雙十一后雙十二,你的“錢包”安全嗎?
責編:admin |2014-12-02 14:09:43雙十一的涵義已經從悲涼的光棍節變成了一場購物狂歡節。“剁手族”們對這場狂歡節又愛又恨,“愛”的是雙十一能夠買到物美價廉的商品,“恨”的是網頁訪問慢、網絡慢導致訂單無法支付,釣魚網站和電信詐騙橫行……
如今,雙十一剛剛過去,雙十二又即將來襲,各家電商網站的性能和安全防護也將迎來新一輪大考。同時,消費者也要小心謹慎,才能看緊自己的“錢包”!
電信詐騙、網絡釣魚讓用戶“樂極生悲”
雙十一讓很多用戶滿載而歸。在杭州讀書的陳同學的購物經歷就有些“樂極生悲”了。11月12日,她接到自稱是淘寶賣家打來的電話,對方以訂單異常需要重新激活為由,發來網址鏈接。小陳點開網頁,輸入銀行卡號。賣家稱“你的手機會收到驗證碼,是用來激活訂單的驗證碼”。陳同學照章操作之后,發現自己銀行卡被盜2000多元。
像小陳這樣,接到陌生來電謊稱訂單異常、退款退貨、抽獎中獎等被騙的用戶不勝枚舉。讓陳同學無法理解的是,“我買了什么東西,花了多少錢,訂單號是多少,收件地址是什么,他一字不差地都報出來了”。小陳稱,這也是為什么她對電話那頭的身份深信不疑的主要原因。
對此,安全寶安全負責人劉璇表示:“黑客通過網頁篡改或者掛馬等方式,可以大量獲取訂單信息。11月11日,安全寶為其電子商務客戶攔截的網絡攻擊量比平時增加約24%,其中利用SQL注入對數據庫進行遠程讀取和篡改的攻擊約占70%。這類攻擊的目的都是為了獲取網站數據,例如客戶資料、賬號密碼、銷售訂單等。黑客將獲取到的信息公開或兜售給第三方或者電子商務網站的競爭對手,甚至以此威脅電商網站獲利。”
到底是“李逵”還是“李鬼”,消費者如何分清呢?劉璇給消費者提出了以下幾點建議:熟記常用網站域名,打開電子商務網頁時,確認打開的網頁域名;不在銀行官網以外的其他網址輸入銀行卡號和密碼;對于手機接收到的驗證碼等短信,要仔細閱讀內容,并且不要泄露給任何第三方。
新興電商網站成黑客目標
如今,雙十一購物狂歡早已不再是淘寶、京東的專利,各種類型的電商網站都紛紛參與其中。雙十一當天,全國P2P網貸的日成交額高達22.8億元,同比增長500%;易車網11日訂單總量超過53萬,超過去年訂購數的5倍……不過,相比淘寶、京東、蘇寧易購等大型電子商務網站,這些電商企業在網站性能和安全防護方面都或多或少存在漏洞。
從性能上看,安全寶監測數據顯示,11月11日4:00、11:00、20:00和22:00等幾個時間點,多個電商網站的首屏訪問時間明顯延長,訪問速度減慢。而在這些時間點上,網站的可用性下降,網站首頁的訪問時間大幅延長,會嚴重影響用戶體驗。
從安全的角度看,雙十一當天各類電商遭受的攻擊不計其數。易車電商平臺11日零點就遭遇攻擊事件,此后的15分鐘用戶訪問受到影響。安全寶的某互聯網金融客戶當天累計遭受攻擊11752次,來自中國、美國等39個國家和地區的攻擊者對系統進行了全面攻擊嘗試。劉璇告訴記者,除了利用傳統的SQL注入攻擊以外,這些攻擊者還利用了時下最熱門的漏洞,如bash漏洞、心臟出血攻擊、Struts框架攻擊等。
如果缺乏實時有效的防護,網站很容易被攻陷。而安全寶通過Hour Glass引擎對網站訪問流量進行實時分析、統計并在第一時間攔截攻擊數據,同時利用大數據分析系統深入挖掘訪問行為、疑似攻擊行為,通過安全行為分析系統分發到安全專家手中,進行深入分析和驗證。一旦確定為攻擊行為,該系統會在第一時間生成新的防護規則并迅速上線,為網站提供及時防御。這對于防御當前流行的0day漏洞攻擊十分有效。
雙十二來襲,你準備好了嗎?
雙十一剛剛過去,雙十二即將來臨,與淘寶、京東不同的是,中小型電子商務網站在安全防護和網站性能建設方面該如何進行完善,以應對雙十二新一輪的購物潮?對此,安全寶專家給出詳細的建議:
在安全方面,劉璇認為,電商網站在日常維護中應該將安全防護作為運維的重點:
一是嚴格控制上傳文件的權限,防止黑客上傳惡意程序;
二是增強網站開發者的安全意識,避免在網站中引入過多漏洞,網站應對用戶輸入的所有數據格式和內容的有效性進行檢查;
三是通過防火墻等訪問控制設備對外網屏蔽不必需的服務,減少被黑客入侵的可能性;四是嚴格管理生產服務器的登錄口令,避免泄露。
在性能方面,垂直電商、中小型電商應該從以下三個方面做好準備:
一是應用CDN加速服務,增強網站本身的服務性能。動態資源利用鏈路訪問優化加速,靜態資源利用云網絡的分布式緩存內容優化加速,不但在全國范圍內負載均衡了訪問流量,而且提高了網站并發服務能力,進而提升網站的用戶承載量,改善網站的訪問體驗。
二是量化CDN服務效果。加速技術、云網絡基礎設施、服務商等各種網站服務策略的調整,都會對CDN網絡的服務效果產生影響,因此定期量化網站加速效果有助于保持網站的最佳服務狀態。
三是采用多CDN服務方式。同時使用多個廠商的CDN服務,不但有助于體驗不同CDN的加速效果,綜合運用各CDN的優勢還可以在出現故障時快速切換服務,保障網站整體的可用性。