網路銀行客戶數屢創新高,然而資安專家們多數卻未使用。經過歷年來資安事件的洗禮,網銀安全機制確實已改善。
網路銀行服務已行之多年,全台使用網路銀行的用戶數每年持續成長,但相較於全體上網人口,仍有許多成長空間,而這也是銀行業者爭相推出各種行銷手法競逐的市場。安全性是許多人對於網路銀行的最大疑慮,但其實近期的網銀詐騙案件比起早期已有減少,與使用者危機意識提高或網銀安全機制的改善都有關。本文由過去網路銀行安全新聞事件的回顧談起,並說明目前台灣網銀/網路ATM所採用晶片金融卡的安全認證機制,以及銀行業者的現身說法,讓使用者評估是否使用網路銀行服務時,能明白該比較的不只是贈品而已。
根據創世際市場研究顧問2006年底在一項針對金融服務使用行為調查中指出,持有金融商品的網友當中(N=1,891),過去1個月曾使用「網路銀行」與「網路ATM」的比例,分別為34%與32.6%。而未使用過「網路銀行」服務的網友(N=1,248)則表示「擔心資料安全」(58.3%)為最主要原因。此項調查與資策會MIC針對網友所進行的調查結果相近,30.6%的網友表示曾使用過線上轉帳(含網路銀行與網路ATM),擔心個人資料被竊取(42.1%)為未使用者最大考量因素。
另外,根據交通部去年3月的調查,台灣地區共有1,330萬人曾經上網,經常上網人口也高達1,210萬人,其中網路銀行的客戶數超過250萬人,約20%。另方面,美國家戶使用網路銀行的比率約為台灣2倍,根據研究機構Forrester 05年所做的調查,美國上網家戶約佔全體68%,其中網路銀行的使用比率高達42%。顯然,台灣網路銀行市場發展仍有許多成長空間,然而業者能否解除使用者心中對於網路銀行安全性的疑慮,則是主要關鍵。
網路銀行存款盜轉事件,國內外層出不窮
回顧過去曾發生的網路銀行安全事件,不難理解為何使用者對於網路銀行的安全性有諸多疑慮。根據立法委員賴士葆辦公室所做調查指出,2004年至2007年3月網路銀行盜轉案件共151件。以詐騙方式來看,利用人性弱點騙取使用者帳號密碼者集中於06年底至07年初,約佔5成,其餘則是利用釣魚郵件等方式針對一般使用者電腦進行之攻擊。不論何種詐騙,均透過非約定轉帳方式將受害者存款盜轉出去。也因此,為降低盜轉損失金額,銀行針對非約定轉帳每日交易金額限制在台幣10萬元以內。
談到網銀詐騙方式,駭客為了竊取網銀使用者的帳號密碼,多半利用發送含有木馬程式的電子郵件,或假冒銀行名義寄發含有釣魚網站超連結的電子郵件。在剛閉幕的RSA Conference 2008中,F-Secure的研究總監Mikko H. Hypponen發表關於網路銀行惡意程式的主題。他指出,過去幾年較常見的網路銀行攻擊方式以釣魚郵件為主,而近期則發現針對網路銀行而設計的惡意程式更難以偵測。例如一開機就立刻執行的rootkit,當記憶體仍在運作就將含有網路銀行特製木馬的惡意代碼植入IE瀏覽器中,讓使用者防不勝防。因此Hypponen認為,現階段駭客攻擊目標在於網路銀行的使用者電腦,有些銀行會分送客戶免費的防毒軟體,或採取監控客戶交易行為的方式來降低不正常交易的風險。
除了與網路銀行交易直接相關的認證安全機制外,銀行業者應更全面看待相關安全問題。例如許多銀行網站本身也成為駭客攻擊標的,官方網站被植入惡意連結,使用者瀏覽網站就可能中毒;而因為網站商業邏輯漏洞導致民眾個人資料外洩的事件也時有所聞;甚至因為金控合併,部分子公司廢棄的網域名稱被其他第三者購入成為色情網站或廣告網站,由於該舊網址仍存留在其他網站的連結中,也可能使不知情的網友誤闖陷阱。
網駭科技資安顧問Trueman表示,不僅網路銀行,實體ATM也曾傳出漏洞。去年有某銀行實體ATM螢幕控制沒做好,讓使用者輕觸螢幕左下角即可拉出作業系統畫面。雖未必造成具體損失,但有心人士可能藉此存取交易記錄檔 或觀察銀行系統網路結構以找尋未嚴格防護的機器,儼然成為安全漏洞。
晶片金融卡 V.S OTP Token
銀行本身網站以及ATM等系統安全問題,需要業者各自重視。然而關於網銀認證交易機制的問題,銀行公會金融業務電子化委員會副主任委員羅安昌指出,儘管國外許多網路銀行及國內少數銀行採用動態密碼產生器(OTP Token, One Time Password Token)作為使用者交易認證機制,但這不表示採用晶片金融卡的安全性低於Token。身為當初晶片金融卡標準推動的召集人羅安昌強調,台灣晶片金融卡背後所使用的技術與動態密碼相同。
