保护零售业务的三项积极措施

简介: 保护零售业务的三项积极措施

本文来自 企业网D1net公众号

网络攻击者操纵的机器人对于零售商来说是祸患,它们伪装成合法消费者,窃取高价值商品,进行账户接管攻击,或进行信用卡欺诈。由于它们隐藏起来很难被发现,成为零售商面临的一个日益严重的问题,去年上半年有30亿个购物机器人以应用程序编程接口作为目标。


这一增长主要是由于机器人即服务的出现,消除了执行自动化攻击所需的大部分工作。网络攻击者现在可以利用这些服务,从机器人库中挑选工具。一旦确定了目标,网络攻击者就可以订阅服务来执行网络攻击。他们不需要创建脚本或查找凭据、基础设施和工具来执行恶意的自动化操作,因为他们现在可以访问一个结合了凭据、基础设施和工具的服务。


一些零售商尝试强制用户注册以防止机器人攻击。然而,这给真正的消费者带来了更多的阻碍。机器人可以很容易地创建虚假的电子邮件地址来欺骗系统,那么电子商务商家可以做些什么来防止这样的机器人攻击?


01购买过程的各个阶段


好消息是,电商零售商有很多机会在购买过程的不同阶段消除机器人驱动的自动攻击。从将产品放入购物车到下订单再到订单确认,每一步都代表了验证购买者真实性的一个机会,并使用与后端电子商务系统集成的机器人检测和API保护来调查或阻止他们的购买。


机器人会快速攻击电子商务网站,并使用防弹代理(即在黑市上收集和出售的合法代理)在不同的IP地址之间轮换。在网络攻击的第一阶段,许多机器人不会被人注意到,因为零售商无法足够快地识别可疑的IP地址,以防止机器人进入下一阶段。如果没有进一步的防御机制,机器人很可能会成功攻击。


如上所述,用户注册只是一种有效的防御机制,因为机器人可以利用电子邮件地址来创建帐户,或者通过输入创建帐户,后者可以看到从随机选择的字符中创建的虚假电子邮件地址。然而,监控这些注册允许标记可疑的电子邮件地址以供调查。


02验证购买


如果机器人在注册阶段避免被检测,该产品现在将被添加到在线购物车中。如果客户提出怀疑,商家可以锁定账户,以争取时间来检查购买的合法性。但是,这可能会使真正的客户感到沮丧,因此请求客户使用提供的电子邮件地址的双重身份验证更有意义。如果没有进行身份验证,他们可以删除购物车,甚至阻止机器人将相同的商品添加到新的购物车中。


如果到目前为止事情进展顺利,机器人仍然未被发现,则将下订单,商家的系统将发出订单确认。但这里仍然有机会发现机器人,使用机器人防御机器学习技术来查询采购订单以寻找异常情况,可以识别假订单,触发系统从商家发出“订单无法处理”的电子邮件。


03杀手链在行动


采用分层方法来防御机器人可以在各种购买场景中产生真正的好处。例如,礼品卡是机器人的主要目标,在一个零售商的案例中,一个主要的礼品卡欺诈计划被机器人检测阻止了。异常高的流量是出现问题的第一个迹象。进一步的调查表明,尽管商家只在一个地方经营,但这些资金可能来自全球各地。机器人攻击使用了一个防弹代理,但是当请求被阻止时,它很快将自己配置为只提交来自本地代理的请求。


其他缺失的流量元素进一步证实了这些不同于正常的礼品卡交易。例如没有推荐人,这些请求来自早期的用户代理(浏览器),流量是“突发的”,这意味着网络攻击者创建了一个礼品卡列表,并迅速检查了它们。然而,即使恶意行为者反复重组,机器人检测也能阻止这些尝试,挫败了可能损失数十万美元的网络攻击。


直接影响(即每张礼品卡的经济损失)是显而易见的,但间接影响也与这些攻击有关。大量的网络攻击使网站和移动应用程序无法响应,导致用户受挫,并使商业客户付出代价。网络攻击还可以垄断资源,因为在假账户或ATO攻击期间,调查个人账户、发布账户重置或删除推荐所花费的时间过多,所有这些都消耗了欺诈团队可以花在更广泛的团队目标上的时间。这些网络攻击会扭曲销售结果,导致糟糕或误导性的销售计划决策,错过收入预测,并破坏供应商关系。


因此,减轻电子商务机器人攻击的关键是尽量减少对资源的消耗,创造多个捕获点,最重要的是,保护客户体验。值得庆幸的是,机器人检测现在可以与电子商务后端系统集成在一起,在这些方面提供服务,但这些威胁行为者将会卷土重来,仍将面临一些风险。

相关文章
|
1月前
|
供应链 监控 搜索推荐
代购系统在面对供应链风险时,有哪些应对策略?
代购系统在面对供应链风险时,可以采取以下应对策略:建立强大的供应链网络、优化物流与配送、打造个性化服务体验、合规经营,注重风险管理、技术赋能,高效运营、深度解析风险、风险预警系统、供应链风险的分类与管理和应急预案和风险管理机制。
63 3
|
数据采集 监控 安全
跨境电商企业出海,注意五大业务欺诈风险!
跨境电商参与者包括电商平台、独立站和入驻平台的第三方卖家、消费者。随着对海外市场的认知加深,越来越多的商家意识到,普通买家的政策滥用行为,将直接带来可观的经济损失:比如滥用退货退款、未收到物品索赔、创建多个帐户滥用优惠券,以及黄牛转卖商品等。 顶象防御云业务安全情报中心分析发现,跨境电商商家和自营平台主要面临如盗卡盗刷、恶意退货、恶意爬虫、薅羊毛以及刷单炒信等欺诈。跨境电商企业出海,注意五大业务欺诈风险!
163 0
|
SQL 存储 JSON
日处理消息2亿,通过核对体系做资损防控的技术挑战
日处理消息2亿,通过核对体系做资损防控的技术挑战
448 0
|
监控 安全 开发者
互联网常见业务风险防控建设|学习笔记
快速学习互联网常见业务风险防控建设
互联网常见业务风险防控建设|学习笔记
|
云安全 存储 运维
数据安全审查综合解读 | 如何从被动合规到主动战略风控?
8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。
419 0
数据安全审查综合解读 | 如何从被动合规到主动战略风控?
|
人工智能 监控 安全
数字信息系统建设能力-华汇数据
华汇数据帮助企业、政府等机构进行数字化系统的建设,以实现数字化转型升级,建立数字化企业及数字政府。用数据驱动企业的生产、经营,让企业的一切经营活动数字化,促进数据贯穿企业的每个环节,每一个经营活动。用数据重新定义政府的政务系统及服务,将一切政务服务数字化,用数据促进政务业务的服务质量及效益,开展更为利民的政务服务。
275 0
|
存储 运维 监控
数据安全审查综合解读|如何从被动合规到主动战略风控?
8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读,她指出,数据安全合规不能仅看片面,需要有整体的数据安全观,知其然也要知其所以然,真正做到从被动合规到主动战略风控。
562 0
数据安全审查综合解读|如何从被动合规到主动战略风控?
北京市西城区:发布《促防疫稳经济保障中小微企业健康发展若干措施》
北京市西城区近期发布《促防疫稳经济保障中小微企业健康发展若干措施》
北京市西城区:发布《促防疫稳经济保障中小微企业健康发展若干措施》
|
弹性计算 监控 安全
方案 | 阿里云提供物流“抗疫”措施
除了技术上的赋能外,阿里云与物流客户也展开了多维度的合作,为控制疫情做出贡献。
1580 0