美国联邦调查局指出，最近网上银行诈骗以及非法自动票据电子转账的数量激增，到去年年底这种犯罪已经导致中小型企业损失近一亿美元，这确实让人吃惊不已。SearchFinancialSecurity.com采访了Avivah Litan（Gartner公司的副总裁、著名分析师），听取了她对这种令人担忧的犯罪趋势的一些看法，以及她对银行应该怎样保护客户的账户信息的一些观点。Litan是金融诈骗、认证、账号偷窃、诈骗检测和防护技术方面的专家。

　　对于网上银行攻击来说，最令人担忧的是什么，银行是怎么应对的？

　　Avivah Litan: 首先，这是非常真实的情况。过去几个月中，我所联系的银行都说他们发现过这种诈骗活动。你是从新闻中得知这种情况的，而我是听银行亲口说出来的，当时我便意识到欺诈已经非常普遍了。其次，那些不具有应对方案的银行被诈骗活动弄得措手不及。你不能临时抱佛脚。因此如果是小银行，他们会手动查看几乎所有的电子转账记录。很明显，大型机构不可能手动复查他们所有的电子转账记录，但是他们一般都有应对方案。于是，中小型机构反而更加猝不及防了。有些大型银行也会出现这种情况，但是对他们来说，更换系统对诈骗进行自动监测以及减少手动复查的数量比较容易。这和匪徒抢劫银行账户而银行无法应对不一样。一旦银行发现了诈骗活动，他们无疑会采取行动——有些靠手动，有些能自动进行。诈骗活动数量的增加说明罪犯的创造性永无止境，他们能轻松击败普通的安全控制技术，比如一次性的秘密标识等。这些攻击还告诉我们，任何通过浏览器传输的内容都是可疑的。你不能相信通过用户浏览器输入的任何内容，不管它是一个登陆凭证、强有力的认证密码，还是交易值——任何东西都可能被更换，都可能被别人截获。

　　在保护客户账户信息方面，有哪些最佳措施呢？

　　Litan: 银行真的需要进一步增强他们的防护措施，并使用更加高端的、可以监测整个交易活动（从登录到注销）的诈骗监测系统。因此银行监测的不应该仅仅是交易中的数值，还需要检查整个交易活动的过程。如果你正在监视交易的速度——即填写支付页面的时间或者装载网页的时间——那么通过查看交易反应时间和数据输入的次数，你差不多能够分辨出它到底是僵尸网络还是人工在进行操作。这种方法在银行使用的技术中还是比较有效的，它们通过监视交易的速度来阻止这种类型的攻击。其他诈骗监测的方案是监测数值——即进入支付要求的密码。它们很有效，但是电子转账数据的结构化很差，所以诈骗者一般把犯罪活动放在交易评价字段（comments field）上面，这使得你必须要去分析一个优秀的诈骗监测系统中的文字。虽然没有任何一种诈骗监测系统是完美的，但是如果你采用了其中某些方案的话，就可以阻止大部分的攻击，至少能够标记出可疑的交易，以便手动复查，从而给很多客户省去麻烦——因为他们减少了错误的次数。

　　带外（out-of-band）认证在其中扮演什么角色？

　　Litan: 如果电话不被转接的话，它的作用很大。但是，诈骗者已经知道如何把电话转接到他们那里去的方法了。诈骗者会一直给携带手机的人打电话，说“我将离开城市或者我的电话坏在了家里，你能把所有这些电话转接到这个号码吗？”他们会告诉携带手机的人一个手机号码，然而人们也不验证给他们打电话的人的身份是否有问题就进行了转接。很多公司都使用Authentify来进行带外认证，它能够阻止在美国的电话转接（呼叫转移）。虽然这给使用电话转接功能（呼叫转移）的人带来了麻烦，但是那些人只需要给银行打电话就行了。

　　把基于标识（token）的认证作为攻击防御的方案效果如何？

　　Litan: 这些诈骗活动给我们敲响了警钟，任何通过浏览器的认证都能够被破解，任何通过浏览器进行的交易也能够被破解。诈骗者基本上可以超控（override）用户和银行能够看到的所有交易。比如说，一个用户想把10000美元转到账户A，那么他们（罪犯）能够在这些钱到达银行之前就把这些钱转移到账户B。他们还能做其他的事情：如果你用一次性密码进行登陆，他们就能够捕获那些密码。当你输入密码之后，他们会告诉你密码无效，然后说银行服务现在不可用并且不让你登陆。接着他们就用刚才捕获的那个一次性密码登陆。或者他们会让你登陆，但是会改变提交给银行的交易值。…我认为银行应该有一个强有力的认证标准，但是你必须意识到它照样能够被破解。

　　你如何看待金融服务信息共享和分析中心提出的建议：银行客户需要使用一个未接通因特网的、锁定了的PC？

　　Litan: 银行最实用的方法是采用合适的防护措施。那些采用了适当防护措施的银行已经击退了这些攻击。这些银行虽然被攻击了，但是罪犯没有得逞。你可以依靠合适的技术、安全过程以及政策来解决这一问题。

　　九月份的时候，我曾经跟美国联邦存款保险公司（FDIC）讨论过网上银行诈骗数量上升的事情，他们建议银行需要对客户进行安全方面的培训。你认为诸如此类的客户培训在抵御网上银行诈骗中能起到什么作用呢？

　　Litan: 这种情况有点类似于一个客户进了银行，恰巧碰到有人抢劫，劫匪把客户打晕然后抢了钱，最后错误却在客户身上。既然银行开通了网上银行，那么他们就应该保护自己的渠道。我对客户培训不是很有信心，因为我认为这超出了客户所能做的范围。客户安装了最新版的杀毒软件，使用了最新版的防火墙，他们还能做什么别的吗？我认为这方面的监管规则有缺陷，并不符合FFIEC指导意见。FFIEC说你必须能够控制相应的风险，而监管人员一直没有从这个角度对银行进行检查。过去他们没有发现商业银行会面临这种风险，但即便是现在风险出来后，他们也没有去跟银行说，“你们没有防御这种风险”，这是其一。其二就是他们没有任何的监管规则来保护商业账户。他们用规则E（Regulation E）来保护消费者账户，但是却没有类似的规则来保护商业账户。我认为大多数小企业可能都不知道如果有人抢劫了他们的账户财产，银行不必进行赔偿。…监管人员正在试着绕过信用危机问题，但这并不意味着他们应该忽略诈骗这个问题。

　　未来又会出现什么样的威胁呢？

　　Litan: 由于越来越多的用户使用手机上网，我认为电话系统会遭受威胁。电话系统已经在受到威胁了——电话转接（罪犯进行的呼叫转移）。相对于对银行的攻击，我们将会看见更多对商业以及政府机构的攻击。罪犯另一种弄钱的办法就是进入支付系统的账户，然后改变受益人账户号码，以此制造虚假的支付。这种犯罪具有增长的趋势。