Các nhà bán lẻ có thể chuẩn bị phòng thủ không gian mạng như thế nào cho thời điểm dễ bị tấn công nhất trong năm?

Mùa lễ hội dồn nén rủi ro vào một khoảng thời gian ngắn, đầy rủi ro cao. Các hệ thống hoạt động hết công suất, đội ngũ nhân sự mỏng, và những kẻ tấn công lên kế hoạch các chiến dịch tự động để đạt được lợi nhuận tối đa. Nhiều báo cáo về mối đe dọa trong ngành cho thấy gian lận do bot điều khiển, credential stuffing và các nỗ lực chiếm đoạt tài khoản gia tăng mạnh mẽ xung quanh các sự kiện mua sắm cao điểm, đặc biệt là các tuần quanh Black Friday và Giáng sinh.
Hình ảnh minh họa bảo mật mật khẩu
Minh họa về bảo mật mật khẩu trong bối cảnh mua sắm trực tuyến

Mùa lễ hội dồn nén rủi ro vào một khoảng thời gian ngắn, đầy rủi ro cao. Các hệ thống hoạt động hết công suất, đội ngũ nhân sự mỏng, và những kẻ tấn công lên kế hoạch các chiến dịch tự động để đạt được lợi nhuận tối đa. Nhiều báo cáo về mối đe dọa trong ngành cho thấy gian lận do bot điều khiển, credential stuffing và các nỗ lực chiếm đoạt tài khoản gia tăng mạnh mẽ xung quanh các sự kiện mua sắm cao điểm, đặc biệt là các tuần quanh Black Friday và Giáng sinh.

Tại sao các đỉnh điểm mùa lễ hội làm tăng rủi ro về credential

Credential stuffing và việc tái sử dụng mật khẩu hấp dẫn những kẻ tấn công vì chúng có thể mở rộng quy mô: các danh sách tên người dùng/mật khẩu bị rò rỉ được kiểm tra tự động với các cổng đăng nhập của nhà bán lẻ và ứng dụng di động, và việc đăng nhập thành công sẽ mở khóa các token thanh toán được lưu trữ, số dư điểm thưởng và địa chỉ giao hàng. Đây là những tài sản có thể được tiền tệ hóa ngay lập tức. Dữ liệu đo từ xa trong ngành cho thấy các đối thủ “chuẩn bị trước” các script và cấu hình tấn công trong những ngày trước các sự kiện giảm giá lớn để đảm bảo truy cập trong thời gian lưu lượng truy cập cao điểm.

Lịch sử bán lẻ cũng cho thấy credential của nhà cung cấp hoặc đối tác có thể mở rộng phạm vi ảnh hưởng như thế nào. Vụ Target breach năm 2013 vẫn là một trường hợp kinh điển: những kẻ tấn công đã sử dụng credential đánh cắp từ một nhà cung cấp HVAC để truy cập mạng và cài đặt malware trên các hệ thống POS, dẫn đến việc đánh cắp dữ liệu thẻ quy mô lớn. Sự cố đó là lời nhắc nhở rõ ràng rằng quyền truy cập của bên thứ ba phải được xử lý nghiêm ngặt như các tài khoản nội bộ.

Bảo mật tài khoản khách hàng: Mật khẩu, MFA và sự đánh đổi UX

Các nhà bán lẻ không thể chấp nhận việc tạo ra quá nhiều rào cản trong quy trình thanh toán, nhưng họ cũng không thể bỏ qua thực tế rằng hầu hết các nỗ lực chiếm đoạt tài khoản đều bắt đầu bằng mật khẩu yếu, bị tái sử dụng hoặc bị lộ. MFA thích ứng (có điều kiện) là sự thỏa hiệp tốt nhất: yêu cầu yếu tố thứ hai khi đăng nhập hoặc giao dịch có rủi ro (thiết bị mới, thay đổi giá trị cao, vị trí bất thường) nhưng vẫn giữ cho hành trình khách hàng thông thường được suôn sẻ.

Hướng dẫn về danh tính kỹ thuật số của NIST và các khuyến nghị của nhà cung cấp lớn đề xuất chặn các credential đã bị lộ, tập trung vào độ dài và entropy của mật khẩu thay vì các quy tắc phức tạp lỗi thời, và chuyển sang các tùy chọn không mật khẩu chống phishing như passkeys khi khả thi.

Việc cẩn trọng với quyền truy cập của nhân viên và bên thứ ba có thể giảm thiểu phạm vi ảnh hưởng hoạt động. Tài khoản của nhân viên và đối tác thường có nhiều quyền hạn hơn tài khoản của khách hàng. Các console quản trị, hệ thống POS backend, cổng thông tin nhà cung cấp và truy cập từ xa đều cần MFA bắt buộc và kiểm soát truy cập nghiêm ngặt. Sử dụng SSO với conditional MFA để giảm bớt rào cản cho nhân viên hợp pháp trong khi bảo vệ các hành động có rủi ro cao, và yêu cầu các privileged credentials phải là duy nhất và được lưu trữ trong một vault hoặc hệ thống PAM.

