电子商务正在增长,坦率地说,根本没有停止。更好的被称为“电子商务”,在2016年的网上购物预计将近2万亿美元,目前的预测,这个数字高达4万亿美元,到2020年。但另一个增长指标,与电子商务的增长,趋势不太理想:网络犯罪的明显上升。
网络犯罪的成本预计将达到2019年2万亿$,对此,人们可能会注意到,是电子商务的当前值,并在2020年至今的电子商务的预计值的一半,超过4000万美国人有他们的信用卡数据被盗(大约四分之一的美国人用信用卡),其中大部分与在线支付和在线存储的信用卡数据直接相关。考虑到网络支付的依赖性越来越高,而且数字盗窃也越来越明显,因此消费者对点击“立即付款”按钮很谨慎。有没有办法真正避免最坏的情况下?
是和否。
一个特别勤奋的黑客几乎总是能够找到一种从某处窃取数据的方法,即使他的尝试被更高度安全的系统阻挡。实际上,超过20%的数据泄露是来自能够轻松访问敏感客户数据的员工的工作(pdf)。无论黑客如何获得您的帐户信息,您可以通过利用一些有用的提示减少成为网络犯罪受害者的机会。
1.只能从SSL / TLS安全网站进行在线购物
越来越多的网站依靠所谓的SSL / TLS加密来保护在线数据。这种类型的加密对于黑客来说是非常困难的,以目前的计算机处理能力无法实现。在这种情况下,您要查找的是已使用此高级加密标准进行验证的网站。幸运的是,它很容易识别。只需在网址前面寻找挂锁符号和/或“HTTPS” :
对于按销售额最大的在线零售商亚马逊,您会发现使用Symantec发布给公司的高级SSL / TLS证书。很少有人会说,他们不信任在亚马逊上进行在线支付,正如网站的大量销售突出显示。
我们深入介绍了SSL / TLS加密,您可以在此处了解更多。简单地说,公司可以购买多个证书级别。你不想要的是从较低层公司购买最低水平的SSL / TLS安全的零售商,这只是验证网站的所有权。高级证书需要对网站的身份,所有权和安全功能进行完整和相当广泛的评估。购买最高级别证书的公司通常会在网址栏旁边显示公司名称。Ebay只是一个例子:
公司是否需要在网址旁边使用他们的名字才能完全安全?一点也不。例如,亚马逊没有该证书级别,而eBay只在您准备购买时才使用它。
公司总是需要有SSL / TLS证书吗?再次,不是。对于用户,在网站上安全的最重要的区域将是您可能会输入个人信息的任何地方,例如信用卡号或用户名和密码。不涉及任何双向交互的网站页面不一定需要使用昂贵的SSL / TLS证书,但是对于公司而言,即使对于那些网页,也可以购买一些安全性。
网站的SSL / TLS安全级别应该是您判断网站进行在线付款的安全级别的主要方法,但不是您如何在线安全付款的唯一参考点。
2.只能通过使用有信誉和安全的在线支付网关的网站付款
在线支付网关(如PayPal和Authorize.net)主要是为了方便,而且还用于帮助保护您的在线付款,即使您在不够安全的网站上购物。当使用托管支付网关(如PayPal和Amazon)时,您的财务信息(例如信用卡或银行信息)绝不会落入商家的手中。这些服务还有助于确保您不必在不同的网站上创建新帐户,从而阻止这些网站收集绝大部分信息。
然而,集成支付网关允许网站收集和存储您的信用卡信息。在您没有看到列出的单独支付系统的名称(例如,PayPal)的任何网站的情况。例如,使用Authorize.net的网站使用集成支付网关,并存储您的信息。亚马逊使用自己的本地系统,但也将其大型客户数据库作为托管网关出售给其他公司。
你可以很容易地看到这样的服务提供的安全无处不在互联网上。例如,我从来没有听说过SmartBargains.com 网站,但为了争论,我去那里,选择了一个随机项目购买。点击按钮购买我的项目后,我被迎接这个屏幕:
我不知道智能交易。我不知道他们作为一个有用户数据的公司如何可信。但事实上,他们利用PayPal和亚马逊的商家账户意味着我不必担心他们窃取我的财务和个人信息。我当然可以利用他们的集成支付网关,但我不知道他们的网站是多么值得信赖。他们为我提供了替代的付款方式,我相信,使他们更可靠的网站在我的眼睛。
只要我可以验证那些托管网关登录是合法的(再次,通过检查以确保在PayPal或亚马逊页面上有一个HTTPS证书,点击他们),然后我可以安全地认为智能交易是安全的购买从。它不会保证我会收到我购买的产品,但至少我知道我的数据是安全的。
PayPal,Google电子钱包,Apple Pay和其他这样的系统充当各种中间人,从您的帐户中提取资金,然后将它们传递到接收站点。这通常可以包括如果需要,向商家发送您的运送细节。在这个交易期间,所有商家站点都是信用的资金,而不是转移这些资金所涉及的财务信息。支付网关公司Shift4提供了付款网关如何工作的良好说明:
