網路銀行風險評估與安全防禦

文/李哲祥


1995年10月美國「安全第一網路銀行」誕生以來，網路銀行借助現代資訊技術，以其低成本、高效益、方便快捷、應用廣泛等特點，顯示了強大的生命力，國際金融界掀起了一股網路銀行熱潮，在已開發國家中約有1000多家金融機構已經、或正在籌畫建立網路銀行服務系統。有專家預言，21世紀的銀行將是建立在電腦通信技術基礎上的網路銀行。網路銀行正在成為金融機構拓寬服務領域、實現業務增長、調整經營戰略的重要手段。
使用者可能面臨的風險
當使用者從電腦透過網路送出資訊或金錢時，可能會發生許多安全上的漏洞。駭客能夠竊取、運用並販售這些資料，或將這些資料與其他和使用者有關的事實結合，做為其他更大的用途。即使使用者已經對所使用的電腦系統進行妥善的保護，當使用者利用PC進行商業金融交易時仍可能是不安全的。以下是對使用者的資料可能會有的傷害：


1.盜用密碼

如果駭客取得企業電子銀行帳號的密碼，他或她可能馬上就可以取得其餘所有的財務資料，且以該密碼登入後所能存取的重要資訊，包括名稱、地址、交易、結餘，甚至隨他們高興設定付款的日期。


2.盜用信用卡

雖然大多數人都非常憂心信用卡盜用問題，但是使用信用卡進行線上交易仍是最安全的金融交易方式之一。當您在網路上因為企業的業務需要使用信用卡時，您已經受到許多不同種類的消費保護。雖然使用信用卡的交易是安全的，但是仍然存在被盜用的風險，這並不是指信用卡交易本身的風險，而是其他的潛在風險，例如被冒用等。


3.盜用帳號

如果網路竊賊偷取了您的交易帳號，他們便有可能染指您的錢。駭客為了要達到這個目的，他們通常會需要其他資訊。舉例來說，他們可能也需要竊取您的密碼。


4.盜用身份

這是一種被外人使用私人資訊時令人感到害怕的方法，通常也是影響最大的一種。竊賊會先建立或取得使用者或企業的完整資料，包括使用者的名稱、地址、稅籍編號及電話號碼，然後申請貸款。利用您使用者名義開啟了許多信用帳戶、無線電話帳戶，及進行其他冒用的行為。受害者可能要等到數年後他們的貸款申請被拒絕時，才會發覺他們的信用歷史已經被破壞殆盡了。


金融機構應提供的保護
您或您的金融機構有許多可以保護您的帳戶及身份不受到冒用及濫用的方式。如果您的往來銀行信譽卓著，他們應該早已為您的私人資料與金錢做好萬全的防範措施了。


1.加密

這是在網路上進行資訊交換時最堅強的防線之一，將資料改頭換面使得它無法在傳輸時被攔截並解讀。這個利用將資料零散打亂的加密方式其強度可以有所不同，但是銀行所採用的標準則是業界通行的128位元加密，而且到目前為止尚沒有人可以破解它的編碼強度。這種加密方式需要使用到一個公開號碼以及一個私人密碼來進行文件的編碼及解碼程序。通常，若要傳送加密的資料給某人，您會利用那個人的公開號碼將資料加密，而對方則需要使用其對應的私人密碼將資料解密。這個方法提供了多一層的保障，因為即使有人破解了公開號碼，他還是不知道私人密碼；反之亦然。


2.防火牆

這是一種用來過濾進入銀行資料流量的設備，銀行的防火牆設定有一個條件清單，進入的資料至少要符合一個條件才能通過防火牆。它可以阻絕特定的使用者、特定的區域、或未經註冊的使用者。另外它也會用到一個密碼來保護該據點免於入侵者的侵犯。


