随着互联网及电子商务日益流行,金融机构的网上业务比重增加是全球不可逆转的趋势。为了增强网络的安全性,金融机构投入了很多资源,添置诸如防火墙等安全工具,但这些努力还是百密一疏,不法之徒可以利用金融机构网络保安计划的一个软肋下手,令它们及其客户蒙受经济损失,这个缺口就是“客户身份盗窃”。
目前身份盗窃被视为全球最为猖獗的商业犯罪之一。以美国为例,统计资料显示,平均每5个家庭中有一个曾遭遇身份盗窃;在2003年,银行账户诈骗所牵涉的金额达到330亿美元;估计每年信用卡及有关诈骗所涉及的金额达到500亿美元。
不法之徒最常用的手法是“网页仿冒”(phlishing),它的方法是仿冒一些机构(通常是银行、信用卡公司等金融机构)的合法网页,然后大规模发放诱骗电子邮件,其内容是捏造一些借口,例如安全程序改变需要重新核实用户资料、系统需要更新客户记录等,要求收件人访问假冒网页并提供账号及密码口令等机密资料,受骗人的身份被盗窃后将蒙受损失。
“网页仿冒”骗案在中国也不容忽视,国家公安部在今年首季便接到540宗有关“网页仿冒”骗案的举报,这已经达到去年举报总数的一半。根据国家计算机网络应急技术处理协调中心发表的统计数字,去年在中国发现223个用于“phlishing”的假冒网站,而2002及2003年仅分别为一个而已。
为什么从事网络犯罪的不法之徒对“身份盗窃”特别感兴趣?用一个简单的比喻就可以明白,比方有人企图盗窃一辆名贵汽车,他可以敲破玻璃窗、甚至撬开车门,然后设法连接启动引擎的电线才能把车开走,这个过程不但费劲,而且引人注目,汽车的保安设备也令窃匪不能轻易得逞,但只要窃匪设法偷到车主的钥匙,他便可以在短时间内神不知、鬼不觉地把车偷走。
研究表明,金融机构应该从以下5方面改进其诈骗侦测系统,以便堵截不法之徒进行“身份盗窃”,令公司及其客户不会蒙受损失:
网络窃匪为了攻破金融机构的防御系统,不断更新其攻击所用工具及技术,因此金融机构也必须提高安全防范措施的技术水平,例如不应只倚靠简单的个人识别码(PIN)或密码来保护基于Web的交易,应该考虑引进网络监控及加密等较先进的安全机制。
在机构内设立一个统一的特别部门来监控诈骗案件,这个部门必需能掌握实时的骗案侦测数据,同时能马上在整个机构发布通知。
设立应用于整个机构范围的身份鉴别及访问政策,这不仅限于规定谁能访问及控制客户数据及建立有关的责任制度,同时它也决定鉴别用户身份的方法。
金融机构必须经常教育其分支单位及前线员工,指导他们向客户讲解如何保护其身份不被盗窃的方法。
整合及总结从不同渠道取得的信息和经验,包括分支单位、网上交易及电话等,这将令金融机构的安全措施与时俱进,精益求精,为其客户提供更佳的保障。
