ໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທາງໄຊເບີແມ່ນເປັນຄວາມກັງວົນທີ່ເພີ່ມຂຶ້ນສໍາລັບບໍລິສັດຂາຍຍ່ອຍຍ້ອນວ່າພວກເຂົາເພີ່ມການຈ່າຍເງິນດ້ວຍຕົນເອງຜ່ານ Apple, Google Pay ຫຼືແພລະຕະຟອມການຈ່າຍເງິນອື່ນໆ. ນັບຕັ້ງແຕ່ 2005, ຜູ້ຄ້າປີກໄດ້ເຫັນຫຼາຍກວ່າ 10,000 ການລະເມີດຂໍ້ມູນ, ສ່ວນໃຫຍ່ແມ່ນຍ້ອນຂໍ້ບົກພ່ອງແລະຄວາມອ່ອນແອໃນລະບົບການຈ່າຍເງິນ.
ລະບົບຈຸດຂາຍ (POS) ມັກຈະໃຊ້ຮາດແວພາຍນອກ, ຊອບແວ ແລະອົງປະກອບທີ່ອີງໃສ່ຄລາວຫຼາຍ.
"ຢ່າງຫນ້ອຍ, ຜູ້ຄ້າປີກຕ້ອງຮັບປະກັນວ່າຄູ່ສັນຍາຂອງພວກເຂົາປະຕິບັດຕາມພວກເຂົາແລະຈະປະຕິບັດຕາມຂໍ້ກໍານົດດ້ານຄວາມປອດໄພດຽວກັນທີ່ບໍລິສັດເອງມີ. ມີໂອກາດຫຼາຍສໍາລັບອາຊະຍາກໍາທາງອິນເຕີເນັດທີ່ຈະໃຊ້ປະໂຫຍດຈາກລະບົບ, ບໍ່ວ່າຈະເປັນແຫຼ່ງຂອງຜູ້ຂາຍທີ່ສະຫນອງການແກ້ໄຂຫຼືເມື່ອເຕັກໂນໂລຢີຖືກນໍາມາໃຊ້ຢູ່ໃນສະຖານທີ່. ການໃຊ້ຊ່ອງໂຫວ່ໃນຊອບແວທີ່ໃຊ້ໃນອຸປະກອນ POS (ຫຼືແມ້ແຕ່ຢູ່ໃນບໍລິການຄລາວຂອງ back-end) ສາມາດເຮັດໃຫ້ອາດຊະຍາກຳທາງອິນເຕີເນັດສາມາດນຳໃຊ້ malware ໃນອຸປະກອນ POS ໄດ້. ນີ້ຈະຊ່ວຍໃຫ້ພວກເຂົາສາມາດເກັບກ່ຽວຂໍ້ມູນທາງດ້ານການເງິນ, ໂຈມຕີ malware ເຊັ່ນ ransomware ຫຼືການນໍາໃຊ້ອຸປະກອນເພື່ອເຊື່ອມຕໍ່ກັບລະບົບພາຍໃນອື່ນໆ, "ຫົວຫນ້າຄວາມປອດໄພ Evangelist, Tony Anscombe ຈາກ ESET ກ່າວ.
ຜົນກະທົບຂອງການໂຈມຕີທາງອິນເຕີເນັດຕໍ່ກັບຜູ້ຄ້າປີກອາດຈະລວມເຖິງການປັບໃໝຫຼາຍ, ການລົງໂທດ, ການສູນເສຍຂໍ້ມູນ, ການສູນເສຍທາງດ້ານການເງິນ, ແລະຄວາມເສຍຫາຍຕໍ່ຊື່ສຽງ.
