樂透創業致富錢潮-丁偉峰顧問分享網路行銷經驗談

作者:丁偉峰

    由於消費券有固定面額，又有不得直接兌換現金，與不找零的限制，網路商家應該針對這樣的特性，設計足夠吸引消費者使用消費券的「機制」誘因，才能夠與實體店家一較高下！

    首先，如前文所述，網購業者必須開闢「貨到付款」或「超商取貨付款」的金流機制，就可以在購物網站首頁及明顯位置標示「本站適用消費券」。並應在「購物流程」頁面中，強調使用消費券的消費者，應選擇「貨到付款」或「超商取貨付款」方式付款。

第二、設計不需找零商品價格

    消費券面額為五百元6張，兩百元3張。因為消費券不能找零，多數消費者一定不願意「超額付費」，而網路商家也不可能要求「不足額」時再採其他方式支付差額(如補現金、再轉帳或再刷信用卡），單筆消費多次支付，造成消費雙方困擾。

    所以，建議網購商家修改商品售價，符合消費券面額。也就是(500*n+200*m)例如原價750元商品，修改為700元或是兩件合購1500元；或例如原價150元的商品，新增特價組合為三件合購只要400元。

第三、全額預購超額消費優惠

    如果網站技術可以支援，建議網購商家也可以推出全額預付，日後超額消費的「積點制」或「網路購物金制」。例如一次消費支付全額3600元消費券，網站就加送500元「網路購物金」或「消費積點」，可以折抵日後的消費。「3600元當4千多元使用」以此吸引更多銷費者上站使用消費券

第四、留意退換貨規範與消費券截止日

    網購商家收到消費券之後，若是同筆消費要求退換貨，應以同額「消費券」退回處理，以免造成消費爭議。而網路商家也應註明消費券使用的最後期限(按：應早於銀行最後兌換期限一～二週)為宜。

丁偉峰 顧問口述
王國鴻 整理

    政府為刺激國內市場消費，將每人發放3600元的消費券以刺激內需消費市場，而這項高達八百餘億的消費券，使用方式主要是適用於零售門市、店頭、賣場等「當面交易」時，且消費券使用時不找零。

    這項振興國內市場景氣的措施，在還未正式拍板定案時，就已引發實體零售店家的搶奪大戰，紛紛推出「來店」使用消費券另有優惠的方案！網路眾家業者磨刀霍霍，當然也想搶食這塊大餅。

    由於法令明訂持「消費券」的一般民眾不能直接存入金融機構個人帳戶中，甚至明訂不得「以電子、磁力、光學等形式儲存金錢價值使用。」也就是說，一般民眾不能將消費券存入帳戶中轉帳消費，或是以電匯方式匯入該商家帳號，也不能先以信用卡線上消費，再以消費券存入發卡銀行帳戶中「繳卡費」！

    也就是說，網購消費者不能以ATM匯款轉帳，以及線上信用卡付款方式使用消費券消費！
而網購業者則是可以透過「超商取貨付款」、「面交」或宅配「到府付款」方式，與實體店家一較高下。

    採用「超商取貨」及「到府付款」等兩種方式，唯一的差別只是「到府付款」方式，雖然也能提高商品購買率，但網友退貨率也相對提高，如果網購業者能夠透過網路無疆界特性，成功吸引民眾消費，並透過便捷的取貨方式，要想成功搶食這片商機，絕非難事。

    一月十八日消費券開始要發送了，正當您也如火如荼提出促銷專案刺激消費的同時，您的網路後勤支援補給是否早已準備好了呢？別讓網友因為無法順利取貨，而降低了購買慾望，那可是會得不償失的。

(接續上篇：資安風暴(上)～駭客與詐欺者聯手，知名網站受害)

作者:丁偉峰

    許多人認為網站內部人員「內神通外鬼」、「人謀不臧」是肇禍的主因。這種案例當然也曾發生過(例如某購物台離職員工盜賣客戶資料近日被捕)。但我們認為大多數的網站都有內控機制，尤其會以限縮權限方式，限制員工總覽客戶資料。而且任何以「管理者」帳號登入網站後台的操作，都會被一一記錄，極易追查，員工盜取資料風險代價不小。再者，這波資安風暴不只單一個案發生，幾乎是「全面性」的遭受侵入，多個網站員工幾乎同時犯案的可能性不高。

    其實，許多大型網站開站迄今超過七年以上，在當時所用的程式語言大多是「第一代」的網路系統語言，皆以功能完整、齊全為開發導向，在當時駭客橫行不多的環境中，遭受挑戰考驗的機會也少，第一代的程式語言自然比較少顧及安全性防堵的功能，可以說是存在著一些先天的缺陷或漏洞。駭客不需測試登入帳號、密碼，直接偵測網頁尋找漏洞即可竄入資料庫，可說是「來去無蹤」。

