零售業對於勒索攻擊的阻擋能力每況愈下
近年來,零售業及電商業者經常成為犯罪者的目標,不僅是個資外洩的詐騙議題,還有業者遭受勒索軟體攻擊的情況。根據yahoo的調查顯示,2022年台灣零售業整體銷售規模首度突破4兆元大關,達新台幣 4 兆 2,815 億元,金額創下新高,在疫情爆發後零售產業也迎來全產業別正向成長,消費者的消費模式與偏好也有所轉變,原本是實體店零售業居多,現在非店面零售業的店家也越來越多。
不過,近期由資安大廠Sophos公司發布的『2023年零售業勒索軟體現況』調查報告顯示,零售業在對於勒索軟體攻擊的偵測阻擋能力似乎每況愈下,原因在於過去三年來的勒索軟體犯罪者針對零售業進行加密攻擊的比例越來越高,但是零售業者對於攻擊的偵測防禦能力卻沒有提升,因而造成『彼長我消』的情況!
從傳統零售走向新零售模式,資安威脅更有感
「新零售」的概念最初由阿里巴巴創辦人-馬雲在2016年提出,近幾年來隨著新零售模式的興起,各種網路數位的技術應用也更加重要,尤其在隨著科技的迅速發展及疫情的影響下,零接觸經濟改變傳統的市場消費習慣,而在疫情之後則迎來另一波的變化,不論是虛實整合或線上線下的發展,雲端數位網路成為必要元素,也相對擴大遭遇資安攻擊的威脅風險。 資安人媒體曾對跨國零售暨接待服務產業組織,針對旗下 242 個來自零售、接待服務與旅宿業者的資安調查,調查結果與 2023 Verizon Data Breach Investigation Report Analysis的報告比對得到以下結果:
高達 91 % 的產業成員最關切勒贖攻擊及其影響。
83% 的攻擊源自外部駭客入侵者。
勒索攻擊佔所有通報資安攻擊的 24%,與先前佔比維持一致。
關鍵在於零售業擁有大量的顧客敏感信息,並且在轉型過程中可能會有許多漏洞被利用,因此容易當成駭客入侵的目標;如果是服務平台業者,則更需要思考供應鏈的安全問題,當駭客入侵能引發的災害影響是更具破壞力。其中,複合式資安攻擊模式正不斷的發生,所謂「複合式」是指同時兼具「勒索攻擊」及「資料竊取」,這對於新零售業的傷害囊括:企業營運衝擊及個資外洩威脅!
零售業者常見的攻擊類型
電子郵件釣魚: 攻擊者通常通過欺騙性的電子郵件,尤其是BEC商務詐騙郵件,試圖誘使零售業員工或顧客揭露敏感信息,例如登錄憑證或帳戶詳情、交易訂單、商務企劃等。
勒索軟體攻擊: 零售商可能成為勒索軟體攻擊的目標,攻擊者會加密系統中的數據,然後要求贖金以揭示解密密鑰。
網站應用程式攻擊: 攻擊者可能通過對零售商的網站應用程式進行SQL注入、跨站腳本攻擊等,以取得數據或破壞網站運作。
物聯網(IoT)攻擊: 若零售商使用物聯網設備,攻擊者可能通過入侵這些設備,導致物聯網攻擊,例如停止攝像頭的運作或竊取數據。
上述的攻擊類型多半是採取混合手段,其中有80%的高機率是侵入到企業環境中的端點主機,包括不同形式的個人電腦及伺服系統。
零售業者如何減輕攻擊風險
實施適當的存取控制: 限制員工和系統對資訊的訪問權限,只給予必要的權限。這有助於防止內部威脅和未授權的存取。
實施強大的身份驗證機制: 使用多因素身份驗證(MFA)可以增加賬戶的安全性,防止未經授權的訪問。確保強密碼政策也是很重要的一環。
定期備份資料: 定期備份重要資料,確保在發生資料損壞或勒索軟體攻擊時能夠迅速回復。
面對資安,「妥協或忽視」是下下策
零售業(包括電子商務)遭受勒索軟體攻擊的比例增加,主要因素在於多數的數位系統缺乏針對勒索攻擊的資安偵防能力,並且握有利用價值高的資料(例如: 客戶個資、交易紀錄)以及電商服務平台。近年來,駭客針對零售業及電商業者採取小額的勒索贖金方式,目的是以業者願意承受的勒索支付下選擇花錢消災,但實則一再的重複上門勒索行為。根據Sophos的全球現場技術Chester Wisniewski表示:「根據我們的調查,43% 的零售業受害者支付了贖金,然而這些受害者的復原成本中位數卻是使用備份和其他復原方法業者的成本的四倍」。
在今年8月新頒布的「綜合商品零售業個人資料檔案安全維護管理辦法」,資本額在千萬元以上、並有招募會員或可取得交易對象個人資料的百貨超商量販店,須於六個月內訂定個資安全維護計畫,估計約有4,000家大型綜合零售業者受影響,違者最高可罰1,500萬元;此外,剛於10月發佈的「數位經濟相關產業個人資料檔案安全維護管理辦法」也是同質的規範。換言之,零售商需要更加正視企業的安全措施,包括加密、備份資料、網路監控和員工培訓,以防範各種潛在的威脅。企業必須自覺負起善盡資安保護的責任與義務,不僅有助於企業自身的數位安全保障及聲譽維護,也同時確保您的客戶與合作夥伴的安全信任,避免因為資安風險而造成駭客勒索及個資外洩的憾事。
Comments