【IT168 信息化】在网上银行和支付业务中，客户终端可以说是金融产业的致命要害。网络犯罪分子实施远程计算机犯罪，他们对网上银行和支付业务进行控制，进行未授权的资金汇兑，把资金汇到很远的地方。

　　这就是今年早些时候发生在纽约州波基普西市的一件事，当时共有378 000美元的资金被人用未授权的方式从该市道明银行的账户上分四次划走。第一次是在1月份，在3月份的时候才通过与银行的紧密搜查，根据公众信用记录，查清了损失的全部资金数量。虽然该市政府当局拒绝讨论这件事，但这起高额网络诈骗和过去一年中发生的其他一些事情还是使许多银行高管忧心忡忡。他们担心客户账户——特别是商业银行中一些资金数量较大的客户账户正逐渐成为信任链条上的薄弱环节。

　　公众所知晓的其他互联网犯罪包括：德克萨斯州普莱诺市的Hillary Machinery案，涉案金额801 495美元;Patco Construction案，涉案金额120万美元;Ferma公司案，涉案金额447 000美元。在网络犯罪面前，学校和教会也不能幸免。去年晚些时候，一份美国联邦调查局的报告显示：每周他们都会接到新的受害者的报案。

　　消费者担心银行是否使用了对网络犯罪缺乏防御的计算机系统来记录资金情况，这些计算机也许早就被植入了恶意程序，计算机中的程序已经成为“僵尸程序”。不过与消费者的担心相比，众多企业更是饱受困扰。据加特纳IT公司分析师Avivah Litan说，消费者账户受到一种名为“Reg E”的联邦规章的保护，在这种保护下，未经特别授权，消费者账户下的资金是不能转移的，企业账户则不享受这种服务。

　　截获计算机信息和进行网络诈骗的状况正在公众面前爆发，公众与他们在那里拥有存款的被骗银行之间产生了商业纠纷，他们认为网络骗子能够得手，银行难辞其咎。只有逐个解决问题，才能保证物归原主。

　　对于银行来说，想要摆脱进退两难的境地取决于他们是否能够帮助客户保护他们的资金信息，并且把这种保护作为自己网络维护的一部分，但这部分网络资源并不属于银行本身。

　　“银行面临的问题是客户拥有的终端里的信息也许早就成为远在俄罗斯的犯罪集团的盘中之餐”，墨西哥湾地区著名的Hancock银行高级副总裁杰夫·泰勒说。

　　像其他许多银行一样，Hancock银行通过帮助客户抵御计算机攻击来赢得客户的信任。最近他们采取的比较有效的措施是为电子银行存款金额在10万元以上的客户提供免费的软件特殊保护。

　　通过信托机构的不断发展和完善，这种软件在客户利用终端机享受Hancock银行提供的在线服务时变得越发起作用。以基本的浏览器插件作为基础，安全软件能够探测和集成键盘操作记录，阻止客户进行反向操作，并且通知银行客户终端可能受到恶意软件的攻击。

　　“一旦问题被查出，银行会给客户打电话，将这些信息告诉他们”，泰勒说，“网络犯罪分子往往通过自动清算设施(ACH)将大额账户和一些有潜在的商业汇款交易的客户作为袭击目标，同时他们也不会放过在客户进行在线电子银行交易时捞一笔的机会”。“在恶意软攻击件肆虐的时候，没有哪家银行会免于受到ACH的攻击”，泰勒说。

　　一个棘手的问题是，银行能够做的或者应该尝试去做的能够在多大程度上保护客户终端的安全。泰勒承认，就这一点来讲，对于网上银行客户来说，应该强烈推荐客户使用Trusteer保护软件。

　　目前，将近40家机构提供每个银行都在使用的Tusteer保护软件，这些机构包括：太阳信托银行、汇丰银行、五三银行、英格网上银行和亨廷顿国家银行。根据加特纳提供的信息，信托机构与Prevx和TrustDefender是银行业中为数不多的提供该项服务的安全产品供应商。她对包括McAfee、 Symantec和 Trend Micro在内的大一些的安全软件供应商提出了批评，认为他们做得太少。

　　但是，Litan并不认为这种旨在对客户提供帮助的软件是金融机构的首选，她说：“我对银行的建议是，他们不能指望这种软件，它不是一种普及的软件，银行需要很清楚地了解，不是使用了这些软件就万事大吉了。”

　　“银行一旦采用了这种保护软件，如果出现了不好的情况，那么一系列潜在的有关责任和义务的问题就要显现出来”，Litan说。她还建议银行要首先考虑自己能够控制的事情，例如对欺诈案件展开调查以及通过外带操作保护客户财产安全。

