信息化 频道

保护用户信息

编者按:在采取措施保护用户身份信息免遭失窃方面,银行正面临来自消费者的巨大压力。击退黑客与网络骗子,银行的行动是否已经足够快捷了呢?

  去年十月底,美国亚特兰大一家从事打印贷款凭据业务的公司有四台服务器被盗,服务器中存有富国银行(Wells Fargo& Co.)数千个抵押贷款和学生贷款客户的姓名、地址和社会保障号码。尽管富国银行称,至今还没有发现这些客户身份信息被盗用的迹象,但它还是建议客户密切监视自己的账户是否有可疑的状况发生。富国银行还提供了一年的免费信用保护程序,并为此开通了一条免费热线。
  
  这个事件再一次提醒人们,身份信息被盗的威胁正在扩大,银行、信用卡发行公司以及他们的客户都面临巨大的风险。根据美国联邦贸易委员会(Federal Trade Commission)的统计,2003年有990万美国人的身份信息被窃,其中660万人称其账户被用来进行诈骗,超过300万人称有人用他们的名字开设了新账户。企业和消费者因此分别蒙受了480亿美元和50亿美元的经济损失。
  
  随着整个社会对身份信息盗窃的日益关注,银行不得不重新审核账户登录的规定,并开始安装先进的欺诈检测系统。针对这个问题,银行提出了各种技术解决方案,比如采用模式识别软件(Pattern-Recognition Software)对可疑的交易或者新账户进行标注。他们还不时要求客户用身份与密码来确认在线信用卡支付,给客户配备反垃圾邮件软件来抵御钓鱼式网络欺诈;同时,在银行间还建立了共享数据库来报告并交换有关身份信息犯罪的信息。据提供模式识别软件的自治公司(Autonomy Corp.)透露,一家伦敦的银行最近开始使用模式识别软件来监视其电子邮件系统,监视可能出现的钓鱼式攻击。一旦发现异常,他们便及时向伦敦警察厅的犯罪调查科报警。
  
  但是,银行对解决这个问题真的就是胜券在握了吗?优利系统公司(Unisys Corp)不久前发表的一份研究报告指出,对于银行在防止身份信息被盗上所起的作用,消费者与银行两者的看法是不一致的。大部分的消费者(84%)认为,他们的银行在防止身份信息失窃方面已经竭尽全力。但来自银行分理机构的代表说法却完全不同:他们中的15%认为银行并没有做任何特别的事情,而62%则认为,任何银行雇员都可以接触到客户的数据。
  
  银行防止身份信息失窃的手段主要有两个:教育消费者和采用信息技术。通过向客户发送警告邮件、在网上发布警告信息,以及在银行分支机构张贴警示公告等手段,银行已经开始对用户发出警告:不要通过电话和电子邮件泄露敏感的信息。“这是一个有关个人责任的问题。”第一国民银行(Citizens First Bank)高级副总裁和风险管理负责人拉里·布朗(Larry Brown)说,“这意味着,用户不能将机密的信息透露给靠不住的人。如果我们不对消费者进行更多的教育,这个问题会变得更糟。”
  
  一些银行已经直接与像麦卡菲公司(McAfee Inc.)、赛门铁克公司(Symantec Corp.)之类的安全软件厂商展开合作,提高客户信息的安全性。BMO金融公司(前身是蒙特利尔银行)正考虑投资一个项目,为在线银行客户提供检测工具。“用户可以使用这个工具对自己的电脑进行全面扫描,看看是否存在恶意代码。”安全业务与技术信息安全高级经理维维克·金德里亚(Vivek Khindria)这样说道。

  一些银行则把保护用户身份信息的战略提升为一种竞争优势。
  
  2004年初,华盛顿互助公司(Washington Mutual Inc.)开始为客户提供一种名为“身份信息盗窃检测(ID Theft Inspect)”服务,帮助客户监视他们的信用账户。同时,这家公司还针对身份信息失窃的受害者推出了信用报告预警服务。
  
  然而,对于究竟在内部应用了哪些具体安全技术,多数银行持保密态度。为了防止雇员盗窃数据,位于加拿大阿尔伯达省埃德蒙顿市(Edmonton,Alberta)的ATB金融公司(ATB Financial)计划把密码、个人身份证号码和类似key fobs那样的加密设备综合起来使用。
  