ນອກນັ້ນຍັງມີ ໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທີ່ຜູ້ໃຊ້ປະເຊີນໃນເວລາທີ່ການນໍາໃຊ້ອຸປະກອນ IoT ໃນການຂາຍຍ່ອຍ. ຫຼາຍກວ່າ 84 ເປີເຊັນຂອງອົງການຈັດຕັ້ງໃຊ້ ອຸປະກອນ IoT. ຢ່າງໃດກໍ່ຕາມ, ຫນ້ອຍກວ່າ 50% ໄດ້ໃຊ້ມາດຕະການຄວາມປອດໄພທີ່ເຂັ້ມແຂງຕໍ່ກັບການໂຈມຕີທາງອິນເຕີເນັດ. ຕົວຢ່າງເຊັ່ນ, ອົງການຈັດຕັ້ງສ່ວນໃຫຍ່ໃຊ້ລະຫັດຜ່ານດຽວກັນເປັນເວລາດົນນານ, ເຊິ່ງເພີ່ມການໂຈມຕີໂດຍບັງເອີນ, ເຮັດໃຫ້ແຮກເກີສາມາດລັກແລະຈັດການຂໍ້ມູນ.
ອຸປະກອນ IoT ສາມາດຖືກນໍາໃຊ້ເພື່ອຕິດຕາມການເຄື່ອນໄຫວຂອງລູກຄ້າແລະປະຫວັດການຊື້, ແລະແຮກເກີອາດຈະໄດ້ຮັບການເຂົ້າເຖິງຂໍ້ມູນນີ້. ນອກຈາກນັ້ນ, ລູກຄ້າສາມາດມີຄວາມສ່ຽງຕໍ່ການຖືກຫລອກລວງໃນເວລາໃຊ້ແພລະຕະຟອມການຈ່າຍເງິນເຊັ່ນ Apple Pay. ການຫລອກລວງເຫຼົ່ານີ້ສາມາດມີຫຼາຍຮູບແບບ, ເຊັ່ນ: ແອັບຯປອມທີ່ລັກຂໍ້ມູນສ່ວນຕົວ ຫຼືເວັບໄຊທ໌ທີ່ຫຼອກລວງໃຫ້ລູກຄ້າເຂົ້າໄປໃນລາຍລະອຽດບັດເຄຣດິດຂອງເຂົາເຈົ້າ.
“ການນຳໃຊ້ກົນໄກການຊຳລະໃໝ່ນີ້ເປັນສັນຍານເຖິງການເລີ່ມຕົ້ນຂອງວົງຈອນການຮັບຮອງເອົາເຕັກໂນໂລຊີໃໝ່. ຈາກຈຸດຄວາມປອດໄພຂອງທັດສະນະ, ນີ້ແມ່ນເວລາທີ່ສິ່ງຕ່າງໆມັກຈະມີຄວາມສ່ຽງທີ່ສຸດ. ຍິ່ງໄປກວ່ານັ້ນ, ອຸປະກອນທີ່ເຊື່ອມຕໍ່ທີ່ຂັບເຄື່ອນການຫັນປ່ຽນນີ້ໄດ້ຖືກພິຈາລະນາແລ້ວວ່າເປັນການເຊື່ອມຕໍ່ທີ່ອ່ອນແອທີ່ສຸດໃນສະຖານະການການນໍາໃຊ້ທີ່ໃຫຍ່ກວ່າອື່ນໆ. ຂ້າພະເຈົ້າເຊື່ອວ່າໃນຮ້ານຂາຍຍ່ອຍ, ຄືກັນກັບອຸດສາຫະກໍາອື່ນໆ, ພວກເຮົາຈະເຫັນອຸປະກອນເຫຼົ່ານີ້ຖືກຂູດຮີດເພື່ອໃຫ້ມີເຄືອຂ່າຍຢ່າງຕໍ່ເນື່ອງ, ເປີດເຜີຍຂໍ້ມູນລະອຽດອ່ອນ, ດໍາເນີນການຫລອກລວງດິຈິຕອນ, ແລະອື່ນໆ. ແລະເຖິງແມ່ນວ່າອຸປະກອນໃຫມ່ຈະປອດໄພທີ່ສຸດ - ແລະນີ້ແມ່ນ IF ໃຫຍ່ - ພວກມັນຍັງຖືກນໍາສະເຫນີເຂົ້າໄປໃນສະພາບແວດລ້ອມທີ່ເຕັມໄປດ້ວຍ IoT ທີ່ເປັນມໍລະດົກ, ເຊິ່ງສາມາດນໍາໃຊ້ເພື່ອຫລີກລ້ຽງການປ້ອງກັນຂອງຕົນເອງ. ເບິ່ງສິ່ງຕ່າງໆຈາກທັດສະນະຂອງນັກສະແດງທີ່ບໍ່ດີ, ສິ່ງທີ່ພວກເຮົາມີຢູ່ນີ້ແມ່ນການຂະຫຍາຍພື້ນທີ່ການໂຈມຕີອັນໃຫຍ່ຫຼວງ - ອັນທີ່ເພີ່ມ "ໂອກາດ" ທີ່ມີຄຸນຄ່າສູງໃຫມ່ໃຫ້ກັບສິ່ງທີ່ເປັນສະພາບແວດລ້ອມທີ່ອຸດົມສົມບູນເປົ້າຫມາຍ, "Natali Tshuva ກ່າວ. CEO ແລະຜູ້ຮ່ວມກໍ່ຕັ້ງຂອງ Sternum, ບໍລິສັດທີ່ບໍ່ມີລະຫັດ, ຄວາມປອດໄພ IoT, ການສັງເກດການ, ແລະການວິເຄາະອຸປະກອນ.
ແຕ່ລະອຸປະກອນ IoT ມີລະບົບຕ່ອງໂສ້ການສະຫນອງຊອບແວຂອງຕົນເອງພາຍໃນ. ນີ້ແມ່ນຍ້ອນວ່າລະຫັດທີ່ດໍາເນີນການອຸປະກອນແມ່ນຕົວຈິງແລ້ວປະສົມປະສານຂອງຫຼາຍໂຄງການປິດແລະແຫຼ່ງເປີດ. ເນື່ອງຈາກໄພຂົ່ມຂູ່ອັນໜຶ່ງໃນທັນທີທັນໃດນັ້ນແມ່ນການເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ ຫຼືແມ້ກະທັ້ງຂໍ້ມູນສ່ວນຕົວຂອງລູກຄ້າດ້ວຍການສໍ້ໂກງທາງອິນເຕີເນັດ. "ນີ້ແມ່ນແຕກຕ່າງຈາກການຫລອກລວງດິຈິຕອນອື່ນໆ, ເຊັ່ນ phishing ແລະວິສະວະກໍາສັງຄົມປະເພດອື່ນໆ", Tshuva ກ່າວ.
"ຢູ່ທີ່ນີ້, ເປົ້າໝາຍຈະບໍ່ມີທາງເລືອກໃນການປ້ອງກັນການໂຈມຕີໂດຍການເຝົ້າລະວັງ ຫຼືແມ່ນແຕ່ສົງໄສວ່າມີບາງສິ່ງບາງຢ່າງເກີດຂຶ້ນ - ແນ່ນອນວ່າມັນບໍ່ຊ້າເກີນໄປ."
"ພວກເຮົາອ້ອມຮອບຕົວເຮົາເອງດ້ວຍອຸປະກອນທີ່ເຊື່ອມຕໍ່ກັນ, ແຕ່ພວກມັນເປັນ 'ກ່ອງດຳ' ຂອງພວກເຮົາແລະພວກເຮົາບໍ່ເຄີຍຮູ້ແທ້ໆ - ຫຼືມີວິທີທີ່ຈະຮູ້ - ສິ່ງທີ່ ກຳ ລັງເກີດຂື້ນຢູ່ພາຍໃນ".
