|
陶冶
对于习惯于通过互联网完成银行业务的人来说,网上银行为他们提供了极大的便利。只消输入用户名和密码,查询、转账、交费等业务统统可以轻松完成,既不耗时,又不费力。然而在美国,这样的便利很快就会打一个小小的折扣。上月12日,由美联储和美国联邦储蓄保险公司组成的联邦金融机构检查委员会正式要求美国各大银行在2006年底前提高自身
在线业务的验证安全度,有关官员将定期检查各银行在解决这一问题上的进展。面对这样一个互利双赢的现代化媒介,美国监管机构缘何如此大动干戈?内中隐情不难揣测:日益猖獗的网上金融诈骗已发展到了令美国当局无法容忍的地步。
如今的网络诈骗高手窃取银行客户密码的技术已经越来越纯熟,特别是被称为“网络钓鱼”的恶性事件不断发生。犯罪分子利用人们相信权威的心理倾向,向银行卡用户发送一些难辨真伪的电子邮件,将警惕性不高的用户引向冒牌网站,骗取用户银行卡数据,进而尽数吃空卡内余额。据研究机构Gartner估计,去年全年约有1/5的美国人成为“网络钓鱼”的攻击目标。而据伦敦安全分析及咨询机构MI2G的数据,仿冒的电子邮件涉及包括西班牙、新加坡、澳大利亚、加拿大、香港甚至瑞士的全球35家银行,而其首要攻击目标是北美和英国。被仿冒的皆是大名鼎鼎的银行,像荷兰银行、美国运通、美洲银行、汇丰银行、巴克利银行甚至英国央行———英格兰银行。
然而,就在金融诈骗行为已经引起了广泛关注且手法日益纯熟的情况下,出于网站成本和复杂度的考虑,各大银行似乎仍不愿采取积极行动加以防范。毕竟,互联网一向被认为是银行的低成本平台,其较之柜台服务或电话服务的最大优势在于维护和使用成本的低廉。据统计,2004年全球自助式网络银行服务的运营成本只有1.37亿美元,这样高的成本效益完全可以弥补银行因金融诈骗所带来的损失。因此网上银行安全措施采取不力的原因不言自明。正是基于这种严峻形势,美国监管机构才不得不强制要求各银行网站实行所谓的双重因素验证以维护低成本银行业务平台上的交易安全。也就是说,仅依靠用户名和密码作为验证手段的时代即将结束。
事实上,不少高度重视数据保密的欧洲银行早就部署了二级验证模式。比如说,他们会交给客户一些专门的硬件工具来防范密码被盗取,包括“智能卡”或者随机显示一连串密码的小型电子设备等。而联邦存款保险公司6月份发布的报告显示,目前已经有部分美国银行向客户发放这种提供随机变化密码的电子设备。密码是由设备内置的运算程序自动生成的,可以在中心验证服务器上得到验证,因此要想猜出这些随机密码几乎是不可能的。但是这些设备本身也是麻烦多多,不仅部署成本昂贵,而且会导致服务电话使用率激增。原因很简单,一旦用户遗失或暂时忘记携带这种电子设备时,他们就要拨打服务电话求助,从而造成银行成本的增加。
显然,对成本十分敏感的美国银行不愿采取这么大的动作。相反,他们更倾向于从软件着手,在自己的网络服务器上采取较低成本的措施加强验证。他们可能会采用一些软件,自动对可疑登录情况采取进一步的验证措施。比如一向在丹佛登录的某用户有一天突然在丹麦的某个地方登录,那么银行就会通过询问一系列只有用户本人才可能知道答案的问题来验证用户身份,这些问题可能是他最后一次偿还抵押贷款的金额,也可能是他从小长大的街道名称等等。
目前较受大银行欢迎的方法就是发行加密的电子身份证明书,用户可以将这种文件存储于自己的计算机中。通过这些电子证明书,银行就可以确定用户是真是假了。一个加密得当的电子证明书只有在其真正发行商的网站上才能响应,这样就可以有效地同时保护用户和银行。银行可能还会要求客户在下拉菜单中输入密码或电脑上随机拼排显示的PIN码。采用这些技术的目的就是为了防范那些旨在窃取用户密码而趁客户不备时植入客户计算机中的特洛伊木马和键盘监视器程序。
另一种基于软件的解决方法就是美国银行推出的SiteKey服务。在每一次网上交易开始的时候,该银行的网页上将呈现用户事先依照个人喜好选择好的图片和文字,并会随机询问用户此前选择的秘密问题提示。如果用户所选择的图像不能弹出则表明登录的是一个虚假网站。但是,即使这种方法也可能出现漏洞。比如,诈骗者会向警惕心理不强的用户发送一些看上去合理的信息,让用户相信他们此前选择的SiteKey图片已经变更等等。
因此,实现反金融诈骗全面胜利的前提是大多数用户都能清楚地认识到在网站与犯罪分子之间所展开的旷日持久的斗争。做不到这一点,人们仍会不断相信骗子的谎话,陷入一个又一个为应对最新安全技术而衍生出的新陷阱。从这个角度看,亟待解决的真正问题在更大程度上是存在于社会工程学领域而非技术领域。
| 
