經過了一個多月的驚魂，真的體認到，在網路上創業開店，其實所有的風險和準備工作，都和實體店鋪相當，不能輕忽任何環節。

七月原本是暑假好開心的玩樂月，之前在計劃時，配合著向國外新訂補訂的商品，玩德瘋準備了很多活動和令人興奮的新品，要在暑假開始後一波波炒熱夏天，沒想到六月中開始，發生了駭客的問題，辛苦架設的自家購物中心，被駭客入侵，會員們陸續接到詐騙電話，雖然沒有人真正在財物上受害，但對我們或是被騷擾的客戶來說，都是相當大的傷害（心理上個人資料上名譽上）。這一個多月來，除了維護網站的公司之外，我們因為無法確切杜絕問題，自己也變成了偵探，到處找線索，作詐騙日記，向外部的資安工程師作諮詢請益，一些專業領域中的朋友，也都主動提出幫忙，下海替我們檢視問題作分析，更感人的是，知道我們深受其苦，不少會員們私下來信打氣，或在噗浪上替我們加油，雖然這一個多月來，因為處理受駭問題，生意和商譽受影響，我也連帶燃燒掉不少肥細胞，心情一點都沒有放暑假的high，但是這些友情和鼓勵，也讓我重新認知到已經踏上的這條路，因為背負著許多人的期望和對員工家庭及會員的責任，是不能因為這樣的不定時炸彈受挫，就輕易放棄認輸的。

回顧這一個多月來的驚魂，只能說，在第一次發生問題後，我們太天真了，網站公司和我們都是，因為第一次受駭之後，檢查購物程式時，立刻就發現了被惡意植入的程式，解決完之後，自家的工程師再檢查過一遍，我們也作了其他相關措施（修改訂單確認信內容，以及準備實施會員登入後SSL加密，將空中資料傳輸時的風險降低），沈靜了兩週後，就天真地以為問題解決了；熟知駭客仍然會繼續嘗試弱點攻擊，整個防駭的工作，基本是工程師／業主和駭客間持續的鬥智作戰，根本就沒有所謂能放心的一天。

七月的前半個月發現再次受駭，並且收集到一些重要線索，知道即使我們不停地刪除主機上的資料，駭客仍能如入無人之地的取得新訂單資料後，我們開始尋求第三方資安的協助，網站工程師再怎麼細心檢查，程式終究是自己寫的，會有判斷和檢查上的盲點是自己怎麼都看不到的，除了網站公司請了外部顧問來作檢查和虛擬攻擊之外，我們自己也訪問了一些專作資安的程式公司，在訪談中才重新體認，就像實體店鋪需要擔心遭宵小攻擊，而必須定期支出經費維安一樣，購物網站也是一樣，駭客像不定時炸彈，一次的攻擊結束，只能說是鬥智競賽重新開始，除了消極的除錯，也要定期以新工具作掃描檢測，甚至作出更積極的新程式來預防再次受駭。

七月的大衝擊後，現在真的學乖了，雖然兩週前，藉由外部顧問的虛擬攻擊，我們找到了一個重大的問題點，可能就是造成七月新訂單詐騙的原因，並且在除錯後，到目前為止，並沒有新訂單再受駭，但我們仍然戰戰兢兢地處於實驗觀察階段，除了程式端的問題解決一個便觀察一段時間之外，訂單的處理上，我們也作了相對應的處理，改變一個作法就觀察一段時間，理想的目標是讓網站的功能，在安全無虞的情況下，最後能回復到正常運作，讓會員客戶們可以正常查詢訂單資料和出貨紀錄，來一張單刪一張單的方法，畢竟不是治本的永久策略；也好在當初在金流的處理上，交由第三方金流公司來作處理，所以客戶的信用卡或銀行帳戶資料，完全不在我們的資料庫範圍內，歹徒無法直接取得帳戶資料進行詐騙，否則是更不敢想像的損失。