ອີງຕາມ Tshuva, ອຸປະກອນ IoT ສ່ວນໃຫຍ່ໃນທຸກມື້ນີ້ແລ່ນດ້ວຍລະຫັດຈາກຜູ້ໃຫ້ບໍລິການຊອບແວທີ່ແຕກຕ່າງກັນຫຼາຍ (ບາງທີອາດມີສອງສາມສິບ), ບາງຄົນທີ່ທ່ານບໍ່ເຄີຍໄດ້ຍິນ. ປົກກະຕິແລ້ວ, ອົງປະກອບຂອງພາກສ່ວນທີສາມເຫຼົ່ານີ້ແມ່ນຜູ້ທີ່ຮັບຜິດຊອບຂອງການເຂົ້າລະຫັດ, ການເຊື່ອມຕໍ່, ແລະຫນ້າທີ່ລະອຽດອ່ອນອື່ນໆ. ແລະເຖິງແມ່ນວ່າລະບົບປະຕິບັດການສາມາດເປັນການປະສົມປະສານຂອງ OS ທີ່ແຕກຕ່າງກັນຫຼາຍອັນທີ່ອົບເຂົ້າກັນໄດ້.”
"ນີ້ເປີດເຜີຍຫນຶ່ງໃນສິ່ງທ້າທາຍທີ່ສໍາຄັນຂອງຄວາມປອດໄພ IoT ເຊິ່ງ, ອີກເທື່ອຫນຶ່ງ, ກັບຄືນໄປບ່ອນແນວຄວາມຄິດຂອງການຂະຫຍາຍຫນ້າດິນການໂຈມຕີ. ເນື່ອງຈາກວ່າທຸກໆອຸປະກອນທີ່ທ່ານແນະນໍາກັບລະບົບ, ສິ່ງທີ່ທ່ານຈະເພີ່ມແມ່ນການລວບລວມລະຫັດຈາກຜູ້ໃຫ້ບໍລິການຊອບແວຈໍານວນຫນຶ່ງ, ແຕ່ລະຄົນມີຈຸດອ່ອນຂອງຕົນເອງທີ່ຈະເຂົ້າໄປໃນການປະສົມ, "Tshuva ສະຫຼຸບ.
ຜູ້ຄ້າປີກຈໍາເປັນຕ້ອງໄດ້ດໍາເນີນຂັ້ນຕອນຈໍານວນຫນຶ່ງເພື່ອປົກປ້ອງຕົນເອງແລະລູກຄ້າຂອງພວກເຂົາຈາກໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ. ພວກເຂົາຄວນຮັບປະກັນວ່າລະບົບຂອງພວກເຂົາແມ່ນທັນສະ ໄໝ ດ້ວຍຊຸດຄວາມປອດໄພຫຼ້າສຸດ, ແລະພວກເຂົາຄວນຈະມີແຜນການຄວາມປອດໄພທີ່ສົມບູນແບບຢູ່ໃນສະຖານທີ່. ພະນັກງານຄວນໄດ້ຮັບການຝຶກອົບຮົມກ່ຽວກັບວິທີການກໍານົດແລະຕອບສະຫນອງຕໍ່ໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພ, ແລະລູກຄ້າຄວນໄດ້ຮັບການຮັບຮູ້ເຖິງຄວາມສ່ຽງຂອງການນໍາໃຊ້ອຸປະກອນ IoT ໃນການຂາຍຍ່ອຍ.
