漫谈怎样保护在线交易用户免遭钓鱼欺诈

　　如今，最火的地方莫过于股市，平均每13个中国人就有1个炒股，说我国已进入“全民皆股”时代似乎一点也不为过。不过，几乎绝大部分人依然习惯去交易所进行股票交易，通过网络炒股的人寥寥无几。网上股票交易特有的“交易方便快捷，信息量大，紧跟行情，辅助分析系统强大”等优势，难道真的比不上交易所里的拥挤和繁杂？大路朝天，股民们为啥偏偏去挤独木桥？事实上，受冷落的不仅仅是网上的股票交易，在线交易、网上银行等几乎所有通过网络进行的金融交易行为，似乎都无法取得预期效果。

　　究竟是谁蒙蔽了用户的视线？他们在担心着什么？

　　网上交易给网络钓鱼攻击提供了更加诱人的目标。如果不想办法远离钓鱼攻击，就会遭遇最直接的经济损失。全球“钓鱼”案件自2005年始，正在以每年高于200%的速度增长，受骗用户高达5%。有关数据也显示，2006年中国（大陆）病毒造成的主要危害情况中，“密码被盗”高达13.1%，其中各种网络钓鱼病毒及病毒组合占有极大的比重。

　　这对于本来就颇受用户怀疑的网上银行、网上证券及其他在线金融交易来说，无疑是雪上加霜。因为一旦遭遇金融相关的“钓鱼”攻击，将会造成非常直接的经济损失。

　　而且，最近利用“网络钓鱼”手法，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码从而窃取用户资金的违法犯罪活动不断增多。例如：曾出现过的某假冒银行网站，网址为http://www.1cbc.com.cn（真正的网址是http://www.icbc.com.cn），犯罪分子利用数字“1”和字母“i”非常相近的特点企图蒙蔽粗心的用户。用户一旦中招，后果可想而知。

　　由于大部分用户的安全意识都比较薄弱，警惕性也没那么高，在手法多样的钓鱼攻击面前中招也就成为可能。为了减少不必要的经济损失，不让自己的“钱包”触网成为很多无奈的选择。

　　如果金融机构能够从自己的角度阻止在线攻击，帮助客户尽可能远离钓鱼攻击，相信会让流失的普通用户喜欢上网上交易。当然，最重要的一点还是，解决钓鱼攻击的速度要足够快，因为钓鱼网站存在的越久，可能造成的危害就越大。

　　交易过程中能否预见风险？如何避免遭遇网络欺诈？

　　网上交易过程中，很难准确了解交易的另一方的真实身份、信用情况、履约能力等情况。据调查数据显示，截至2006年年底，中国网上交易总体交易额为312亿元，比去年增长61.6%。网上交易的特殊性质使之存在一定的违约和欺诈风险，网络交易纠纷和骗局时有发生。

　　对于普通用户而言，他们在进行网上交易的过程中，很难考察他人的信用程度，也无法提前预见到交易背后是否存在风险，这种情况下，如果金融机构能够提供一个跨机构、跨平台的欺诈类型数据库，收集来自各大银行网、信用联盟、借记卡和信用卡发行公司、互联网服务提供商（ISPs）和第三方提供者的各种欺诈信息，必然会让普通用户避开信用陷阱，免收金融欺诈。与此同时，如果可以监控、检测和调查在线欺诈行为，并对每个在线行为进行分析和计算后给出一个风险评估值，并及时、醒目地反馈给用户，相信会让越拉越多的用户喜欢上便捷的网上交易。

　　金融机构，是否有办法判断接入的是不是真正的我

　　不断出现的黑客和木马，使得网银被盗事件频发可，无疑给网银用户心头蒙上了一层阴影。

　　当安全事件的始作俑者不再追名逐利，转为追求直接的经济利益，木马病毒和黑客行为就开始直接杀向网银账户的“银子”。目前看来，我国发生的网上银行资金被盗案件基本上都是针对大众版用户，以“卡号+口令”的方式登录网上银行，显然成为公认的祸源。

　　金融机构是否能够提供更好的方式，来准确识别谁才是真正的客户？

　　对于一个开展网上相关业的金融机构而言，因为要为不同的客户群体服务，需要的是一个可以提供最广泛的认证方法的单一平台，甚至需要根据客户的类型和行为、法规风险的需求，动态地调整其安全防护。例如提供基于风险的认证，帮助用户进行实时风险评估，尽可能地规避风险；提供一次性密码认证，通过使用各类硬件和软件令牌为客户提供切实的安全防护。

　　不和谐是这样被消灭的

　　由于有太多的不和谐因素，大部分客户都不敢轻易开启“网上交易”这条快速通道。但是，这些“不和谐声音”，却被很多世界领先的金融机构成功地消灭了。事实上，美国银行、Barclays银行、瑞士信贷、E*Trade、HBOS集团和华盛顿互惠银行等大型金融机构，也在网上交易方面获得了非常高的客户满意度。帮助他们的，正是RSA消费者安全防护套件（Consumer Protection Suite）。

　　RSA FraudAction服务所提供的服务包括检测网络钓鱼攻击、关闭网络钓鱼站点和部署防范措施，这使得美国银行、瑞士信贷、Barclays等大型金融机构能高效管理此类既复杂又具突发性的欺诈类型。

　　RSA消费者安全防护套件提供了全面的强认证和防欺诈解决方案组合，是专为保护金融机构及其客户免受最新在线威胁而设计的。不同于其他解决方案只着重提供单类保护，RSA大量产品和服务的组合提供了端到端多层式保护，并将保护范围由基于风险的认证、站点到用户认证和一次性密码认证扩展到交易监控、交易签章和防网络钓鱼攻击/防域欺骗（anti-pharming）服务。