不經一事不長一智，脫離了商城平台的保護，以為自己架站就是把貨架整理好，鐵門拉開就能開張大吉，沒能時時保持警戒預先防範，而讓客戶遭到騷擾和驚嚇，真的是我這個創業新手的嚴重心態疏失，也藉由這次的教訓，歸納出幾個心得發現，提供在同一條船上的大家作參考：

• 網站防駭工作，是沒有停止的一天，沒有分週末週間，也沒有分大小間的公司的。說起來很恐怖，但一山還有一山高，這個駭客攻不下來，或許其他的駭客就是比你的工程師聰明，只要生意存在一天，這樣的風險就沒有停止一天，必須時時警覺；又，之前以為詐騙集團多半趁週末打電話，讓沒有上班的公司措手不及，不過現在大概是詐騙業績相當低落，所以七月的週間，詐騙集團仍相當活躍。以前一直想說，X虎和Pxhome才是大目標，流量高業績好的才會是詐騙集團下手的對象，但事實證明，這些駭客和詐騙集團，只要有訂單就有他們的商機（><”)，哪管什麼大公司小公司！
• 自己的網站工程師或維護公司定期巡視檢查是絕對不夠的，自己創造的東西，很難客觀清楚地找到問題點，所以業主一定要找第三方或外部資安單位，定期作檢測，才能用不同的角度發現問題點。
• 萬一不幸，網站受駭發生，開始有客戶收到詐騙電話時，要冷靜請客戶確認是何時的訂單，資料正確程度有多少，才能收集更多線索，作為弱點檢查的參考，很多環節都有可能發生駭客和詐騙的情形，除了自身網站的程式部份，主機的安全性，e-mail的往來傳輸，或是金流物流系統端，都可能是問題點，唯有收集的情報資料越多，才能釐清是哪個環節出了問題，不然只要合作的某個環節推缷責任，都說不是他們的問題，不願意多花時間作檢查，那就找不到真正出事的所在了。
• 發生受駭的詐騙事件，經營者在客戶端的處理上，更須將心比心，瞭解客戶的損失，即使沒有金錢損失，資料的外流，也是很嚴重的，不管市面上有多少家大公司都面臨同樣的狀況，對客戶來說，資料外流出去就是隠私曝光，就是網站經營者的責任，訂單資料還會有轉賣的問題，讓客戶一再地受打擾（即使是同一份訂單，換個詐騙集團，還是一樣的驚嚇！），唯有誠實誠心地回應，無論如何都要和客戶清楚說明現況及道歉，才是經營者無愧於心的王道。
• 目前警局多會請大家在接到詐騙電話時，通報165，但幾次的通報經驗下來，我們卻是感到相當無力的，165的接線人員，可能只是作個紀錄或將資料通知業主公司的接線生（問題是，我們就是業主自己打去，接線人員只會叫我們好好宣導通知自己的會員們注意，這個建議不用他們說，我們也會作啊！），所以通報165，警方是不會採取行動的。大家可能很難想像，即使到了警局去作了筆錄，還是不會有任何實質上的偵察動作，連資料作電腦建檔都沒有。我在七月中走了一趟作筆錄，印下了滿滿幾大張的詐騙log紀錄呈上警局，但實際運作上，必須具體提出告訴（即使沒有特定嫌犯），才能進入刑事偵察的程序，業主也必須提供更多網站機密的登入資料，才會開始進行偵察。

朋友和老闆罵我笨，作了這些那些還寫出心得報告，公開分享，搞不好讓駭客也學到不少，但我多麼希望自己在架站之初，就有前人這種血淋淋的例子可以作參考提醒我（大誤XD )！防範宵小的工作，始終都會是敵暗我明的，我更希望也藉由坦白清楚的說明，讓所有的網站經營者都長期保持高度警覺，這樣詐騙集團的生意越來越難作，越來越騙不到錢，是不是有一天，就像瘟疫被控制住一樣，這些惱人的駭客及詐騙集團，就會慢慢萎縮消失？