  “困难是如何确保这些授权方式彼此之间不冲突。” ATB金融公司的高级副总裁兼个人银行部负责人肯·卡赛(Ken Kasey)说道。在接入控制方面,最大的挑战是及时更新授权用户的名单,并且建立一个安全级别的等级制度,卡赛说。
  
  ATB 金融公司正在试验一些更奇怪的验证方式。比如动态签名识别系统,这个系统能掌握人们签名的不同特征,包括形状、速度和笔压等。这个银行已经在自动柜员机里加入了三重DES(Data Encryption Standard,数据加密标准)加密能力,以确保客户数据通过第三方网络时的安全。这也部分满足了万事达国际组织(MasterCard International)制定的政策。ATB金融公司是万事达国际组织借记卡交易处理网络的一部分。另外,ATB金融公司还加强了自动柜员机的控制软件,以便让客户在机器上更改密码。
  
  目前,ATB金融公司对借记卡仍然忧心忡忡。与美国的银行发行的借记卡不同,加拿大发行的大部分借记卡只有发卡银行的名称,并没有与主要发卡机构如万事达卡(MasterCard)、维萨卡(Visa)或者美国运通(American Express)的诈骗检测系统相连。“由于缺乏检测诈骗行为的安全系统,我们认为借记卡的风险比信用卡高。” 卡赛说。
  
  在防止金融诈骗的斗争中,维萨卡美国公司尽力把各商户团结成为紧密的合作伙伴。它全方位开展工作来阻止盗用信用卡的不法行为,其中就包括为在线支付提供密码保护的维萨验证服务(Verified by Visa)。该服务在三年前推出,为了让这个服务更受商户和消费者的欢迎,公司在2003年对该服务做了一定的修改。
  
  据维萨卡公司风险服务高级副总裁简·布鲁赛维茨(Jean Bruesewitz)介绍,维萨验证服务使用模式识别软件对账户的非正常支付行为进行分析,以防止欺诈。当某项交易被标记后,维萨卡公司就会向发卡行发出警告,发卡行转而联系持卡人以核实交易是否属实。
  
  银行卡组织的这些政策,在很大程度上免除了消费者所承担的信用卡诈骗损失的相关责任,这给予了金融机构防止身份信息盗窃的巨大动力。但对于商户而言,风险仍然存在,因为他们也承担了一定比例的责任。CompUSA公司电子商务开发与整合总监史蒂夫·杰弗里(Steve Javery)表示,公司在两年前开始使用维萨验证服务。结果,公司几乎完全避免了在线购物中与诈骗相关的损失。除了避免诈骗外,这个服务还让消费者体验到在线购物的安全性,公司的销售量也得到提升,而且还提高了订单处理效率。
  
  为了应对钓鱼式攻击带来的威胁,银行在金融服务技术联盟的支持下启动了反钓鱼式攻击行动。此次行动的第一阶段在2004年11月中旬已经结束,行动的成果是编制了一份已知钓鱼式攻击和漏洞的详尽名单,并制定了解决方案的测试计划。
  
  行动的第二阶段在2005年1月开始,主要目标是大规模测试和部署 “快速打击(Quick hit)”解决方案。据项目经理楚克·韦德(Chuke Wade)介绍,银行将通过模拟钓鱼式攻击来测试他们的系统,并建立快速封闭钓鱼者网站的流程。这些工作的目标是阻止钓鱼式诈骗,而不仅仅是反垃圾邮件,因为即时通讯、搜索引擎和移动热点(mobile hot-spots)都可能成为漏洞,韦德说:“如果你屏蔽了垃圾邮件,钓鱼者会在其他地方出现。事实上,这种情况已经发生。”
  
  美国联邦执法机构对身份信息盗窃的问题也开始更加重视。2004年10月底,美国保密局(U.S. Secret Service)在八个州和六个县逮捕了28名可疑的网络罪犯,罪名是身份信息盗窃、网络欺诈和信用卡欺诈。去年初,布什总统还签署了联邦法案,提高了对身份信息盗窃相关犯罪的惩罚力度。
  
  不过,由于美国执法部门目前的注意力正集中在打击恐怖主义和暴力犯罪上,要把相关资源转移过来非常困难。洛杉矶美国律师办公室计算机犯罪部门主任阿里夫·阿里汉(Arif Alikhan)指出,“和大多数犯罪一样,最好的对付方法就是预防。”

(信息周刊)

0
相关文章