客户身份盗窃：金融机构网络保安计划的软肋

随着互联网及电子商务日益流行，金融机构的网上业务比重增加是全球不可逆转的趋势，为了增强网络的安全性，金融机构投入了很多资源添置诸如防火墙等安全工具，但业内专家认为这些努力还是百密一疏，不法之徒可以利用金融机构网络保安计划的一个软肋下手，令它们及其客户蒙受经济损失，这个缺口就是“客户身份盗窃”。

目前身份盗窃被视为全球最为猖獗的商业罪案之一，就以美国为例，根据IT服务及解决方案供应商Unisys 公司、美国银行协会及美国联邦贸易部的统计资料显示，身份盗窃的增幅已达到企业必需关注的程度：

平均每5个家庭中有一个便曾遭遇身份被盗窃。
在2003年，银行账户诈骗所牵涉的金额达到330亿美元。
估计每年信用卡及有关诈骗所涉及的金额达到500亿美元。

在今年6月，国际信用卡公司被黑客成功进入其支付系统处理中心CardSystems Solutions Inc. 公司的网络系统，窃取了大约4千万张信用卡和借记卡的数据资料。

不法之徒最常用的手法是“网页仿冒”(phlishing)，它的方法是仿冒一些机构（通常是银行、信用卡公司等金融机构）的合法网页，然后大规模发放诱骗电子邮件，其内容是捏造一些借口，例如安全程序改变需要重新核实用户资料、系统需要更新客户记录等，要求收件人访问假冒网页并提供账号及密码口令等机密资料，受骗人的身份被盗窃后其银行帐户便被骗徒鱼肉，蒙受损失。

“网页仿冒”骗案在中国也不容忽视，国家公安部在今年首季便接到540宗有关“网页仿冒”骗案的举报，这已经达到去年举报总数的一半。全球被用作“phlishing”的假冒网页中，有12%是在中国被发现。根据国家计算机网络应急技术处理协调中心（CNCERT）发表的统计数字，去年在中国发现223个用于“phlishing”的假冒网站，而2002及2003年仅分别为一个而已。

为什么从事网络犯罪的不法之徒对“身份盗窃”特别感兴趣？用一个简单的比喻就可以明白，比方有人意图盗窃一辆名贵汽车，他可以敲破玻璃窗、甚至撬开车门，然后设法连接启动引擎的电线才能把车开走，这个过程不但费劲，而且引人注目，汽车的保全设备包括非法进入警笛及方向盘锁也令窃匪不能得逞，但只要窃匪设法偷到车主的钥匙，他便可以轻松地攻破所有保全设备，短时间内神不知、鬼不觉地把车偷走。

Unisys大中华区金融事业部总经理王嘉昇指出，金融机构应该从5方面改进其诈骗侦测系统，以便堵截不法之徒进行“身份盗窃”，令公司及其客户不会蒙受损失：
网络窃匪为了攻破金融机构的防御系统，他们不断更新其攻击所用工具及技术，因此金融机构也必需紧贴其步伐，例如不应只单倚靠简单的个人识别变换（PIN）或密码来保护基于Web的交易，应该考虑引进网络监控及加密（encryption）等较先进的安全机制。

在机构内设立一个统一的特别部门来监控诈骗案件，这个部门必需能掌握实时的骗案侦测数据，同时能马上发布通知整个机构。

设立应用于整个机构范围的身份鉴别及访问政策，这不仅限于规定谁能访问及控制客户数据及建立有关的责任制度，同时它也决定鉴别用户身份的方法。

随着金融机构的业务范围在世界各地扩展，它必需经常教育其分支单位及前线员工，指导他们向客户讲解如何保护其身份不被盗窃的方法。

整合及总结从不同渠道取得的信息和经验，这包括分支单位、网上交易及电话等，这将令金融机构的安全措施与时俱进，精益求精，为其客户提供更佳的保障。

作者为Unisys大中华区副总裁兼总经理

来源：客户世界（CCMworld.net）

责编：admin

转载请注明来源：客户身份盗窃：金融机构网络保安计划的软肋

本文链接地址：https://www.ccmw.net/article/6027.html