网络钓鱼仍然是网上银行的威胁
来源:TechTarget 更新时间:2012-04-13
 网络钓鱼是一种通过虚假的网站从而盗取秘密数据的手段,尽管一些网络安全专家在今年年初已经声称这种行为已经渐渐销势,而实际上它依然十分流行。并且,它也改换了行头而变得更加富有“创新性”,寻找着新的猎物。另外,黑客们也继续功过盗取用户名密码,安装木马病毒等方法在赛博空间内进行着蠕虫和病毒的传播

  为了真正减少这种犯罪行径,中央储备属和中央存贷安全集团的美国中央财政监控局(FFIEC),建议各家银行在2006年之前务必提高其网上银行的安全性。8月,FFIEC还发行了一系列的银行行为准则,目的就是使银行业能够提高用户身份的保密设置(尤其是对于新用户来说),同时保障电子传输渠道的安全性,增加除用户名和密码之外的登陆设置。

  不过,按照FTC的报道,身份盗窃以及在互联网上进行的金融犯罪依然在持续攀升,上报的犯罪数量已经从2002年的161896年攀升至去年统计的246570件。而且许多的犯罪来源地为中东和非洲地区,这就给缉拿带来了很大的困难。

  然而与此同时,银行则在鼓励用户使用网上银行业务,随着一系列金融起诉的发生,顾客们也在思考着方便和风险如何衡量。在针对美国银行的起诉案中,Miami的商人Joe Lopez要求美国银行集团索赔其$90,000的损失,起因就是黑客盗取了他的银行账号并把其全部资金转移到了Latvian的一家银行

  因此,政府出台的一些列规范准则并没有使得金融犯罪有所消减“我希望银行能够与用户签订如软件商那样的合同,而不是把危机转移到客户身上”一个专门从事与互联网案件的律师Reid Skibell表示,“首先,至少他们应当在合同中注明应当定时更换密码”。

  只有从安全产品销售商那里能得到一些好消息,他们向用户提出各种的建议,比如使用绘图式的密码设置,或者应用能够在每次交易中都产生新的密码的工具。比如,加利福尼亚洲的Bharosa Inc公司提供的一款识别系统,价格低廉,并且运用绘图形式的密码进行加密和登陆。

  Citadon的CEO Howard Koenig说:“我们实在是过于乐观了,我们甚至在客户服务热线中为黑客做更改密码的服务,我们需要更加精密复杂的系统来和他们较量”。

  与此同时,RSA Security Inc则采取了对每次新密码的提供征收费用的方式,而另一家叫做Diversinet Corp的公司则开发了通过手机或者PDA进行操作的软件,当用户通过此方式输入了个人身份证号码的时候,系统就会自动向支持系统发送所有信息。

 一些谨慎的公司依然保证在截止日期2006年之前完成了FFIEC的要求和规定,Citadon Inc是一家网络公司,已经为其客户Shell Oil Co, General Electric Co以及银行顾客提供了Bharosa软件产品。

  许多的产品供应商也都按照FFIEC规范了自己的产品,PassMark Security Inc把用户的计算机作为需要鉴定的重要因素,而采取的手段就是运用美国银行的SiteKey对用户的IP地址进行检测。

  “新的顾客必须在其注册之前签注简短的声明”美国银行的新闻发言人Betty Riess说,“当他们实行了的登陆,用户会看到图示信息告诉他们已经登陆到了美国银行的网站而不是一个“中间人”的冒充网站,然后他们可以进行选择而重新刷新自己的身份信息“,而且,如果用户要通过另一台计算机实施登陆,他们就必须回答一系列的问题来确保安全性。

  Bharosa和另一些公司,比如说StrikeForce提供了一些服务性的软件,可以用来监测一台计算机的IP地址和地理位置,连接速度等等。StrikeForce公司的软件还能够允许银行选择拨打顾客的移动电话来确保交易的安全。

  另一些的供应商,比如TriCipher,通过把保密信息在用户,TriCipher服务器以及银行服务器三者之间的分散从而使得黑客的盗取变得非常困难,因为他们不可能在同时盗取出三方的信息。而Verid的产品则是提醒用户定时地进行身份更新。

  随着许多数据安全措施的层出,比如SOX 和 HIPAA,选择余地也就越来越大,FFIEC的规范在其下的中央储备属中发挥了效应。

  “我们已经制定了一系列的措施规范以及操作框架,不过我们不希望程序变得死板,因为技术的创新发展非常之快。”中央储备属的新闻发言人Andrew Williams说。