網上銀行：安全升級與騙術翻新的較量

　　陶冶

　　對于習慣于通過互聯網完成銀行業務的人來說，網上銀行為他們提供了極大的便利。只消輸入用戶名和密碼，查詢、轉賬、交費等業務統統可以輕松完成，既不耗時，又不費力。然而在美國，這樣的便利很快就會打一個小小的折扣。上月12日，由美聯儲和美國聯邦儲蓄保險公司組成的聯邦金融機構檢查委員會正式要求美國各大銀行在2006年底前提高自身

在線業務的驗證安全度，有關官員將定期檢查各銀行在解決這一問題上的進展。面對這樣一個互利雙贏的現代化媒介，美國監管機構緣何如此大動干戈？內中隱情不難揣測：日益猖獗的網上金融詐騙已發展到了令美國當局無法容忍的地步。

　　如今的網絡詐騙高手竊取銀行客戶密碼的技術已經越來越純熟，特別是被稱為“網絡釣魚”的惡性事件不斷發生。犯罪分子利用人們相信權威的心理傾向，向

　　然而，就在

　　事實上，不少高度重視數據保密的歐洲銀行早就部署了二級驗證模式。比如說，他們會交給客戶一些專門的硬件工具來防范密碼被盜取，包括“智能卡”或者隨機顯示一連串密碼的小型電子設備等。而聯邦存款保險公司6月份發布的報告顯示，目前已經有部分美國銀行向客戶發放這種提供隨機變化密碼的電子設備。密碼是由設備內置的運算程序自動生成的，可以在中心驗證服務器上得到驗證，因此要想猜出這些隨機密碼幾乎是不可能的。但是這些設備本身也是麻煩多多，不僅部署成本昂貴，而且會導致服務電話使用率激增。原因很簡單，一旦用戶遺失或暫時忘記攜帶這種電子設備時，他們就要撥打服務電話求助，從而造成銀行成本的增加。

　　顯然，對成本十分敏感的美國銀行不愿采取這么大的動作。相反，他們更傾向于從軟件著手，在自己的網絡服務器上采取較低成本的措施加強驗證。他們可能會采用一些軟件，自動對可疑登錄情況采取進一步的驗證措施。比如一向在丹佛登錄的某用戶有一天突然在丹麥的某個地方登錄，那么銀行就會通過詢問一系列只有用戶本人才可能知道答案的問題來驗證用戶身份，這些問題可能是他最后一次償還抵押貸款的金額，也可能是他從小長大的街道名稱等等。

　　目前較受大銀行歡迎的方法就是發行加密的電子身份證明書，用戶可以將這種文件存儲于自己的計算機中。通過這些電子證明書，銀行就可以確定用戶是真是假了。一個加密得當的電子證明書只有在其真正發行商的網站上才能響應，這樣就可以有效地同時保護用戶和銀行。銀行可能還會要求客戶在下拉菜單中輸入密碼或電腦上隨機拼排顯示的PIN碼。采用這些技術的目的就是為了防范那些旨在竊取用戶密碼而趁客戶不備時植入客戶計算機中的特洛伊木馬和鍵盤監視器程序。

　　另一種基于軟件的解決方法就是美國銀行推出的SiteKey服務。在每一次網上交易開始的時候，該銀行的網頁上將呈現用戶事先依照個人喜好選擇好的圖片和文字，并會隨機詢問用戶此前選擇的秘密問題提示。如果用戶所選擇的圖像不能彈出則表明登錄的是一個虛假網站。但是，即使這種方法也可能出現漏洞。比如，詐騙者會向警惕心理不強的用戶發送一些看上去合理的信息，讓用戶相信他們此前選擇的SiteKey圖片已經變更等等。

　　因此，實現反金融詐騙全面勝利的前提是大多數用戶都能清楚地認識到在網站與犯罪分子之間所展開的曠日持久的斗爭。做不到這一點，人們仍會不斷相信騙子的謊話，陷入一個又一個為應對最新安全技術而衍生出的新陷阱。從這個角度看，亟待解決的真正問題在更大程度上是存在于社會工程學領域而非技術領域。