Các sự cố minh họa rủi ro

  • Target (2013): Những kẻ tấn công đã sử dụng credential của nhà cung cấp bị đánh cắp để xâm nhập mạng và triển khai POS malware, cho thấy quyền truy cập của bên thứ ba có thể gây ra sự thỏa hiệp rộng rãi.
  • Boots (2020): Boots tạm thời đình chỉ thanh toán bằng Advantage Card sau khi những kẻ tấn công tái sử dụng credential từ các vụ breach khác để cố gắng đăng nhập, ảnh hưởng đến khoảng 150.000 tài khoản khách hàng và buộc phải có phản ứng hoạt động để bảo vệ số dư điểm thưởng.
  • Zoetop / SHEIN (điều tra và dàn xếp): Tổng chưởng lý New York nhận thấy Zoetop đã xử lý không thỏa đáng một vụ credential compromise lớn, dẫn đến hành động thực thi và phạt tiền, một ví dụ về việc phản ứng sự cố kém và xử lý mật khẩu yếu làm tăng rủi ro.

Các biện pháp kiểm soát kỹ thuật để ngăn chặn lạm dụng credential trên quy mô lớn

Mùa cao điểm yêu cầu các lớp phòng thủ ngăn chặn lạm dụng tự động mà không gây cản trở cho người dùng thực:

  • Quản lý bot và dấu vân tay hành vi thiết bị để phân biệt người mua hàng là người thật với các cuộc tấn công theo script.
  • Giới hạn tốc độ và tăng cường thử thách lũy tiến để làm chậm các chiến dịch kiểm tra credential.
  • Phát hiện credential-stuffing nhận diện các mẫu hành vi, không chỉ dựa vào số lượng.
  • Danh tiếng IP và threat intelligence để chặn các nguồn độc hại đã biết.
  • Các quy trình thử thách vô hình hoặc dựa trên rủi ro thay vì các CAPTCHA quá gắt gây hại đến tỷ lệ chuyển đổi.

Các báo cáo ngành liên tục chỉ ra tự động hóa bot và các cấu hình tấn công “chuẩn bị trước” là những động lực chính của gian lận mùa lễ hội, vì vậy việc đầu tư vào các biện pháp kiểm soát này trước các tuần cao điểm sẽ mang lại lợi ích.

Liên tục hoạt động: Kiểm tra failover trước khi cần

Các nhà cung cấp xác thực và các tuyến SMS có thể gặp sự cố. Và nếu chúng gặp sự cố trong thời gian giao dịch cao điểm, kết quả có thể là mất doanh thu và hàng đợi dài. Các nhà bán lẻ nên kiểm tra và ghi lại các quy trình failover:

  • Truy cập khẩn cấp được phê duyệt trước thông qua các credential có thời hạn ngắn, có thể kiểm toán được lưu trữ trong một vault bảo mật.
  • Xác minh thủ công các quy trình làm việc cho các giao dịch mua tại cửa hàng hoặc qua điện thoại.
  • Các bài tập tabletop và load testing bao gồm MFA và SSO failover.

Những bước này bảo vệ doanh thu cũng như bảo vệ dữ liệu.

Specops Password Policy hỗ trợ như thế nào

Specops Password Policy giải quyết một số biện pháp kiểm soát có tác động lớn mà các nhà bán lẻ cần trước các tuần cao điểm:

  • Chặn các mật khẩu bị lộ và phổ biến bằng cách kiểm tra mật khẩu đặt lại và mật khẩu mới so với các bộ dữ liệu breach đã biết.
  • Liên tục quét Active Directory của bạn so với cơ sở dữ liệu hơn 4,5 tỷ mật khẩu bị lộ của chúng tôi
  • Thực thi các quy tắc thân thiện với người dùng (passphrases, danh sách chặn mẫu) giúp cải thiện bảo mật mà không tăng thêm gánh nặng cho bộ phận hỗ trợ.
  • Tích hợp với Active Directory để thực thi nhanh chóng trên các hệ thống POS, quản trị và backend.
  • Cung cấp telemetry hoạt động để bạn có thể phát hiện các mẫu mật khẩu rủi ro và ATO attempts sớm.
Giao diện thay đổi mật khẩu của Specops Password Policy
Màn hình thay đổi mật khẩu trong Specops Password Policy

Đặt lịch trải nghiệm trực tiếp Specops Password Policy với chuyên gia ngay hôm nay.

Thẻ liên quan
#an ninh mạng #bán lẻ #mùa lễ hội #credential stuffing #account takeover #MFA #bảo mật mật khẩu #gian lận bot