羅安昌表示,OTP的組成因素分別是發卡銀行的識別ID、使用者識別ID、時戳(Time Stamp)等3種。但當時為了杜絕時戳上有時分秒不一致所產生的同步性問題,使其具備唯一性,因此增加第4種因素「交易資料」成為台灣晶片金融卡所使用的OTP技術。「交易資料」是指消費者當下所做轉帳或提款的資料。因此,使用晶片金融卡每次交易所產生不同的密碼就是由此4因素產生的TAC (Transaction Authentication Code)並加入亂碼所產製。
至於過去曾發生使用者將晶片金融卡持續插在讀卡機上,讓原本潛伏在電腦裡的木馬程式有機會將密碼傳送到遠端監控的駭客手中,並盜領受害者帳戶存款一事。羅安昌解釋,透過晶片金融卡進行網路銀行或網路ATM交易,原始銀行會發出Active X元件(如元件A)作為與晶片卡之間的識別,但若使用者不慎下載含有木馬程式的軟體,安裝了駭客假冒銀行而製作出極為相似的元件(B)使自己的元件(A)遭破壞,學理上有可能發生成功騙過金融卡的事,但實務上依照密碼學原理,不可能在短時間內破解。羅安昌強調,晶片金融卡是離線載具,務必是要使用才放上去,否則晶片卡一直插在讀卡機上宛如將鑰匙插在門鎖上,即使再精密的鎖頭也無用武之地。此外,銀行公會已要求網路銀行業者在各項晶片金融卡網路交易增加「插拔卡」安全機制,在使用者送出交易確認訊息前須將晶片卡抽出再插入,一次插拔卡只能完成一筆交易。今年初開始許多網路銀行陸續已加入此安全機制,最早採用的是郵局網路ATM。
羅安昌認為以目前晶片金融卡所使用的OTP技術來看,其安全性現階段可以克服中間人攻擊或釣魚網站等威脅,如果未使用OTP則上述攻擊的發生機率就大為提高。至於國外網路銀行有雙因素認證被破解的事,他認為採用雙因素認證只是提高可疑登入的拒絕率,未必代表更安全。不管採用幾種多因素認證,如果是高風險的交易一定要同時具備訊息隱密性、完整性、來源辨識、不可重複性、無法否認傳送/接收訊息。而多採用一種因素認證,是協助當環境在高風險的情況下能及時採取拒絕交易。
代理動態密碼產品Vasco的華葑資訊副總經理劉鎮發表示,OTP Token可以提供認證與簽章功能,安全等級與晶片卡相當,但對網路銀行使用者來說使用晶片卡認證,必須在電腦下載安裝讀卡機驅動程式,隨之而來的安裝、相容性、卡片鎖死問題相對會提高銀行業者的客服成本,OTP Token的使用者則無此問題。此外,使用晶片卡認證由於本機電腦已安裝銀行認可的元件,似乎較能拒絕遠端駭客透過中間人攻擊,以假網站騙取密碼後同時登入真網站盜轉存款的風險。對此,劉鎮發指出,如果駭客要做到在交易的同時變更使用者轉帳帳戶以盜領存款,必須能及時演算出新的TAC,且通過後台主機之同步驗證才有可能破解,但可能性極低。
法規未必保障損害賠償責任
綜上所述,目前台灣網路銀行的交易環境比起前幾年已逐步改善,金管會透過交易機制的限制來降低盜轉風險,如設定非約定轉帳限額。儘管如此,萬一仍發生存款盜轉事件,銀行的賠償標準又是如何?金管會雖已修訂「金融業務電子化服務契約書」,並在第十三條電子訊息之合法授權與責任中明訂:「銀行及客戶應確保所傳送至對方之電子訊息均經合法授權。銀行及客戶於發現有第三人冒用或盜用使用者代號…之情形應立即通知他方…。銀行接受通知前,對第三人使用該服務已發生之效力,除非銀行能證明客戶有故意或過失者外,銀行仍負責任。」然而,實際上「客戶有故意或過失」難以明確定義。即使使用者已安裝合法防毒軟體,但其電腦系統弱點之修補情形如何,也難以界定有無過失。
但一般來說,銀行畢竟希望鼓勵客戶持續使用網路銀行服務。以瑞典銀行07年的例子來看,他們也承擔了250位客戶的存款損失,達美金110萬元。而本地銀行業者,對於損害賠償的問題均表示需視個別現實情形來看,無法回答假設問題。
銀行業者努力提升網銀安全機制
根據管理顧問公司BoozAlien & Hamilton統計,網路銀行的設立成本為一家實體分行的一半,以每筆交易處理成本來看,網路銀行約0.01美元,一位櫃員則需要1.07美元。不難想見何以銀行業者大力推展網路銀行業務。
