基于客户视角网络银行安全反钓鱼欺诈.docVIP

基于客户视角网络银行安全反钓鱼欺诈 　　[摘要]文章主要关注的是对网络银行安全构成重大威胁的钓鱼欺诈：首先对钓鱼欺诈进行了概括性的讨论和分析；由于在此前的诸多研究中，客户的作用与地位往往被忽视，于是文章做了一个旨在了解客户识别及判断钓鱼欺诈能力的调查，以充分说明网络银行安全的两个关键要素是网络银行提供商和网络银行客户；最后，从客户视角出发，提出了一些建议，希望能让在客户层面的网络安全防御能与提供商层面的安全防御一样固若金汤。 　　[关键词]钓鱼欺诈；网络银行提供商；网络银行客户； 　　[中图分类号]F83　[文献标识码]A　[文章编号]1002-736X(2008)12-0070-04 　　 　　由于网络技术的日新月异和人们对方便、迅捷的银行交易需求的日益高涨，越来越多的银行都开始不遗余力地推广网络银行。网络银行作为电子银行或者电子资金转移的一种重要形式，依靠强大的技术支持为客户和企业提供各种金融服务。客户可以利用诸如PDA／PC或者手提电脑等终端设备连接到互联网后，在任何时间、任何地点进行各种交易，而不必担心交通拥塞、停车不便或者事务繁忙而无法办理业务。 　　在客户享受到网络银行提供便捷服务的同时，诈骗者也同样蠢蠢欲动：他们对网络银行所带来的便利觊觎已久，一旦诈骗者能够成功的截取账户信息或者诱骗客户提供账户信息，那么他们也可以在任何时间、任何地点侵入客户账户。这就需要网络银行提供商和网络银行客户对于网络银行安全保持高度的关注，对潜在的风险保持高度的警惕。 　　 　　一、钓鱼欺诈 　　 　　(一)钓鱼欺诈(Phishlng)本义 　　钓鱼欺诈(Phishing)是在20世纪90年代中期，由黑客创造出来的词语，它原本指的是窃取美国在线(American-Online)客户的账户。钓鱼欺诈让毫无警觉的网络银行客户无意中泄露他们的个人信息，从而使诈骗者获取他们的敏感数据。当诈骗者获得这些数据后，他们就会非法侵入客户账户，大肆获取其他敏感信息，最后通常会将客户账户上的资金非法转移到自己的账户上或者将客户的个人资料在黑市上出售。 　　 　　(二)钓鱼欺诈的种类 　　1．诱骗式钓鱼欺诈(Deceptlvephishing)。诱骗式钓鱼欺诈最常用的载体就是电子邮件：在典型的情况下，诈骗者发出大量诱骗电子邮件，其中包含有HTML表格和一些诱使客户填写表格的叙述；更多情况下，邮件含有超链接：只要客户一点击，就会将客户链接到一个伪造的网站上。 　　2．恶意软件式钓鱼欺诈(Mal-wine-based phishing)。恶意软件式钓鱼欺诈指的是这种钓鱼欺诈会让恶意软件运行在客户电脑上。而恶意软件的传播主要是通过社会工程式诈骗或者利用安全漏洞进行的。 　　3．域名欺骗式钓鱼欺诈(Pharming)。Pharming这个名字产生于2005年3月的一次大规模域名服务缓存毒害事件，它的意思是“域名欺骗式钓鱼欺诈”，指的是欺骗客户在假扮合法网站的非法网站上输入敏感信息，如密码、信用卡卡号等的一种欺诈方式。这种方式不需要客户点击邮件中的超链接，甚至即便是客户正确的输入了网页地址URL，诈骗者仍然可以将客户链接到非法网站上。 　　4．内容植入式钓鱼欺诈(content-in-jection phishing)。内容植入式钓鱼欺诈指的是将恶意内容植入合法网站，这些恶意内容可能会将客户链接到其他网站，或者在客户电脑上安装并运行恶意软件，从而将数据传输到钓鱼欺诈服务器上。 　　5．中间人钓鱼欺诈(Man-in-the-m-iddle phishing)。中间人钓鱼欺诈是指诈骗者将自己置于客户与合法网站之间。本应传送到合法网站的内容被诈骗者所获取，他们截留下有用的信息后，继续将内容传递给合法网站，同时也将来自合法网站传递给客户的信息截留后传递。中间人钓鱼欺诈也可以用作信息流截取。这种钓鱼欺诈也有多种不同变化形式，但是通常对中间人钓鱼欺诈的定义是：一个网络安全的分支，在该欺诈中，诈骗者截取并且很有可能篡改传输中的数据。 　　 　　6．搜索引擎式钓鱼欺诈(Search enginephishing)。诈骗者采用的另外一种诈骗手段就是为一些虚假的商品开设网页出售，同时搜索引擎如Google，Baidu等索引到这些网页或者商品。这些商品看上去价廉物美，当客户决定购买这些商品，输入交易所需的信息后，敏感数据就会被诈骗者所获取。 　　7．分布式钓鱼欺诈(Distnbuted phi-shing)。分布式钓鱼欺诈是一种新出现的诈骗方式，钓鱼欺诈网站所用的主机不是传统的网络提供商而是私人电脑。这是因为如果使用传统的网络提供商所提供的主机构建网站，这些网站会很快被反钓鱼欺诈联盟所甄别并且摧毁。分布式钓鱼欺诈的出现对于防治钓鱼欺诈来说是一次巨大