这种中间服务使缺少高级SSL / TLS加密的站点可以享受安全的支付系统的好处。它还有助于防止任何人为这些网站工作的人可能窃取您的个人信息,并使用它享受你的一毛钱的好生活。
值得信赖的集成和托管支付系统应与支付卡行业数据安全标准(PCI DSS)保持一致。有机会,如果不使用可识别的托管支付网关(如Apple Pay,PayPal,Amazon,Visa Checkout或Google电子钱包),您将不知道该网站是否符合这些标准。这就是为什么您应该避免从不知道或不信任的网站进行在线付款,特别是如果该网站没有宣传其支付网关或不提供替代托管网关。
有大量的在线支付网关,其中许多是高度安全的。其他类似的服务包括SecurePay,Stripe4,2Checkout.com,First Data Corporation,BluePay Processing,PaySimple,Fastcharge.com,Paynova和Chronopay,等等。如果您不确定网站的付款安全系统,不要为放弃购买感到不便。在其2016年美国运通电子支付调查中,美国运通发现,42%的购物者由于安全问题而退出了网上购物。
3.在您的家庭网络之外购物时,通过公共wifi选择移动数据网络
这归结于数据安全,而在公共网络。公共WiFi网络是非常好的服务,以帮助您避免在您的移动设备上使用您的数据计划,但他们也远离安全。在这种情况下,黑客可以使用所谓的中间人攻击来窃取您的数据。
一旦连接到公共无线网络,黑客可以将自己插入主机路由器。完成后,他们可以看到通过该路由器的任何数据。这包括您的密码,是的,信用卡和银行帐户数据可能在您的计算机和路由器之间传递。
赛门铁克提供了一个相当稳固的图形,以帮助可视化它的工作原理:
不是所有的公共wifi是创造平等。安全网络当然比开放或不安全的网络更安全。尽管如此,即使安全的公共WiFi网络需要密码或访问密钥也可以被黑客攻击。您自己的家庭网络始终是最安全的,有线网络或您的移动数据网络是最安全的选择。
一个简单的解决方法是使用虚拟专用网络或VPN,同时连接到公共wifi。VPN将加密您的数据,甚至在它通过您使用的公共wifi路由器之前。
4.不要在多个站点上使用相同的密码
美国运通,世界上最大的金融机构之一,通过在线支付为我们提供了有关安全和安全的有用信息。该公司建议消费者“在所有银行,电子邮件和社交媒体帐户中创建不同的密码,并每6至12个月更新所有密码。
如果您的数据从一个网站被窃取,包括登录和密码信息,任何其他具有相同信息的网站都会受到侵害。黑客可以跟踪您的其他帐户,并从这些网站窃取额外的信息。美国运通在其电子付款安全调查中指出,只有44%的在线购物者对不同的在线帐户使用不同的密码,而只有30%的用户每年为其帐户创建一次或两次新的密码。调查还表明,一个渺茫的17%的人从来不改变他们的密码。
5.考虑仅为在线购买创建单独的付款帐户
这种方法不是必要的选项,可以帮助保持您的主要帐户与您的在线购买完全分离。如果你的二级专用在线支付帐户被黑客入侵,你不必担心丢失你的整个生命的储蓄(不是你应该把所有的生命储蓄包裹在一个银行帐户,当然)。
一种方法是在进行在线购买之前将资金从您的银行转移到PayPal。当您使用PayPal时,系统会先转储您的PayPal中存储的资金,然后直接从您的银行或信用卡转账
或者,您可以使用预付的借记卡,如美国运通卡
这可能是一个特别好的方法,如果你有年幼的孩子,青少年或年轻成年人开始大学谁将使用这些卡进行在线购买。不要让他们访问您的信用卡或银行连接的借记卡(信任的标志,一定是,但可能不是最聪明的选项),您可以设置他们自己的,单独的帐户,您可以加载钱。美国运通卡(American Express Serve Card)尤其如此,它还提供您创建子帐户的能力,其中每个子帐户都收到自己的预付借记卡。
美国运通通知我们,服务卡成员和其他美国运通卡的成员“不对其账户上的任何欺诈性费用负责。”这使得使用美国运通服务以及可能的其他预付费借记卡,传统借记卡连接到支票帐户时,可以负责的最大金额。
6.使用信用卡超过传统借记卡。
金融网站NerdWallet专家总结了这个问题背后的原因:
“用信用卡,发卡机构必须争取得到它的钱。用借记卡,你必须争取把你的钱。
信用卡本质上是从您以后回收的银行或信用卡公司取出的贷款。直到你支付回来,这不是你自己的钱,你曾经做过购买; 那钱是属于银行的。因此,如果有人窃取您的信用卡信息和货架,例如,您的帐户上的信用卡债务$ 10,000,你可以更容易地让信贷机构原谅这笔债务,如果你可以证明它不是你。他们将不得不追究从窃取您的帐户信息,甚至有保险赔偿他们的钱。
