零售與餐飲服務資訊共享暨分析中心(ISAC)的情報營運副總裁 Bryon Hundley 如此表示。
3. PoS 惡意軟體變聰明
Prilex 這類 PoS 惡意軟體會擷取有線與無線 PoS 終端結帳櫃台的信用卡資料。Assolini 表示:「從 2014 年開始活躍,來自巴西,如今遍布全球。」
不幸的是,Prilex 不斷精益求精,讓駭客更容易佈署。「2022 年已有報告指出,它以惡意軟體即服務的方式販售,並在 2023 年初,卡巴斯基就發現了三個 Prilex 惡意軟體的新變種版本,可以在受感染裝置上封鎖無接觸的 NFC 交易。」Assolini 表示。「從網路犯罪的角度來看,無接觸支付產生的交易資料看來是沒有用的,但這麼做可以迫使顧客使用實體卡片支付,換句話說,讓網路犯罪者得以竊取金錢。」
4. 零售企業內部深藏網路威脅
面對顧客的零售工作,在商業行為裡處於高薪低報酬的職務。即便是這些員工之中最優秀的也可能對網路安全一無所知,為這些不想花心力為員工提供這類訓練的公司工作。
結果呢?「內部威脅在零售業裡特別嚴重。」Nettitude 技術服務副總裁 Chris Oakley 表示。「通常,零售業員工 ─ 包括時薪工作人員,流動率較高,也不一定進行徹底的背景調查。此外,由於報酬通常很低,因而提升零售企業被出於財務動機內部人員鎖定的風險。平凡而破壞力不減的就是不滿的內部員工,他們會願意利用內部知識破壞系統可用性。」
5. 供應鏈第三方來源的攻擊
零售業販售各式各樣從第三方供應商買來的產品,它們的軟體供應鏈往往一樣複雜又難以理解。任何發生在供應商的網路攻擊,都可能影響同樣仰賴它們的零售商。不幸的是,「零售業擁有最複雜的供應鏈,範圍遍及產品到商業服務。」Oakley 表示。「供應鏈有商業營運的相依性,對攻擊者而言代表有很多的切入點。」
2022 年發生的知名協力廠商外洩事件、同樣重擊零售商的是 SolarWinds 駭客攻擊,對數千名使用者造成影響,Beckner 表示。「但還有許多協力廠商外洩事件是:大型零售商是這些軟體服務的客戶並深受影響。」
反擊
有這麼多網路威脅待處理,聰明的零售商會先專注處理最糟與最危險的。「這只能算風險緩解,而不是消滅風險。」Beckner 表示。「就勒索軟體來看,備份所有重要資料系統與客戶資訊,你就能在沒有更大範圍的商業營運破壞下繼續前行。」
儘管如此,於 2013 年遭受重大支付系統資料外洩的零售商 Target,正著手超越反應式防禦,試著讓駭客難以攻破。「在零售業裡,網路犯罪尋求新的收入金流,且實體與數位購物體驗界線模糊,公司企業對欺詐與組織性零售犯罪這方面的防禦必須要有不同思維。」Target 資安長(CISO)Rich Agostino 表示。「這是何以我們採取領先業界的腳步,將線上欺詐與網路安全團隊合而為一。這可以讓我們利用威脅情報與自訂工程這類進階網路能力,將之套用在欺詐上,進一步保障自身商業組織與客戶安全。」
作為零售產業網路防禦任務的核心,Hundley 認為零售商可以在五大層面上反擊駭客。「實施強健的安全性處理措施保障系統與客戶資料,投貢員工的網路安全意識訓練。」他表示。「還要實施定期安全性評估,找出弱點並提升其網路安全態勢,利用進階威脅情報主動偵測與回應網路威脅,並與零售暨餐飲服務 ISAC 分享情報,獲取對威脅趨勢更好的洞見。」
此外,「我們發現零售商,尤其是大型,會將重點放在強化資安的專案上,包括以 ISO 27001 這類標準打造的強健基礎。」Oakley 表示。「企業組織逐漸提升需求,包括伴隨強大偵測與應變能力的永續性保證 ─ 通常透過外包模式。」
可以肯定的是:駭客竊取資訊與零售商決心保護之間的戰役是永無終點的衝突。「保障免於網路威脅一直都是持續的消耗戰,不會一次解決。」SailPoint 策略與標準主管 Mike Kiser 表示。「這就是何以零售組織不斷學習新技術以緩解已知威脅之故。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)