认识在线商务风险

对于那些在互联网上提供服务、进行经营的公司来说，如何为客户提供一个安全而放心环境变得越来越重要。

尤其是对于金融服务行业，这尤为重要：让客户获得在线帮助能够大大降低交易成本，但是对于数字安全的担忧却也有可能导致公众信任感的下降。

最近一种越来越常见的威胁是“网页仿冒（phishing）”，一种在线身份盗窃。

调查公司Financial Insights最近的一份报告显示，在2004年，网页仿冒将给全球金融服务企业带来总额达到4亿美元的损失（大约折合2亿1千7百万英镑）。

“这种趋势令人担忧。” Barclays的首席技术官Kevin Lloyd表示。那么为什么这种手段会让那么多人中招呢？

透视网页仿冒犯罪

我们面临的困境部分在于犯罪分子的技术力量增长得太快，而银行们似乎很难做好准备迎战。

“目前我们已经可以清晰地看到，有些诡计多端的不法分子已经将他们的视线转到了国际互联网这一领域中来。” Lloyd表示。

他们作案的手法通常是冒充客户的开户银行，向客户发送电子邮件。

这些电子邮件会要求收件人访问某个链接，这将把他们带到某一个同他们开户银行网站看起来几乎一模一样的仿冒站点——但是这个站点通常不会在浏览器下方显示出挂锁的标记，这个标记是用来表示该站点是安全的。

受到欺骗的用户会被要求输入他们的完整密码，而不是像真正的银行站点那样有确认码需要你输入。“然后你看，你就把你自己的秘密泄露出去了！” Lloyd解释道。

很多不法分子做的非常巧妙，通常状况下，他们甚至会在接下来，将客户引到真正的银行网站地址，并且让他们能够正常进行登陆。

“但是等你登出以后，不法分子会保存你的信息，然后使用你的身份登陆，他们会修改你的密码，然后设立一个第三者收益人，然后就尽可能将帐户上所有的钱都转移给该收益人。” Lloyd表示。

窃贼们几乎立刻会通过借记卡将这些钱提走，而这些操作在银行看来几乎是完全合法的。“接下来所有的人就消失了。” Lloyd表示。

窃贼们经常使用的另外一种手段就是特洛伊木马软件，通过它来监视和记录用户访问银行站点的情况，并捕捉键盘输入。

为了对付这种情况，一些银行对自己的站点做了修改：用户只要在下拉菜单中选择数字，而不需要通过键盘进行输入。

“但是现在的不法分子是非常聪明的，他们已经能够捕捉鼠标运动，这样的话，他们就能够探测到你所选择的数字。对此你几乎是束手无策，因为这种做法太狡猾了。” Lloyd警告道。

而且那些不法分子正在变得越来越狡猾。“他们使用的方法很简单，但是却抱着‘广泛撒网’的态度。” Barclaycard的技术顾问Dave Taylor解释道。

“我们现在看到一些电子邮件完全是商务信函的口气。语法和口气都非常正规，你不会怀疑它是出自一个黑客之手。”

“我们还看到很多确实非常有意思的代码，这些代码运行在我们客户的电脑上。它们比起六个月以前已经成熟了很多。”

着手解决这个问题

那么银行应该如何应对这一问题呢？Matthew Timms认为加强客户沟通是很重要的，他是Lloyds TSB的互联网银行负责人。“我们需要教育客户如何使用互联网。”他认为。

下一步是更改登陆页面来警告用户提防身份窃贼，并且建议他们如何进行网上操作。

“我们还鼓励用户在电脑上安装最新的软件，但是我们没有办法检查这一点。” Lloyd表示。

“我们可以在用户登陆的时候进行一些检查，但是我们必须弄清楚对于客户，哪些期望是合理的，而哪些不是。”

防范也有可能不只是技术性的方案，这可能包含了商业运作方式的改变。

“我们可以调整人们帐户的支付限额或者更改规则，让创建新的收益人变得更加困难。” Lloyd表示。

“所有的银行都调低了转帐限额，同时我们也都加大了办理第三方收益人的难度。”

“你可能会要求用户通过电话和你联系以确认这一操作，或者要求他们发送一个文本信息。”

“你可以做的另一件事情就是延长转帐的时间，这样转帐就不会马上进行，这就给了客户一个发现问题的机会，当他们发现出了问题，就可以及时向我们发出警报。”

Barclaycard相信现在是考虑芯片认证技术的时候了。

该公司正在测试一种轻便型设备，它的外形同计算器非常相似，用户能够把信用卡或者借记卡插入其中，输入一个Pin码，然后就能够接受到一个唯一的、一次性的八位数字，网站会使用这个数字来确认用户的身份。