同时,如果您直接从支票帐户/当前帐户(这是您的传统借记卡所用的地方)损失钱,您可能无法获得这笔钱- 而且直接的损失更难处理。考虑到这是你失去的钱,你的责任是争取拿回钱。不幸的是,你甚至不会得到所有的回来。
根据美联储的E条例,即“注册E”电子资金划拨法,消费者都需要在一定的时间范围内对他们的帐户报告欺诈活动。如果在线使用您的借记卡后,您的帐户信息被盗,您有60天时间可以报告。您不会有任何责任,只要它不涉及访问设备(如连接帐户或借记卡的电话)的物理盗窃,但您的银行将有10天的调查,在这一点他们需要将金额退还给您的银行。
但是,我们无法保证您的银行会断定您的信息实际上已被盗,并涉及欺诈性费用。你可能会发现自己处在一种你从来没有看到你的钱的回报的情况。
7.检查网站安全印章- 但不要相信它
这可能是最被忽视的,但最常被滥用和有争议的安全功能的在线零售商之一。向使用第三方在线安全公司的网站提供安全印章。许多网站将雇佣这些公司向其网站提供高级安全性或验证其公司是否使用高级别安全性。这些网站将以图像的形式用他们的“印章”在网站的底部宣传自己的业务。最常见的是,该印章只出现在与进行在线购买相关的页面上,或者提示用户输入个人信息以创建帐户。
例如,在用于VPN服务IPVanish 的网站上,在主页上没有安全密封。然而,页面上却有一个用于创建和支付新帐户的页面:
通过点击密封,您还提出了附加信息,以验证密封的有效性和网站的安全功能:
这为网站提供了一定量的信任,至少与其对外部黑客的安全功能有关。它不保证那些在内部工作的人不能或不会窃取你的数据。这是通过使用有信誉的支付网关来确保的。
这里是这些海豹的问题:他们很容易欺骗,而且他们通常不意味着什么。
许多网站使用海豹,你不能点击以从发布网站或公司提出更多的信息。此外,一些发出这些印章的网站可能允许您在其网站上搜索合作伙伴,但情况并非总是如此。在一天的结束,海豹只是图像,容易复制或伪造,并经常不诚实地放置在网站的底部。
这是很好检查印章,但不要让一个网站的使用一个或打破你的购买决定。只是检查密封的存在作为您可能有疑问的网站的另一个潜在的积极的缺口。在许多情况下,已经或已经有他们的声誉问题的网站将使用印章。有机会,你不会找到这样的密封件在更有信誉的网站,如亚马逊或eBay。他们没有安全密封,因为他们不需要他们帮助描绘积极的形象。
8.检查网站是否有数据泄露的历史记录
虽然这些信息并不总是易于获取,但您可以通过简单的网络搜索来查看相关网站是否遇到过任何类型的数据泄露。根据联邦和许多州法律,公司和要求向联邦政府和网站的客户报告数据泄露。
一些资源确实存在于在线,以帮助使此过程更容易。网站违规水平指数不仅提供关于数据泄露的持续统计数据,还维护并定期更新违约数据库,包括公司名称或网站名称,违约类型,被盗记录数,被盗记录的日期,位置和行业。
例如,2016年,最糟糕的数据泄露网站记录是Adult FriendFinder,一个成人导向的网站,不仅收集非常个人和识别信息,但也收集信用卡数据:
正如你可以看到的,Adult FriendFinder的破坏是巨大的,考虑到网站的目的(类似于但不是相同的Ashley麦迪逊),从帐户被盗的数据类型意味着个人和非常透露的信息进入黑客的手中- 信息可以很容易地用于持有帐户持有人的赎金类似的方式发生后发生的阿什利麦迪逊违约。
您还将注意到,此网站上的违规被分配“风险评分”,2.9或以下表示违规,其中被盗数据通常无关紧要(如用户名被盗,但没有邻接密码),最多10个,表示这是一个非常大的违约行为,其中极其敏感的财务或个人数据丢失。该网站甚至包括对于对潜在或最近发生的数据泄露可能有多严重感兴趣的公司的风险计算器。
数据库只能返回到2013年,因此任何超出您商家的违约行为都不会显示。您可以通过网络搜索找到该公司的新闻报道,但如果商家网站太小,由另一家公司所有,或者在违约后重新命名和更改名称,这通常不会出现。我们写了一些历史上最大的数据泄露。我们的研究结果非常清楚:大多数人所依赖的公司越来越成为目标,而数据泄露的平均记录数量随着时间而变得越来越大。最终,每个公司都会被黑客入侵。数据将丢失。这并不意味着你不应该信任任何网站。然而,
了解此信息可能会或不会对您产生任何影响。但是,如果您发现网站在过去几年中发生了多次数据泄露,则可能会严重影响您决定使用其网站。毕竟,一个重复,高风险数据泄露的网站可能不会认真对待数据安全,以保证您的业务。也就是说,一些网站更有可能被定位,这在今天的时间是不可避免的。无论哪种方式,我的牙齿盗窃是一个非常真正的关注,任何人在网上给他们的信息。
使用您可以使用的任何和所有信息做出知情的决定
在进行在线付款时,没有替代的谨慎。上述任何信息都有助于降低将您的个人数据暴露给黑客和盗贼的风险,但即使如此,您也永远不会完全安全。并记住:如果你不确定一个网站,没有伤害,只是走开。