　　所谓的电子银行和支付系统的外带操作安全包括自动电话服务。这种服务可以通过在线操作分析工具分析出可能发生的在线操作行为，同时还能对声音进行记录，并将记录下来的声音与想要通过身份验证的声音进行比对。

　　“网络欺诈的情况正在好转”，克里斯托弗·贝尔说。他是FISV电子银行服务部的高级产品经理，FISV公司是银行在线支付和相关服务供应商。FISV公司最近开始向客户提供以电话身份验证为基础的PhoneFactor外带操作系统服务，接受服务的客户其中就包括24个规模最大的银行。

　　“使用了电话身份验证并不是说你就得在银行的网络系统之外”，贝尔说，“但是我知道这种业务也需要计算机这个中介，所以在使用这种服务时需要先离开那个系统，在电话机上进行一定的操作。这个办法似乎更能控制大部分已经出现的高风险事件和大额转账”。

　　“像澳大利亚的许多银行一样，国民银行集团以在业务中首先采用外带操作进行身份验证而广为人知”，Litan说，“但总的来讲这项业务还没有拓展开”。

　　目前正在应用的另一个更好地防止欺诈的方法是对信用卡和借记卡的业务往来进行监控，监控内容涵盖了电子银行业务以及支付业务。

　　“双重认证即在进行一笔交易时，至少需要两个人认证，这也使安全性得以提高”，Litan指出。她相信还有一个方法会奏效，这个方法叫“再付款”，包括事先对银行被授权付款的单位以及付款的额度进行详细的设置。Litan承认，虽然这种方法听起来简单，但“再付款”业务实施起来可能相当困难，因为与在商业活动种实施起来所需的灵活性相比，商业软件可能提供不了那么多的便利。

　　调查记者布赖恩·克莱博斯曾经在他的网络论坛Krebs On Security上曝光网络诈骗事件，并且评论：我仍然坚持我的意见，那就是任何不以顾客终端有可能或者已经被恶意软件入侵为前提的商业银行的技术服务都不能抵御如今的网络骗子。

　　“犯罪分子不是被法律规定和银行的安全系统所限制，他们是否实施犯罪活动主要取决于他们任何一次行动能从资金账户上取得多少钱，以便分赃”，克莱博斯说。

　　去年11月联邦调查局关于网络诈骗和资金转移的一份报告显示，在美国，网络骗子经常进入自动化交易系统对有意愿转账的账户或者不知情的客户进行观察。

　　被骗的人经常在名为“work from home”的招聘广告中留下自己的简历，或者在将自己的简历放在公共网站上后直接联系招聘者。于是骗子们根据他们留下的信息直接打开个人或者商业银行账户来实施诈骗款的转移，用不了几天，甚至只需要几个小时，钱就被他们存入自己的账户，然后他们继续将一部分钱汇往海外，特别是通过电汇服务，例如西联汇款、速汇金业务汇往东欧。

　　网上银行所使用的受到攻击的计算机已经被金融服务信息共享与分析中心所关注。该组织的任务是为它的成员提供一个不相关联的能够进行保密信息共享以及直接与联邦政府保持接触的平台。该组织的成员包括：花旗集团、美国商业银行、高盛银行和美林证券。

　　金融服务信息共享与分析中心已经向其成员发出了提示：不要只通过计算机浏览程序和电子邮件与商业客户进行联系。“以后在对业务范围进行介绍时，‘PC专用网络银行’将成为一个蹩脚的词语”，Litan说，但她说这些话的时候显得有些底气不足。

　　联邦政府最近采取的其他一些活动包括上个月联邦存款担保公司组织的专题研讨会。该研讨会旨在讨论受到恶意软件攻击的计算机和商业网络犯罪的问题。

　　SecureWorks恶意软件分析机构主任乔·司徒亚特指出：“用户操作是薄弱环节。” 乔·司徒亚特还做了许多拓展性的工作，包括对复杂的基于僵尸网络基础的木马病毒和专为实施计算机网络犯罪所设计的宙斯病毒以及Clampi病毒的研究。这些病毒能够通过在线认证和账户信息控制计算机系统以及授权金融交易。

　　“网上银行构造之初并没有考虑到用户将要遇到的类似木马病毒的问题”，乔说，“从那个角度来讲，这种被奉为范例的银行服务模式已经被打破”。

　　众所周知，银行木马病毒是以Windows程序为基础的，“还没有出现过Mac banking木马病毒”，乔对于目前众多用户使用Windows系统的情况进行了总结，“我不推荐银行使用Windows系统进行在线服务”。