自助结账、物联网和零售网络安全威胁的兴起

随着零售公司越来越多地通过 Apple、Google Pay 或其他支付平台采用自助结账，网络安全威胁日益受到零售公司的关注。自 2005 年以来，零售商已发现超过 10,000 次数据泄露，主要是由于支付系统的缺陷和漏洞。

销售点 (POS) 系统通常使用大量外部硬件、软件和基于云的组件。

“至少，零售商必须确保其签约方遵守这些规定，并遵守与公司本身相同的安全合规要求。网络犯罪分子有很多机会利用该系统，无论是在提供解决方案的供应商处还是在现场部署技术时。利用 POS 设备（甚至后端云服务）上使用的软件中的漏洞可能允许网络犯罪分子在 POS 设备上部署恶意软件。这将进一步使他们能够获取财务数据、造成勒索软件等恶意软件攻击或使用该设备连接到其他内部系统。”ESET 首席安全布道师 Tony Anscombe 说道。

网络攻击对零售商的影​​响可能包括巨额罚款、处罚、数据丢失、财务损失和声誉损害。

也有 用户在使用物联网设备时面临的安全威胁 在零售业。超过 84% 的组织使用 物联网设备。然而，只有不到 50% 的企业采取了可靠的安全措施来抵御网络攻击。例如，大多数组织长期使用相同的密码，这增加了暴力攻击，使黑客能够窃取和操纵数据。

物联网设备可用于跟踪客户的活动和购买历史，黑客可能会访问这些数据。此外，客户在使用 Apple Pay 等支付平台时可能面临被骗的风险。这些诈骗可以采取多种形式，例如窃取个人信息的虚假应用程序或诱骗客户输入信用卡详细信息的网站。

“这些新支付机制的引入标志着新技术采用周期的开始。从安全角度来看，这通常是最容易受到攻击的时候。此外，推动这一转变的互联设备已被认为是其他更成熟的部署场景中最薄弱的环节。我相信，在零售业，就像在其他行业一样，我们将看到这些设备被利用来获得持久的网络存在、暴露敏感数据、运行数字诈骗等等。即使新设备本身非常安全——这是一个很大的假设——它们仍然被引入一个充满传统物联网的环境，这些物联网可以用来绕过它们自己的防御。从不良行为者的角度来看，我们所面临的是攻击面的大规模扩张，这为已经目标丰富的环境增加了许多新的高价值“机会”。” Sternum 的首席执行官兼联合创始人，这是一家无代码、设备驻留的物联网安全、观察和分析公司。

每个物联网设备内部都有自己的软件供应链。这是因为运行该设备的代码实际上是几个封闭和开源项目的组合。因此，最直接的威胁之一是通过网络欺诈暴露客户的敏感信息甚至个人信息。 “这与网络钓鱼和其他类型的社会工程等其他数字诈骗不同，”舒瓦说。

“在这里，目标无法通过保持警惕甚至怀疑正在发生某些事情来阻止攻击——当然，直到为时已晚”。

“我们周围都是联网设备，但它们对我们来说是‘黑匣子’，我们永远不知道——或者没有办法知道——里面到底发生了什么”。

根据 Tshuva 的说法，如今大多数物联网设备已经运行在来自多个（可能是几十个）不同软件提供商的代码上，其中一些您从未听说过。通常，这些第三方组件负责加密、连接和其他敏感功能。甚至操作系统也可能是几个不同操作系统的混合体”。

“这暴露了物联网安全的主要挑战之一，这又回到了扩大攻击面的想法。因为在你引入系统的每一个设备中，你实际上添加的是来自多个软件提供商的代码混合物，每个软件提供商都有自己的漏洞，”Tshuva 总结道。

零售商需要采取一系列措施来保护自己及其客户免受网络安全威胁。他们应该确保他们的系统安装了最新的安全补丁，并且还应该制定全面的安全计划。应培训员工如何识别和应对安全威胁，并让客户了解在零售业使用物联网设备的风险。

“随着零售商采用物联网对其客户进行位置监控，他们建立了有关消费者活动和购买习惯的丰富数据集。这些记录创建了一条数据轨迹，必须非常小心地保护，因为购买信息和活动可能会泄露极其私人的习惯。我们已经看到无数在购买点针对零售商的有针对性的攻击，如果这可以与顾客通过商店、购物中心、甚至跨城市和大陆的路径结合起来，消费者将拥有强大的追索权，以针对损害赔偿零售连锁店，”耶鲁大学隐私实验室创始人 Sean O'Brien 说道。

为了了解威胁，组织需要了解零售企业采用数字解决方案意味着采用依赖软件的解决方案并增加网络犯罪分子的攻击面。

“以前的机械收银机现在变成了‘智能’销售点，可以处理和收集客户支付信息，使他们成为理想的目标。这些系统经常连接到更大的电子商务解决方案，例如在线商店/计费/库存等，这可能使它们成为更关键系统的入口点。由于依赖智能解决方案，零售企业还发现自己容易受到勒索软件和拒绝服务攻击的影响，从而阻碍其进行交易。此外，PoS 设备是小型计算机，可用于大型僵尸网络攻击。”Checkmarx 首席技术官兼创始人 Maty Siman 说道。

电子商务公司在其流程中使用许多不同的供应商。从硬件和软件到运营和金融服务，所有供应商都使用更多的第三方软件和组件，而这些软件和组件反过来也依赖于第三方组件。

“如果恶意行为者可以利用或向任何组件引入“后门”，那么他们基本上就可以访问稍后在零售企业中找到的最终解决方案。如今，一切都依赖于软件，对开源软件的依赖加剧了这些问题。”Siman 说道。

Siman 表示，对员工进行安全最佳实践教育至关重要。 “数据需要定期备份，零售商用户应使用强密码和 MFA。用于交易的网络需要与其他网络隔离，设备及其软件需要定期更新和修补。”

Optiv 的物联网/OT 安全负责人 Sean Tufts 表示，人类仍然是最突出的威胁。 “在销售点和/或结账处减少员工或面对面互动会导致更多的实体盗窃，但这也使这些零售商容易受到精明的威胁行为者的更多篡改，这些威胁行为者希望利用商店的优势相信。这些机器无人看管的次数越多，可以并且将会操纵的接口就越多，例如安装了撇油器并访问了端口。”