網路開店資安不能少 三招檢測助自保

日前生鮮購物網站傳出個資外流遭詐騙集團盯上，造成消費者不小心匯出款項的新聞，或是其他購物網站遭駭客登入會員系統盜刷信用卡20多萬的事件層出不窮，引起消費者對購物網站的資安疑慮。電商購物網站因擁有大量的「消費者個人資訊」而成為駭客、詐騙集團的攻擊對象之一，尤其是在疫情加速消費者轉向線上購物之後。不論是已開設線上通路、或是準備拓展品牌官網的業者，皆須留意網站的資安基礎建設以及培養團隊長期養成資安意識，才能在事件發生當下進行災害停損和漏洞修補。根據我們協助亞太超過25萬間品牌成功於網路開店的經驗，在事前透過三大資安標準進行風險評估、制定機制更能將威脅將至最低。

　標準一：網站安裝網路安全憑證（SSL），提升消費者信任度調查機構Gartner報告指出，七成用戶會因為不信任網站安全而取消訂單，當中亦有六成的人表示，若網站有顯眼的安全標示能降低取消訂單機率。實際上，網路安全數位憑證 （SSL） 不只讓網站列從HTTP開頭變成HTTPS，更代表此網頁伺服器和瀏覽器系統在傳送如會員個資等資料時，不會被第三方任意讀取或修改。Google瀏覽器也於2017年宣布，未取得數位憑證的網頁將會「被」出現不安全的警示標語，提醒用戶資料可能遭竊。也就是說，當搜尋結果、品牌官網逐漸成為消費者第一次接觸品牌的機會，顯示「安全連線」的網頁便能留下有資安保證的第一印象。

　標準二：網路刷卡開啟3D驗證功能，加強支付安全性儘管多數網站越來越注重安全憑證，但資料外洩、信用卡遭盜刷事件仍屢見不鮮，SHOPLINE統計顯示，在網購結帳選擇上，仍有近四成消費者偏好第三方支付及信用卡刷卡。為提升網路刷卡的安全性，國際信用卡組織就推出「3D 驗證功能」，讓消費者在網路刷卡時，必須輸入正確的驗證碼才能完成付款，目前常見的方式是消費者會在手機上收到OTP簡訊上的一次性密碼，確保刷卡者就是持卡人本人。雖多一個步驟可能影響訂單完成率，但為提高網路交易的安全性及避免消費爭議，筆者仍建議高單價、高交易額的店家開啟此功能，提前防範盜刷事件。

　標準三：建立判斷及阻擋可疑IP的機制，主動應對惡意攻擊在確保網頁安全性、增加金流認證外，店家仍可能面對來自可疑IP的惡意連線，此情況將為網頁帶來不必要的流量負擔，如常見的 DDoS攻擊，便是向網頁的基礎架構不斷發出大量的請求，意圖使目標系統無法負荷，導致系統癱瘓無法運作的攻擊。

　在網路增加生活便利性的同時，卻也讓消費者和店家更容易遭受惡意攻擊，而賠上金錢也耗費大量的時間。因此，無論是擁有網路商店的業者還是打算進軍網路通路的店家都應提高警覺，主動檢查自家網站的安全性。

　最後，筆者也以多年服務電商品牌的經驗建議，業者也需定期掃毒所有管理員的電腦與手機等裝置、根據職務內容設定後台管理員帳號的權限、與消費者溝通定期更換密碼、於商店前台設置反詐騙公告，保護消費者也保護自己。