針對銷售終端系統實施的網絡犯罪日益增多
責編:mhshi |2015-06-10 15:21:32銷售終端入侵事件在全球不同區域的發生數量存在明顯差異,主要是采用支付卡標準的不同所造成。目前,電子芯片卡普遍采用稱之為EMV的標準作為反欺詐保護,這種技術近來才被引入北美地區。
支持EMV標準的讀卡器通過芯片認證支付卡片,采用這種技術的卡片被復制的難度極大,就算卡片磁條中的數據被盜也沒有太大問題。
歐洲采用EMV標準已經近10年之久,當地針對支付卡實施的欺詐已經從過卡交易逐漸轉變為網上交易。襲擊者將目標放在電商網站上,他們從中竊取支付卡信息,進而用作在線欺詐交易。
這與美國的情況完全不同。據Trustwave于周二發布的2015年度全球安全報告指出,利用復制卡片實施的欺詐行為在美國仍屬主流。
Trustwave副總裁約翰·楊(John Yeo)表示,即便EMV也非絕對安全。該技術只是有效防止現實中針對過卡交易實施的欺詐行為,對于在線交易中的欺詐仍無能為力。
全球范圍來看,針對銷售終端實施的欺詐行為占到Trustwave調查數量的40%,而排在第一位的是針對電子商務應用程序實施的欺詐,占比為42%。
以零售和餐飲為主的服務行業成為最大受害者,此類事件中的68%發生在該行業。
總體而言,電商交易數據(例如個人識別信息和持卡人信息)遭泄露占到全部數據泄露事件的半數,其后便是銷售終端交易數據、金融數據以及商業數據。而不安全的軟件或密碼是導致此類事件發生的主要原因。
銷售終端設備由于普遍開放了遠程管理功能,受到攻擊的可能性極大。弱輸入驗證所導致的SQL代碼注入攻擊以及未及時安裝安全補丁文件也是此類設備易受攻擊的原因。
Trustwave的報告同時指出,許多公司連相當初級的安全措施都沒有采用,包括訪問控制、實現強認證、及時安裝補丁文件等等。
雖然安全專家普遍認為,沒有一種手段能夠100%保證安全,但至少采取一定的防范措施能夠顯著增加此類犯罪手法實施的難度。
但是,楊表示,那些遭遇數據泄露事故的公司在某些方面仍然存在薄弱之處。