随着春节的临近，各大电商平台促销活动如火如荼开展，随之而来的是网络攻击风险的激增。春节期间是一年中资金交易额达到巅峰的时刻，但与此同时，安全威胁也在迅速攀升。

根据调查显示，2023年假期期间，勒索软件攻击增加了30％，而在11月和12月期间，由于圣诞节的到来，这种攻击更是增长了70％。仅在2023年11月，就有470起公开披露的数据泄露事件，影响了超过5.19亿条记录。Forrester最近的一项安全调查也强调了这一趋势：零售和批发公司的安全领导者报告称，2023年他们平均遭到入侵6.8次，而在2022年仅为3.4次。为了完成交易，各大平台和应用程序接口（API）大量使用客户的支付和财务信息。这不仅导致了数据传输量的激增，也成为了犯罪分子觊觎的目标。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh表示，在节假日的活动和各种优惠的诱惑下，消费者更愿意在网上购物。然而，商家和用户都必须警惕以下关键威胁：

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh

• Web应用程序和API攻击

Web应用程序和API是电商平台与消费者交互的核心部分。攻击者通过找到这些系统的漏洞，可以窃取敏感数据或破坏服务。因此，电商平台可以加强代码审查和安全测试，定期进行代码审查和安全测试来发现潜在的安全漏洞，并确保在代码上线前得到修补；同时，可以增强访问控制与认证，实施严格的访问控制机制，确保只有授权用户才能访问敏感资源，并通过多因素认证来增加账户安全性。；最后平台可以对数据传输和存储过程中的敏感信息进行加密，防止信息在传输过程中被截获。

• DDoS攻击

分布式拒绝服务（DDoS）攻击会导致电商平台不可用，严重影响用户体验和企业收益。防御DDoS攻击，首先需要针对流量进行监控和异常检测，部署高级的流量监控工具来识别和过滤不正常的入站流量。还可以利用云基础设施的可扩展性，配合专业的DDoS缓解服务提供商，分散攻击流量，保护网络的稳定性。

• 恶意爬虫程序

恶意爬虫程序可能被用来进行自动化攻击，比如账号接管、价格爬取或内容抓取。电商平台应可以针对访问行为接入自动化分析，通过分析访问模式来检测和区分正常用户与恶意爬虫的行为。同时也可以限制或阻断异常高频率的请求，特别是针对登录和API端点。

• Web数据窃取攻击

Web数据窃取攻击如Magecart等，利用脚本在用户的浏览器中窃取支付信息。对抗这类攻击，电商平台应实施内容安全策略（CSP）来限制可以在网站上执行的脚本，防止未授权的脚本植入。以及对所有第三方服务进行严格审查，并且监控这些脚本的行为，确保它们不会恶意地操纵页面内容或收集数据。

供应链安全成为攻击目标

在数字化购物流程中，针对电商平台的登录和支付相关业务的恶意攻击仅仅是安全威胁的冰山一角。在电商平台的背后，有许多不同的业务流程，涉及到众多相关方。网络犯罪分子可以选择攻击供应链的其他部分，而不是直接攻击终端商家。

产品供应商： 随着订单数量的增加，供应商逐渐成为更大供应链的一部分，这使得他们更容易受到攻击。订单发送和付款处理所有这些流程都有可能成为网络攻击的目标。

金融服务提供商： 交易流程中涉及到的金融科技公司、付款处理商、电子钱包提供商以及银行等多个利益相关方。只要将财务数据从一个位置传输到另一个位置，就会不可避免地存在数据泄露和暴露的风险。

物流提供商： 他们掌握着对配送十分重要的客户数据，例如客户的姓名、地址和电话号码，这使得他们成为网络犯罪分子窥伺的目标。网络犯罪分子企图获取这些数据，以便进一步实施网络钓鱼等攻击。

结语

面对越来越复杂的网络钓鱼活动，商家和零售商需要加大力度提高消费者意识，并为顾客提供验证通信和交易真实性的机制。消费者应当明白，当他们在电子邮件或社交媒体上遇到看似过好的交易时，这很可能就是骗局。攻击者往往会利用年底的促销活动，仿冒品牌，利用生成式 AI 让网络钓鱼和社会工程攻击变得更具欺骗性。消费者如何辨别哪些互动是真实可靠的？尽管目前人工智能生成的视频并不常见，但随着技术的进步，它们很可能会被越来越多地用于诱骗消费者下载恶意软件或进行欺诈交易。尽管这些新兴的威胁尚处于萌芽阶段，但我们必须在其普及之前采取防御措施并提高防范意识。

整体而言，电子商务企业必须将网络安全视为业务连续性的关键组成部分。通过综合技术解决方案和日常运营中的安全实践，可以有效地减轻网络威胁，保护消费者信息和公司资产，确保在春节这样的关键购物季期间能够顺畅安全地运营。