一次無意的點擊,一次毫不費力的購物,一次不容錯過的折扣。一切看似安全,直到你收到一張金額不明的帳單。在電子商務的幕後,當消費者享受數位化的便利性時,一場與日益複雜的詐騙進行的隱形戰爭正在上演。
根據Serasa Experian的數據,到2024年,超過一半的巴西人曾遭受某種類型的詐欺。其影響是實實在在的:54.2%的人報告了經濟損失,其中許多人甚至沒有意識到自己受到了詐騙。雖然詐欺行為過去規模龐大、明目張膽,但如今卻變得精準無比、悄無聲息,而且代價高昂。這些詐騙的平均罰金上漲了30%,目前每筆訂單超過1,300巴西雷亞爾。
犯罪活動不斷演變,數位安全也需要與時俱進。電子商務已成為網路犯罪分子的新遊樂場。巴西銀行(Febraban)的數據顯示,2024年巴西因數位詐欺造成的財務損失達101億雷亞爾,比前一年增加17%。 「數位環境,尤其是電子商務環境,已成為一個雷區,」專注於應用安全的公司Conviso執行長瓦格納·埃利亞斯(Wagner Elias)警告。
敵人從不睡覺。威脅多種多樣,從網路釣魚攻擊(佔案件總數的 15%)到使用被盜憑證(佔 16%),甚至還有惡意內部人員攻擊,後者每次違規的平均成本為 499 萬美元,位居榜首。
Elias 解釋說,最受歡迎的技術包括數位資料竊取和帳戶接管 (ATO)。在竊取資料時,犯罪者會將惡意程式碼直接注入支付頁面。在 ATO 中,詐騙手段更加系統化和規範化:他們利用洩漏的憑證存取真實帳戶、更改密碼並進行購買。據 AllowMe 公司稱,72% 的數位零售詐欺來自這些未經授權的存取。
他們最青睞的目標?遊戲、手機、電腦和電子產品-這些產品在非正規市場上流動性高,易於轉售。同時,騙子仍然偏愛信用卡支付方式。原因很簡單:快速付款、最低限度的驗證,而且只有在帳單到達時才會被發現。
戰鬥
那我們能做什麼呢?答案在於技術,最重要的是,從應用程式開發伊始就進行安全規劃。 「答案在於技術,沒錯,但最重要的是,在於如何實現技術。把安全考慮留到系統啟動運行後再考慮,是一個致命的錯誤。必須從開發伊始就納入 PCI DSS 等實踐,並投資於 WAF 等工具,以保護網站免受實時攻擊,」Wagner Elias 說。
這時,WAF(Web 應用防火牆)等工具就派上用場了。它們可以即時監控流量,攔截可疑模式,並保護網站免受程式碼注入和未經授權存取等攻擊。根據 IBM 的《2024 年資料外洩成本》研究報告,人工智慧 (AI) 的使用在預測惡意行為方面也發揮了重要作用,可將資料外洩成本降低高達 220 萬美元。
另一個關鍵點是採用符合 PCI DSS(支付卡產業資料安全標準)的實踐,這是一套旨在保護信用卡交易的國際標準。 「處理支付資料的公司,無論是出於義務還是出於商業智慧的考慮,都必須嚴格遵守 PCI 標準。這就是安全系統與詐欺之門的區別所在,」Elias 補充道。
即使技術進步,遏制資料外洩的平均時間仍然很長:258天。如果憑證被盜,則可能長達292天,幾乎一年。部分原因在於專業人員的短缺,去年專業人員短缺增加了26.2%,導致資料外洩成本增加176萬美元。
然而,專家警告:那些投資自動化、從頭開始的安全性和攻擊模擬(稱為滲透測試)的人更有可能毫髮無損,或至少減少損失。
來自領先網路安全機構的報告證實了 PCI DSS 和 WAF 防護的有效性:根據 Verizon 的 DBIR 2024,PCI DSS 合規性可將安全事件減少 52%,而 WAF 可阻止高達 80% 的 Web 應用程式攻擊。 IBM 的《2023 年資料外洩成本》研究表明,使用 WAF 的公司每次資料外洩可節省 140 萬美元,而 PCI DSS 可將資料外洩回應時間縮短 54%。根據 Ponemon Institute (2024) 的數據,這些解決方案相結合,可將財務損失減少高達 75%。
因此,遵循 PCI DSS 標準的公司資料外洩風險降低了一半,而 Web 應用程式防火牆 (WAF) 可以阻止 80% 的駭客攻擊。同時使用這兩種技術的公司,其財務損失將控制在資料外洩後通常預期損失的 25% 左右。他解釋道。
在美國,強暴案平均造成936萬美元的損失,連續14年位居全球最高。目前,已有63%的公司承認將這筆損失轉嫁給客戶,顯示投資安全不僅是一種預防措施,更關乎競爭力和形象。 Elias總結道:“在電子商務蓬勃發展、數據價值倍增的時代,忽視數位安全意味著金錢損失、收入和聲譽受損,以及失去客戶信任和品牌信譽。”
