自助結賬、物聯網和零售網絡安全威脅的興起

隨著零售公司越來越多地通過 Apple、Google Pay 或其他支付平台採用自助結賬方式，網絡安全威脅日益受到關注。 自 2005 年以來，零售商已經看到了 10,000 次資料洩露，主要是由於支付系統的缺陷和漏洞。

銷售點 (POS) 系統通常使用大量外部硬件、軟件和基於雲的組件。

“至少，零售商必須確保其簽約方遵守他們的要求，並遵守與公司本身相同的安全合規要求。 網絡犯罪分子有許多機會利用該系統，無論是在提供解決方案的供應商的來源處，還是在現場部署該技術時。 利用 POS 設備（甚至後端雲服務）上使用的軟件中的漏洞可能允許網絡犯罪分子在 POS 設備上部署惡意軟件。 這將進一步使他們能夠收集財務數據，實施勒索軟件等惡意軟件攻擊或使用該設備連接到其他內部系統，”ESET 的首席安全佈道者 Tony Anscombe 說。

網絡攻擊對零售商的影​​響可能包括巨額罰款、處罰、數據丟失、財務損失和聲譽損失。

也有 用戶在使用物聯網設備時面臨的安全威脅 在零售。 超過 84% 的組織使用 物聯網設備. 然而，只有不到 50% 的企業針對網絡攻擊採取了可靠的安全措施。 例如，大多數組織長時間使用相同的密碼，這增加了暴力攻擊，使黑客能夠竊取和操縱數據。

物聯網設備可用於跟踪客戶的活動和購買歷史，黑客可能會訪問這些數據。 此外，客戶在使用 Apple Pay 等支付平台時可能會面臨被騙的風險。 這些騙局可以採取多種形式，例如竊取個人信息的虛假應用程序或誘騙客戶輸入信用卡詳細信息的網站。

“這些新支付機制的引入標誌著新技術採用周期的開始。 從安全的角度來看，這通常是最容易受到攻擊的時候。 更重要的是，推動這種轉變的連接設備已經被認為是其他更成熟的部署場景中最薄弱的環節。 我相信在零售業，就像在其他行業一樣，我們將看到這些設備被利用來獲得持久的網絡存在、暴露敏感數據、運行數字詐騙等等。 即使新設備本身非常安全——這是一個很大的 IF——它們仍然被引入到一個充滿傳統物聯網的環境中，可以用來繞過它們自己的防禦。 從不良行為者的角度來看，我們在這裡看到的是攻擊面的大規模擴展——這為已經是目標豐富的環境增加了許多新的高價值“機會”，”Natali Tshuva 說， Sternum 的首席執行官兼聯合創始人，這是一家無代碼、設備駐留的物聯網安全、觀察和分析公司。

每個物聯網設備內部都有自己的軟件供應鏈。 這是因為運行設備的代碼實際上是幾個封閉和開源項目的組合。 因此，最直接的威脅之一是通過網絡欺詐暴露客戶的敏感甚至個人信息。 “這與其他數字詐騙不同，例如網絡釣魚和其他類型的社會工程，”Tshuva 說。

“在這裡，目標將無法通過警惕甚至懷疑正在發生的事情來阻止攻擊——當然直到為時已晚”。

“我們用聯網設備包圍著自己，但它們對我們來說是‘黑匣子’，我們永遠不知道——或者有辦法知道——裡面到底發生了什麼”。

根據 Tshuva 的說法，今天的大多數物聯網設備已經在幾個（可能幾十個）不同軟件提供商的代碼上運行，其中一些你從未聽說過。 通常，這些第三方組件負責加密、連接和其他敏感功能。 甚至操作系統也可能是幾個不同操作系統的混合體。”

“這暴露了物聯網安全的主要挑戰之一，這又回到了擴大攻擊面的想法。 因為對於您向系統引入的每一種設備，您實際上添加的是來自多個軟件提供商的代碼組合，每個軟件提供商都有自己的漏洞可以注入其中，”Tshuva 總結道。

零售商需要採取一系列措施來保護自己和客戶免受網絡安全威脅。 他們應該確保他們的系統使用最新的安全補丁程序是最新的，並且他們還應該有一個全面的安全計劃。 應培訓員工如何識別和應對安全威脅，並應讓客戶了解在零售中使用物聯網設備的風險。

“隨著零售商採用物聯網對其客戶進行位置監控，他們構建了關於消費者活動和購買習慣的豐富數據集。 這些記錄創建了一個必須非常小心保護的數據跟踪，因為購買信息加上移動可以揭示極其私人的習慣。 我們已經看到在購買​​時針對零售商的無數有針對性的攻擊，如果這可以與客戶通過商店、商場甚至跨越城市和大陸的路徑相結合，消費者將有強大的追索權來獲得損害賠償。零售連鎖店，”耶魯隱私實驗室創始人 Sean O'Brien 說。

要了解這些威脅，組織需要了解零售企業採用數字解決方案意味著採用依賴軟件的解決方案並增加網絡犯罪分子的攻擊面。

“以前的機械收銀機現在是一個“智能”銷售點，可以處理和收集客戶支付信息，使他們成為理想的目標。 這些系統經常連接到更大的電子商務解決方案，如在線商店/計費/庫存等，這可能使它們成為更關鍵系統的入口點。 由於依賴智能解決方案，零售企業還發現自己容易受到勒索軟件和拒絕服務攻擊，從而阻止他們進行交易。 此外，PoS 設備是小型計算機，可用於大型殭屍網絡攻擊，”Checkmarx 的首席技術官兼創始人 Maty Siman 說。

電子商務公司在其流程中使用許多不同的供應商。 從硬件和軟件到運營和金融服務，所有供應商都使用更多的第三方軟件和組件，而這些第三方軟件和組件也依賴於第三方組件。

“如果惡意行為者可以在此過程中利用或引入任何組件的“後門”，他們基本上可以訪問最終的解決方案，這些解決方案稍後可以在零售企業中找到。 如今，當一切都依賴於軟件時，對開源軟件的依賴加劇了這些問題，”西曼說。

根據 Siman 的說法，對員工進行安全最佳實踐的教育至關重要。 “數據需要定期備份，零售商用戶應使用強密碼和 MFA。 用於交易的網絡需要與其他網絡隔離，設備及其軟件需要定期更新和修補。”

Optiv 的物聯網/OT 安全負責人 Sean Tufts 表示，人類仍然是最突出的威脅。 “在銷售點和/或結賬處減少員工或面對面的互動會導致更多的實體盜竊，但這也使這些零售商更容易被希望利用商店的精明威脅者篡改相信。 這些機器越無人看管，就越多的接口可以並且將被操縱，例如安裝撇渣器和訪問端口。”