今年的央视315晚会曝光业务刷单问题,给全国人民上了一堂生动的互联网业务安全课。针对互联网站点的信用体系,不少人做起了刷单刷好评的生意,yy语音平台上刷单客服表示“刷单是普遍现象”。只要给出佣金和本金,就能完成刷单交易。
在淘宝上,刷单刷信誉每单价格6元, 可以模拟真实购物过程,代发空包快递业务 模拟真实物流信息,每单2.5元,直接店铺刷钻1000元 3天即可完成。而在大众点评上,则是通过图片、评论作假,所有网上交易平台都可以刷,甚至拥有完整的产业链,刷单组织结构:团长 -主持-普通刷手(4-6元)。此外,刷App注册用户现在也越来越受欢迎。据说,每个平台有几十万刷手,刷手年入上百万。 刷单其实就是一个典型的互联网业务安全问题。
什么是业务安全?
谈业务安全之前让我们来先了解什么是业务威胁。业务威胁是指业务逻辑流程中存在的漏洞,使得攻击者可以在传统安全完全许可的情况下,绕过业务规则,来达到任意滥用业务的目的。以刷单这样的业务攻击为例,在刷单的过程中,攻击者并不需要攻入网站的防火墙,也不需要破解网站的数据库,所以传统安全防护对其没有任何感知,更难提防御。刷单利用的是目标网站在其建立的交易逻辑中存在的漏洞,使得攻击者可以绕过实际交易流程,而使网站以及网站的其他用户相信这样的虚假交易真实发生过,从而获取不当利益。
业务安全解决方案有哪些?
我们发现目前安全市场上只有阿里聚安全和花甲科技SecurityStack可以提供相应安全防护。
其中阿里聚安全更专注于阿里自身的相关业务。
而花甲科技SecurityStack则支持更广泛的业务,且可以根据企业业务特点制定付。其特有的云端智能风控模型,不但能为企业客户提供历史业务风险数据查询,实时业务风险警告,还甚至能预测该业务在未来的风险走势。该业务安全风控模型的最大特点是可实现自我演化、自我学习、根据客户需求深度定制,从而保证业务安全防护更精准。
今年的315虽然结束了,希望互联网刷单信问题可以尽快得到解决,还消费者一个可信互联网业务环境,让我们都可以愉快的安心网购。