信用卡发行商从六月份开始向用户发送阅读器。Taylor表示，到目前为止，大约在5,000预期用户中，有2,000用户在使用它们。Taylor是芯片认证规范的起草人之一。

他解释说，这种做法是让用户和企业通过这一个设备能够兼容使用所有卡，无论这个卡是哪个机构发行的。预计标准草案将在9月份被提交。

但是在大规模市场解决方案出现之前，银行只能被迫接受在线交易的风险。

“我认为绝大部分的银行将会把这当作一种成本，就象我们对待支票欺诈一样。” Lloyd表示。

“我们对于支票欺诈设定了可接受的风险预测，而且我认为我们将对于互联网欺诈也设定同样的可接受风险预测。”

案例分析：网上博彩行业

Daniel Thomas认为，赌徒对有组织犯罪团伙最具吸引力，他们可以通过赌徒的下注而快速捞钱。

赌博是从互联网发展中收益最大的行业之一。

大约有1,700家赌博网站在互联网上从事经营，你可以在那里进行小规模的赌博，分析家Datamonitor预计到2005年，这个行业的营业收入将达到5亿5千9百万英镑。有人预测今年在线赌博的收入会达到4千9百万英镑。

但是哪里有金钱，哪里就有罪恶，网上博彩也不例外。

英国的国家高新技术犯罪研究专案组（National Hi-Tech Crime Unit，NHTCU）同俄罗斯当局一起，在上个月粉碎了一起互联网犯罪事件，据信该次犯罪的目的是向在线体育博彩公司勒索数千英镑。

位于俄罗斯圣彼得堡和西南部的犯罪团伙将目标锁定在知名的赌博企业，包括William Hill、Paddy Power、Blue Square和Canbet。他们使用了数千台被病毒感染的电脑对这些赌博公司的服务器发动了拒绝服务（denial-of-service）攻击。

“然后这些罪犯然后会要求受害的网站支付10,000到40,000美金，” NHTCU的一位女发言人表示。“这些网站遭到勒索，罪犯们宣称，如果网站不支付这些钱，攻击就不会停止。”

3月，在切尔滕纳姆（一个位于英国英格兰西南部的城市）的节日期间，William Hill就遭到了这些匪徒的攻击。

“这些攻击在我们的体育博彩网站上持续了24个小时，但是我们非常好地解决了这一危机。”发言人David Hood表示。

“在那段时间里，我们的服务器一共只停止服务了30分钟，但是剩余的时间里，我们保持了75%的能力。”

在2003年10月，攻击的目标成了Canbet，NHTCU和在线赌博行业已经开始联手应对这种威胁，并尽力把损失减少到最低程度，在针对William Hill的攻击中，该公司的日营业收入就仅仅减少了25%。

“我们已经针对预期中的攻击在网站上建立了一系列程序。” Hood表示。“在线竞争者之间也出现了协作，英国电信和NHTCU确实帮助阻止了进一步攻击的发生。”

在线赌博公司特别容易遭到攻击，因为犯罪组织能够根据在主要体育赛事中制造的停机时间判断潜在损失，Neil Barrett认为，他是格连菲尔德大学（Cranfield University）计算机犯罪方面的客座教授。

“这是有组织的犯罪，不是简单的黑客行动。这些人关注的是哪里有钱，这也就是为什么他们总将目标锁定在赌博业上。”他表示。

“对于在线赌博，犯罪分子可以很容易地根据网站瘫痪的时间长度估算出损失程度，从而确定勒索的金额。在线赌博业成了犯罪分子眼中诱人的目标。一场精心策划的拒绝服务攻击将摧毁一切。”

但是Barrett解释说致命的弱点在于犯罪分子想要勒索金钱的渴望。“犯罪分子必须要提供联系的方式以获得他们所勒索的金钱，这也让他们有可能被抓住。”他表示。

上个月拘捕行动可能会让犯罪组织从新考虑自己的计划，这会让他们转而使用更不容易被发现的黑客或者仿冒犯罪，Barrett认为。

“他们可能转向两个方向：成为在线勒索的黑客或者组成专门进行网络仿冒和攻击的犯罪集团。”

“但是黑客却很快会被抓住，因为他们不象大型犯罪集团那样具有强大的洗黑钱的能力。”

Hood认为还有其他很多公司可能成为犯罪分子的目标。

“如果你想想旅行商务、金融服务、股票交易和其他的电子商务网站，比如Amazon，你就会发现犯罪分子拥有巨大的市场。”他警告说。

查看本文的国际来源