银行网站提升安全系统 对付网钓欺诈行为

发表:2005-11-01 16:43
手机版 正体 打赏 0个留言 打印 特大

如果你要在网上处理银行帐目,通常步骤都很简单:输入你的用户名和密码,然后就登录进入了网站。但是在这背后,银行要做很多事情来确定你的真实身份:你是通过家里的电脑登录的,还是通过某个很奇怪的网址(比如说海外的)登录的?你登录的时间是否很不寻常,或者你平时都是电话拨号上网,但这一次却是高速网络连接?

美联社10月29日报导,这类分析只是银行网站要增加的安全防范的一个例子,因为美国联邦管理者要求银行网站到2006年底达到“两个因素”确认的新要求。就是说,要求检查除用户名和密码以外的东西来确认顾客的身份。

“网络钓鱼者”(Phishers)和其他网络诈骗犯精于盗取密码,主要是通过社会工程(social engineering)。利用人们相信貌似权威的心理,罪犯向受害人发出看起来像是正当的电子邮件,引诱他们到一个看起来可信的网站上输入数据,从而盗取用户资料。

许多海外银行已经布置第二层确证系统,发给顾客特殊的硬件,比如,智慧卡或者显示不断变换密码的电子筹码。

美国的银行为了节省开支,不愿这么做。然而,他们可能会在网站服务器上设置一些我们大多不会注意到的小机关。

“我们正试图提供一些好用的东西,” Corillian公司的安全主管马隆尼(Jim Maloney)说。这是一家给银行网站提供登陆分析软件的公司。

如果软件给某个用户亮起红灯,比如,该用户某天是从丹麦而不是美国的丹佛登陆的,银行就会问他一些只有该顾客才能知道的问题(如上次抵押贷款付款多少),进一步确定他的身份。

这一类防范措施早已在信用卡公司存在多时,银行网站还没有大面积采用也足够说明该行业的安全状况。

虽然身份盗窃和其它金融诈骗引起了很多关注,人们也相信诈骗手腕会越来越成熟,但银行还是不太愿意改进它们的网站。

然而,网络被认为是银行最省钱的平台,远比让顾客到银行与出纳打交道要便宜。自助性质银行网站的效率抵得上金融诈骗的损失。据估计,2004年全球金融诈骗的损失为1.37亿美元。

“现在,银行还没有太多的安全措施检查账号,”Gartner 调查公司的分析师尼堂(Avivah Litan)说,“总的来说,这种损失还承受得起。”

然而,10月12日,美国联邦财政机构检测委员会(Federal Financial Institutions Examination Council)-包括联邦储备(Federal Reserve)和联邦存款保险公司(Federal Deposit Insurance Corp.,FDIC)等管理者在内的一个雨伞集团-告诉银行到2006年底要加强网上身份验证。审查员会定期检查银行的努力。

此项政策被广泛的认为是由于安全系统提供者的大力推动所促成。

根据FDIC六月份的报告,少数美国银行已经发给顾客密码每分钟都会改变的筹码(token)。密码由内置于筹码的一个程序演算,经由中央认证服务器确认,使得猜中密码成为不可能。

但是,筹码也带来头疼的问题。部署筹码费用相对高,如果筹码遗失或者一时找不到,银行的顾客服务处就会接到大量的电话。银行也担心顾客最终不耐烦于收集他们要在网上做生意的所有公司的筹码。

即使一个筹码也可能被认为是个麻烦。

在ETrade金融公司将RSA公司制作的筹码开始提供给280万美国顾客之后,只有二万人接受了。几乎这些人都能够免费得到筹码,因为他们经常要做交易或者账上超过五万美元,其他人都得要付25美元。

一次性的密码相对便宜,它们可以被传递给手机或者手提电脑,或者邮寄给顾客。但是安全专家们警告一次性密码可能会被盗,虽然可能性很小,但是现在容易受骗上当的人太多。

基于硬件的解决方法仍有瑕疵,因此,大多数银行会采取软性步骤来达到管理者的要求。

其中一个办法是,给每个顾客一份加密了的电子证书,存储在他们个人电脑的一个小文件里。这些证书会向银行证明用户的真实身份。并且,加密的电子证书不会向发放该证书的其它网站做出响应,这样既保护了用户,也保护了银行。

银行也会要求顾客在往下拉的菜单或者随即产生PIN号码的便笺上输入密码,屏幕上会显示对应于PIN数字的字母。这些技术是为了对付可能隐藏在顾客电脑里用于窃取密码的木马和记录键盘动作的间谍程序。

另一个基于软件的办法是美国银行(Bank of America)的SiteKey服务。每次用户登录时,银行网页显示用户自己选择的个性化图片和图片标题,并且随机选择顾客以前确定好的“秘密问题”询问用户。

然而,即使这样的方法也是有缺陷的,除非很多用户了解银行网站和罪犯之间长期的竞赛。真正的问题是社会工程,而不是技术。

ComputerBytesMan.com的网络安全顾问史密斯(Richard M. Smith)说,他预期网络钓鱼者会给人们发送看起来像是正当的邮件,引诱容易上当的用户相信,他们的SiteKey图片必须要更改了。

“我认为人们还会掉入这样的陷阱,”他说,“要记住的关键是网络钓鱼者善于变化,当安全措施升级,变得普遍时,他们也会改变方式。”



短网址: 版权所有,任何形式转载需本站授权许可。 严禁建立镜像网站.



【诚征荣誉会员】溪流能够汇成大海,小善可以成就大爱。我们向全球华人诚意征集万名荣誉会员:每位荣誉会员每年只需支付一份订阅费用,成为《看中国》网站的荣誉会员,就可以助力我们突破审查与封锁,向至少10000位中国大陆同胞奉上独立真实的关键资讯,在危难时刻向他们发出预警,救他们于大瘟疫与其它社会危难之中。
荣誉会员

看完这篇文章您觉得

评论


加入看中国会员
donate

看中国版权所有 Copyright © 2001 - Kanzhongguo.com All Rights Reserved.

blank
x
我们和我们的合作伙伴在我们的网站上使用Cookie等技术来个性化内容和广告并分析我们的流量。点击下方同意在网络上使用此技术。您要使用我们网站服务就需要接受此条款。 详细隐私条款. 同意