台新銀行分行營運事業處網路銀行部協理梁富惠指出,台新網路銀行針對客戶資訊安全推出之服務包括:1、「即時警鈴服務」提高非正常交易之攔阻率,可由使用者自行設定登入時間、交易次數、交易金額,若有異常情形則由系統立即發出簡訊及E-MAIL通知,縱使個人資料受到竄改,使用者也會立即被通知。2、使用者登入網路銀行成功後即顯示最近10筆登入記錄,包括IP位址及登入時間,故使用者可配合即時警鈴之雙重設定來加強帳戶安全。3、兩種身分登入方式,分別為一般登入及晶片金融卡登入,來強化個人身分認證暨避免個人帳戶遭不法人士竄改或竊取。4、為確保網路銀行之安全性,使用者在登入網銀、使用網銀服務時,一旦連結至外部網站時,系統即自動登出網路銀行,以保障客戶資料安全。
另外對於許多詐騙集團利用以假亂真的釣魚郵件誘騙使用者點選假連結一事,梁富惠提出呼籲,台新銀行網路銀行之交易通知信函不會含有網址超連結在內,倘若客戶收到此類郵件時需提高警覺。網路安全性需要不斷提升,台新希望藉由上述服務保護客戶,以防堵異常交易之發生機率。除安全之外,台新也非常重視個人化之網路服務功能,所以網路ATM提供了「交易妙管家」、「網路收銀機」等服務來深耕網拍買/賣家,並藉此吸引使用他行網路ATM之客戶進而成為台新客戶。最後梁富惠也呼籲使用者也要為保障網路交易安全盡一份力量,因為唯有銀行端及客戶端雙方共同努力,才能將網路安全做到最佳的防護。
中信銀個人金融總管理處副總經理魏爾彰指出,近年來網路銀行服務呈現雙倍數成長,基金高達4成透過網路銀行下單。而安全性是網路銀行生存必要條件,因此法規遵循與安全可說是中信銀的兩大優先項目,推動上能獲得上級充分支持。談起目前推行的各種交易認證方式,魏爾彰表示,為因應不同使用者對於安全與便利上不同的需求,中信銀提供許多不同認證機制讓使用者自行選擇。除了晶片卡、簡訊OTP之外,去年10月推出交易確認碼搭配簡訊OTP的方式提供更嚴謹的認證機制。使用者必須先到實體ATM列印出個人專屬的交易確認表,在進行線上交易時,系統會透過簡訊傳出3個不同的座標值,使用者對照交易確認表找到數值(交易確認碼)後輸入,取代過去密碼由簡訊直接發出的方式,以避免簡訊可能遭駭客攔截。
魏爾彰認為,安全性是層層疊上去的。做消費金融唯有資本夠雄厚,資安才可能做的更好,也才看得到規模效益。此外,以中信銀來說,對資安的重視還可以反映在內部各司其職的組織分工中,包括運籌資訊部負責流程機制管控,平台管理科扮演專案管理的角色,負責看市場新技術,尋找解決方案並執行,而總行資訊部則負責日常的資安監控、維運工作。至於一般使用者最擔心網路銀行服務會使個人資料被竊取的問題,魏爾彰強調,對於個人資料的保護,在系統方面中信銀所有資料會回到後端控管,要查詢需經過層層流程與權限把關,且前端CRM系統在查詢時其結果不會直接顯示身分證字號、姓名等敏感個資,另外即使是含個人資料的實體文件也會依照流程規則由管制室集中控管。
結論
經過仔細評比各家網路銀行所提供的交易認證方式或資安認知教育訊息後,發現其實各家業者均在網銀上下過一番苦工。然而根據筆者私下探訪十多位資安專家後,這些網路重度使用者使用網路銀行服務者僅3名。林先生認為,不使用網路銀行不是因為對認證機制有疑慮,而是對銀行整體系統的安全防護沒信心。有使用網路銀行的李先生則肯定晶片金融卡的安全性,認為晶片卡其實未儲存交易資料,且資料已經卡片加密處理,加上現今有插拔卡機制,故認為網銀的風險比起過去已大為降低。P先生也認為目前看來安全性已經改善,如過去晶片卡所發生的憑證被匯出導致存款被駭客盜轉的問題已解決,但他個人仍持保守態度。Trueman則就過去的歷史紀錄與功能面來看,選擇有提供動態密碼OTP認證服務的網路銀行使用,並設定能監控登入狀態的email警示通知功能,認為這樣相對較安全。而R先生則是消極地使用網銀服務,只在固定用來轉帳網拍費用的帳戶裡放少許存款,能享受便利性同時將損失風險降到最低。
儘管銀行業者在網銀交易安全上已有改善提升,但顯然若想再維持網銀的成長率甚至突破,接下來需要更多安全機制才足以說服對安全性有高度疑慮的使用者。在這次的評比中,的確看到部分業者在網站上提供相當豐富的使用者安全教育資訊,其用心程度值得讚許。對銀行業者而言,除了持續教育使用者,若能主動為使用者端提供更多的資安防護,例如端點安全的檢查,以及確實進行本身系統的安全檢測、監控,相信能在競爭市場中向客戶證明其有能力保護客戶資料與財產安全,以較佳的安全性達到差異化;對使用者而言,則應做到基本的網路安全自保,(請參考各銀行網站或金管會「使用網路銀行小祕訣」http://www.banking.gov.tw/public/Data/791114142071.pdf)才能在享受便利、賺取優惠折扣的同時,讓自己財不露白。