谈金融银行业如何应对网上银行钓鱼欺诈

　　随着全球经济的一体化的发展，网上银行正由于其快速、便捷的特性而获得越来越多银行用户的青睐。网上银行业务的快速发展，也催生了网上银行欺诈。目前，网上银行欺诈已经成为全球增长最快的“产业”之一，欺诈者正在进行更复杂、更有组织性的攻击，并每年从中获利达数十亿美元。

　　虽然，现在部分网上银行已大幅度降低了无高级别安全措施情况下的转账限额，并建议用户使用动态口令卡或者USB Key，总体安全系数有所提高，但是网上银行以及电子商务支付平台的安全性仍然不容乐观。

　　一份调查显示，随着欺诈现象的增加，人们正在失去对网上银行的信心。超过50% 的被访问者表示：由于诸如钓鱼等欺诈现象的出现，越来越不愿意注册和使用网络银行。大部分账户持有人对银行采用更强大的认证和安全技术表示欢迎。大约3/4的被访问者认为金融机构应当对网上银行采用更强大的认证来代替传统的用户名和静态密码。91% 的被访问者表示愿意使用新的认证解决方案——例如行为模式识别或者把用户PC作为认证者或一次性密码设备。

　　目前，国际上很多银行已经将实时交易监控服务作为信用卡业务的重要卖点。值得注意的是，82% 的被访问者表示，他们希望银行监测在线以及电话银行服务中的非常规行为信号;73% 的被访问者表示，愿意金融机构使用基于风险的认证。

　　高风险供应链

　　这些调查结果表明，人们对网上银行欺诈非常担心，并准备采取应对措施。随着欺诈问题越来越严重，金融机构将如何应对?如何确保用户对网上银行的信心?

　　要阻止网上银行欺诈，首先要了解欺诈的生态系统。网络欺诈显然不是简单地黑客入侵银行并卷走大笔资金，而经常是由复杂的各种团体构成的欺诈信息供应链。

　　在这个供应链中，最开始是工具制作者，他们编写盗窃各种凭证的软件，例如自动钓鱼工具包和僵尸网络——可用于劫持计算机并通过远程控制发布钓鱼电子邮件，托管钓鱼网站或使用盗取的信息访问银行账户。

　　在某些网络欺诈论坛和聊天室中，这类信息被活跃地交易着。在这里数据收集者经常盗窃凭证，而其他人则寻求其倾向于攻击的金融机构的账户信息。

　　正如所有高效率的商人一样，欺诈者知道如何分散风险。他们会同时攻击位于不同国家的多个金融机构。为了进一步摆脱当局监管，他们可能使用多个位于不同国家的被远程控制的僵尸计算机进行攻击。

　　双拳难敌四手

　　欺诈者正高效地利用互联网的速度以及无处不在的跨国合作，而独立运营的金融机构缺乏在全球范围内聚集各方力量实时应对这些威胁的能力。通过加强合作，金融机构和信息安全厂商将能够更好地发现并预防欺诈。

　　RSA eFraudNetwork正是这样一种互相合作的例子，它是一个跨机构、跨平台的欺诈类型数据库，从成千上万的金融机构收集信息，其中包括50多家世界领先的银行和信用卡发行机构，涉及超过64个国家的数亿消费者。RSA eFraudNetwork识别、跟踪欺诈者档案和行为类型。当新识别出一个欺诈类型时，相关欺诈数据、交易特征和指纹都会被移送到一个欺诈信息共享数据库。

　　这个网络的威力非常明显。举一个简单的例子，如果发现一个欺诈交易，此网络将记录欺诈的源起IP地址以及欺诈者试图访问的账户。如果欺诈者试图访问同一银行内的其它账户或其它成员银行的某个账户，这种攻击将会被发现并阻止。

　　一旦欺诈者意识到他们使用的计算机已经被发现，他们将更换IP地址。但是，eFraudNetwork已经记录了被攻击的账户并提高这些账户的风险级别。来自其它IP地址的欺诈活动也将触发报警。

　　此外，RSA使用“诱饵”账户——我们植入钓鱼站点的伪造信息——等技术，更加有助于发现和标记被用于欺诈活动的IP地址。

　　打击欺诈，增加利润

　　通过在确保客户数据安全的情况下互相协作和共享信息，金融机构可以与客户建立更好的关系，同时与同行共同监视欺诈者。与独自战斗相比，金融机构可以更快速高效地避免欺诈。

　　根据英国HBOS和Barclays等银行的报告，通过参与反欺诈网络，他们节省了60% 到80% 的欺诈相关成本。

　　此外，通过加强反欺诈能力，银行可以解决用户在我们的调查中所提出的担心和挑战，提高用户对网络银行的信心