雖然近年各界都嘗試建立不同的電子支付方式,信用卡依舊是網路購物付款的主要選擇。如此龐大的信用卡金流在網路中流通,世界各地的網路罪犯早已覬覦垂涎許久。信用卡付款,是任何網路商店不可或缺的一部分,同時也是最關心的議題。
防堵信用卡詐欺方面,雖然已經小有成效,但對於信用卡安全,大家都不應該掉以輕心。為了提供信用卡支付,店家會安裝程式,處理信用卡資料。
以下程式也潛藏著許多漏洞:
SQL Injection / XSS跨站攻擊 / Path Traversal / Session Hijacking(會話劫持) / 惡意軟體(連程式一起被偷渡下載)
早期,駭客還必須有一定的水準,才能成功駭進網站。現在透過網路機器人,駭客簡單幾個步驟即可對網路商店發動大規模的攻擊。
信用卡最令人擔心的就是:交易糾紛。當有疑似詐欺情況發生時,總是買賣雙承擔風險及損失,而非信用卡公司本身。除了損失收入之外,這些有詐欺交易紀錄的公司還會被登記在信用卡公司網站上。當累積次數太多,信用卡公司將終止其交易行為。
2004年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。
PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範:
如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。
透過WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。一旦WAF設置完成,便可抵禦以下攻擊: 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 / XSS跨站攻擊 / SQL Injections
找到最合適的解決方案來保護客戶信用卡資料,絕對是排第一的重要。當然也必須公司能夠負擔得起。沒有人可以精準預估,要花在原始碼檢測的成本和資源有多少。之後,還必須有專門的人力和成本來修補發現的安全漏洞。