"ຍ້ອນວ່າຜູ້ຄ້າປີກຮັບຮອງເອົາ IoT ສໍາລັບການເຝົ້າລະວັງສະຖານທີ່ຂອງລູກຄ້າຂອງພວກເຂົາ, ພວກເຂົາສ້າງຊຸດຂໍ້ມູນທີ່ອຸດົມສົມບູນກ່ຽວກັບການເຄື່ອນໄຫວແລະນິໄສການຊື້ຂອງຜູ້ບໍລິໂພກ. ບັນທຶກເຫຼົ່ານີ້ສ້າງເສັ້ນທາງຂໍ້ມູນທີ່ຕ້ອງໄດ້ຮັບການປົກປ້ອງຢ່າງລະມັດລະວັງຍ້ອນວ່າການຊື້ຂໍ້ມູນພ້ອມກັບການເຄື່ອນໄຫວສາມາດເປີດເຜີຍນິໄສສ່ວນຕົວທີ່ສຸດ. ພວກເຮົາໄດ້ເຫັນການໂຈມຕີເປົ້າຫມາຍຈໍານວນຫລາຍຕໍ່ຜູ້ຄ້າປີກໃນຈຸດຊື້ແລະ, ຖ້າສິ່ງນີ້ສາມາດສົມທົບກັບເສັ້ນທາງທີ່ລູກຄ້າຜ່ານຮ້ານ, ສູນການຄ້າ, ຫຼືແມ້ກະທັ້ງທົ່ວເມືອງແລະທະວີບ, ຜູ້ບໍລິໂພກຈະມີການສະຫນັບສະຫນູນຢ່າງແຂງແຮງສໍາລັບຄວາມເສຍຫາຍຕໍ່. ຕ່ອງໂສ້ການຂາຍຍ່ອຍ,” Sean O'Brien, ຜູ້ກໍ່ຕັ້ງຂອງ Yale Privacy Lab ກ່າວ.
ເພື່ອເຂົ້າໃຈໄພຂົ່ມຂູ່, ອົງການຈັດຕັ້ງຈໍາເປັນຕ້ອງເຂົ້າໃຈວ່າການຮັບຮອງເອົາການແກ້ໄຂດິຈິຕອນໂດຍທຸລະກິດຂາຍຍ່ອຍຫມາຍຄວາມວ່າການຮັບຮອງເອົາການແກ້ໄຂທີ່ຂຶ້ນກັບຊອບແວແລະເພີ່ມຫນ້າດິນການໂຈມຕີສໍາລັບອາຊະຍາກໍາທາງອິນເຕີເນັດ.
"ສິ່ງທີ່ເຄີຍເປັນເຄື່ອງລົງທະບຽນເງິນສົດໃນປັດຈຸບັນແມ່ນ "ສະຫຼາດ" ຈຸດການຂາຍທີ່ດໍາເນີນການແລະເກັບກໍາຂໍ້ມູນການຈ່າຍເງິນຂອງລູກຄ້າ, ເຮັດໃຫ້ພວກເຂົາເປັນເປົ້າຫມາຍທີ່ຕ້ອງການ. ລະບົບເຫຼົ່ານີ້ຖືກເຊື່ອມຕໍ່ເລື້ອຍໆກັບການແກ້ໄຂອີຄອມເມີຊທີ່ໃຫຍ່ກວ່າເຊັ່ນຮ້ານຄ້າອອນໄລນ໌ / ໃບບິນ / ສິນຄ້າຄົງຄັງ, ແລະອື່ນໆ, ເຊິ່ງອາດຈະເຮັດໃຫ້ພວກເຂົາເປັນຈຸດເຂົ້າໄປໃນລະບົບທີ່ສໍາຄັນຫຼາຍ. ອີງໃສ່ວິທີແກ້ໄຂທີ່ສະຫຼາດ, ທຸລະກິດຂາຍຍ່ອຍຍັງເຫັນວ່າຕົນເອງມີຄວາມອ່ອນໄຫວຕໍ່ກັບ ransomware ແລະການໂຈມຕີປະຕິເສດການບໍລິການທີ່ຂັດຂວາງຄວາມສາມາດໃນການເຮັດທຸລະກໍາ. ນອກຈາກນີ້, ອຸປະກອນ PoS, ເປັນຄອມພິວເຕີພຽງເລັກນ້ອຍ, ສາມາດຖືກນໍາໃຊ້ໃນການໂຈມຕີ botnet ຂະຫນາດໃຫຍ່,” Maty Siman, CTO ແລະຜູ້ກໍ່ຕັ້ງຂອງ Checkmarx ກ່າວ.