3.監控可疑的活動

銀行會監控各帳戶以發現是否有他們認為可疑的活動，例如特定金額持續從某個來源存入某些帳戶中，或是平時很少提款的帳戶突然發生大量提款的現象。


4.安全封包層(Secure Socket Layer，SSL)

SSL協定是網頁伺服器及所連接的電腦間的一種安全機制。SSL允許二端的電腦確認彼此身分是否符合，接著在彼此之間建立起一條加密的連線通道。您可以藉由SSL確定您正把重要的資訊，例如信用卡號碼，送往適當的地點，而不是送給駭客所偽裝的地點。


5.安全保證

請瞭解您的銀行是否提供安全保證。詢問他們是否會補償因駭客盜領所造成的損失，以及當信用卡被盜刷時，您所應該負責償付的金額是多少。


6.密碼原則

詢問您的金融機構以瞭解他們的密碼原則。例如在嘗試密碼失敗許多次以後是否會將您的帳戶鎖住，或是他們根本沒有限制猜測的次數？如果他們允許無限次數的猜測的話，駭客就比較容易入侵您的帳戶。還有，當您忘記密碼時，他們發送新密碼的程序為何？他們是否只要求您提供非常容易取得的「姓氏」，或是您可以設定一個較困難的問題？更好的方式是，他們是否會以E-Mail郵寄由電腦產生而沒有標記的密碼到您在檔案中所登記的E-Mail Address？既然密碼是駭客最容易入侵的方式之一，銀行是否會對密碼提供嚴密的保護便是您必須非常注意的一件事了。


7.加入會員

您進行交易的網站是否提供您相關認證組織的保護？參加認證計畫的網站讓您在送出任何機密資訊前可以先知道更多關於網站的資訊。利用認證您可以確認該網站是安全的，同時確認網站的所有人及其實際的位置。

使用者的注意事項
雖然銀行對於使用者的網路交易已經提供相當完善的保護措施，但使用者對於本身的安全防護措施仍不能掉以輕心。以下的步驟都相當簡單，但是絕對可以讓投資、交易及其他網路銀行活動更為安全：


1.使用支援加密機制的瀏覽器

請確定使用的瀏覽器可以支援128位元的加密方式，這樣可以讓銀行所做的安全機制發揮最大的效果。


2.使用防火牆

防火牆過濾掉不受歡迎的訪客讓使用者的網路連線更安全。防火牆可以在使用者的網路上為進出的流量設立一道屏障、檢查流量的內容並將之與使用者所設定的條件清單做比對。如果資訊符合所設定的條件，便可通過防火牆，如果不符合，便會加以阻擋而不讓其通過。使用者可以使用硬體的防火牆或是防火牆軟體套件，也可以使用入侵偵測軟體來尋找是否有人正嘗試侵入您的網路和竊取您的資訊。


3.檢查憑證

檢查憑證可以重複為使用者確認並將重要資料送到正確的地點，而且沒有人可以假扮成銀行接收資料。可以使用瀏覽器的「檢視憑證」選單選項檢查證書。


4.選擇適當的密碼

加強安全的最簡單步驟之一就是建立一個困難的密碼，記住它（不要寫下來），並且經常更動它。這樣就算有人取得配偶或小孩的名字等相關資料，使用者的密碼也不會被輕易地猜到。駭客可能也會利用簡單的軟體有系統地嘗試各種字典詞彙及數字的組合以尋找符合的密碼。許多人都是使用他們的小孩或寵物的生日或名字做為密碼，但最難破解的還是六碼以上包含標點符號的英數字元組合，建議使用者經常更動密碼讓它更為安全。


Internet上的網路銀行數量正如雨後春筍般地快速增加，其中有許多銀行很有可能會是您日後進行交易時的絕佳選擇。網路可以節省您的時間、金錢，及往返的旅程，所以請妥善地利用它。如果您在選擇金融機構時能時時以安全為考量，加上您的適度配合，相信您可以安心的進行網路交易。（本文作者為KPMG資訊風險管理服務組經理）