    有鑑於此，程式系統語言開發公司四年前開始推出「第二代」網站系統語言，不但使系統功能更強，並已將漏洞修補。廠商大力推廣取代舊一代的程式語言，但由於原網站若要更換為新程式語言，幾乎「全站」所有程式都必須一一重新製作、替換，不但耗時而且耗費鉅資，程式維護相關人員也必須接受昂貴訓練，才能提升撰寫與維護能力，工程非常浩大。所以迄今，仍有許多網站未全面更換程式語言。

    再者，利用免費自由程式語言撰寫的系統程式，更沒有統一的服務廠商，可以提供安全性提升的標準元件與支援，防堵駭客的技術更需要耗費成本自行開發，難度不小，所以駭客仍有可乘之機。

    既然內賊、外賊難防，除了前述限定錯誤登入次數、限縮員工管理權限以及全面升級程式語言之外，還有哪些防堵策略？以下提供某些高階網站的防堵策略，供讀者參考：

策略一：既然駭客可能趁隙而入，不如讓他取得無法解讀的東西吧。

    方法：將客戶資料庫中某些重要欄位(例如詐騙集團最需要的「客戶電話」)予以「加密」成為符號編碼，讓內部員工與入侵者複製資料庫時，只能「撈到」無用的 資料。當會員自行查詢或客服人員個別查詢時，再一一「解密」還原才能閱讀使用。

策略二：既然門戶有洞，何不將資料放入第二層、第三層保管箱中？

    方法：重要欄位加密之後，再將加密的編碼資料故意拆分為二，分別存放公司內部不同的資料庫內，與網站資料庫分隔。並鎖定內部讀取資料筆數、閘道、帳號、密碼與IP...等等。如此，就像內部第二層、第三層保險箱一樣，縱使網站(大門)有漏洞易遭竄入，重要資料也不會輕易被竊。

    當然，這樣的作法在資料使用時會比較麻煩，資料分地讀取、拼湊還原再解密會多耗時，也會耗費系統資源，但多層保障，就能多分安全。

    提出以上意見，就教各位先進。

作者:丁偉峰

資訊安全繼知名電視購物網站發生客戶資料外流的資安事件之後，又有多家大型購物網站受害，本公司察覺其中事態嚴重，同時也獲得其他電子商務網站專業經理人告急，共同研究後認為，駭客正以「非常高段」的手法潛入各大網站竊取資料，而且直接盜取會員客戶資料，駭入盜取的價值目標非常明確。

資訊安全正當我們與各網站聯繫尋求防堵之道時，有更多知名購物網站網站發出哀鳴，發出緊急通知要求上百萬會員網友更改密碼，希望能有所挽救！但若駭客已經入侵，資料恐怕早已被竊取一空，更換密碼是否有效，值得觀察。

網路安全依據這次受害的網站反查入侵IP的來源，皆為大陸地區IP，顯示大陸地區已成駭客最常窩藏，或當作攻擊跳板的地區。而且，早在兩週前連英國最高情報單位M16，就直指大陸駭客公然攻擊歐洲數個重要金融網站，企圖竊取客戶重要資料，甚至差點「幾乎得手」顯示這波的駭客攻擊，不但非常惡意，而且都是以客戶資料為目標！不同於以往僅僅只是以攻防證明功力，或無實質傷害的惡作劇等...而已。本站資深顧問相信，這代表科技駭客人已經與詐欺集團串聯合作，使原本對駭客無用的網站會員資料，轉變成為對詐欺集團最有效的詐欺素材，兩者聯手構成網路資安最大、最可怕的敵人。

網路安全到底駭客是用什麼方式突破網站安全防護呢？某立委召開記者會直指，大陸詐欺集團動員上百人力，不斷測試購物網站會員登錄的帳號及密碼，以竊取會員資料。但本站認為，這種方式雖非完全不可能，但耗費人力成本過高，詐欺集團很早就曾採用「程式機器人」自動登錄偵測的手法，突破成本相對低廉。

資訊安全網路業界防堵自動偵測的方法也不困難，方法之一就是設定「連續登入錯誤」鎖定帳號的功能，例如連續輸入密碼「連續登入」錯誤五次，即鎖住該帳號，不讓自動程式有機會再嘗試，讓駭客程式沒有機會取得客戶帳號與密碼。

資訊安全然而，根據本站的觀察，這波的駭客攻擊恐怕不是這麼簡單的「嘗試登入」策略而已，而是用更高明的手法！

(續篇：資訊安全風暴(下)：防堵駭客入侵芻議 )
http://www.web-time.com.tw/details/ec.aspx?id=238