ບໍລິສັດອີຄອມເມີຊໃຊ້ຜູ້ຂາຍທີ່ແຕກຕ່າງກັນຫຼາຍສໍາລັບຂະບວນການຂອງພວກເຂົາ. ຈາກຮາດແວແລະຊອບແວໄປສູ່ການດໍາເນີນງານແລະການບໍລິການທາງດ້ານການເງິນ, ຜູ້ຂາຍທັງຫມົດໃຊ້ຊອບແວພາກສ່ວນທີສາມເພີ່ມເຕີມແລະອົງປະກອບທີ່, ໃນທາງກັບກັນ, ຍັງຂຶ້ນກັບອົງປະກອບຂອງພາກສ່ວນທີສາມ.
"ຖ້ານັກສະແດງທີ່ເປັນອັນຕະລາຍສາມາດຂູດຮີດຫຼືແນະນໍາ "backdoor" ໃຫ້ກັບອົງປະກອບໃດໆຕາມທາງ, ເຂົາເຈົ້າໄດ້ຮັບການເຂົ້າເຖິງວິທີແກ້ໄຂສຸດທ້າຍທີ່ສາມາດພົບໄດ້ໃນພາຍຫຼັງໃນທຸລະກິດຂາຍຍ່ອຍ. ໃນເວລາທີ່ທຸກສິ່ງທຸກຢ່າງອີງໃສ່ຊອບແວໃນມື້ນີ້, ການອີງໃສ່ຊອບແວ open-source ເພີ່ມທະວີບັນຫາເຫຼົ່ານີ້, "Siman ເວົ້າ.
ອີງຕາມການ Siman, ການສຶກສາຂອງພະນັກງານກ່ຽວກັບການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພແມ່ນມີຄວາມຈໍາເປັນ. "ຂໍ້ມູນຕ້ອງໄດ້ຮັບການສໍາຮອງຂໍ້ມູນເປັນປົກກະຕິ, ແລະຜູ້ໃຊ້ຮ້ານຂາຍຍ່ອຍຄວນໃຊ້ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງແລະ MFA. ເຄືອຂ່າຍທີ່ໃຊ້ສໍາລັບການເຮັດທຸລະກໍາຈໍາເປັນຕ້ອງຖືກແຍກອອກຈາກເຄືອຂ່າຍອື່ນໆ, ແລະອຸປະກອນແລະຊອບແວຂອງພວກເຂົາຕ້ອງໄດ້ຮັບການປັບປຸງແລະປັບປຸງເປັນປະຈໍາ."
Sean Tufts, ຜູ້ນໍາດ້ານຄວາມປອດໄພ IoT/OT ຂອງ Optiv ກ່າວວ່າມະນຸດຍັງເປັນໄພຂົ່ມຂູ່ທີ່ໂດດເດັ່ນທີ່ສຸດ. "ການມີພະນັກງານຫນ້ອຍລົງຫຼືການໂຕ້ຕອບຕໍ່ຫນ້າກັນຢູ່ຈຸດຂາຍແລະ / ຫຼືເຊັກເອົານໍາໄປສູ່ການລັກຂະໂມຍທາງດ້ານຮ່າງກາຍຫຼາຍຂຶ້ນ, ແຕ່ມັນຍັງເປີດຮ້ານຂາຍຍ່ອຍເຫຼົ່ານີ້ເຖິງການຂັດຂວາງຫຼາຍຂຶ້ນໂດຍນັກຂົ່ມຂູ່ທີ່ສະຫລາດທີ່ຊອກຫາປະໂຫຍດຈາກຮ້ານ. ໄວ້ໃຈ. ຍິ່ງເຄື່ອງເຫຼົ່ານີ້ຖືກປະໄວ້ໂດຍບໍ່ໄດ້ໃສ່ໃຈ, ການໂຕ້ຕອບຫຼາຍສາມາດ ແລະຈະຖືກໝູນໃຊ້ໄດ້, ເຊັ່ນ: skimmers ຕິດຕັ້ງ ແລະພອດເຂົ້າ.”
ທີ່ມາ: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/