向網路詐騙say no！

越來越多狡詐的網路釣魚及詐欺手法，來得真不是時候。

「這些網路詐欺的技術越來越熟練了。」LeeCarter說道。他是一家位於鹽湖城的網路銀行Zion的總裁。「以往要抓出這些手法還算容易，因為這些詐欺郵件通常粗製濫造，用句或文法錯誤。但是現在，這些偽造的信件越來越真實，容易讓人誤信，而且他們會模仿目標的口吻來撰寫偽造內容。」

已有數十家廠商踏進這塊領域，提供各種技術，其中包含一些創新想法，像是利用即時對買家的回撥電話進行確認。還有一些技術，能讓鍵盤側錄程式更難截取使用者的姓名、密碼與銀行帳號。

在這領域的三大廠分別為VeriSign、RSA Security(EMC)及Entrust。目前這些廠商的產品，都符合「聯邦金融機構檢查委員會」(FFIEC, Federal Financial Institutions Examination Council)所訂定的方針，而這些產品，也可應用在非金融機構的電子商務上。除了這三大廠商外，其他小廠也都有自己特有的產品，可滿足FFIEC指導方針或電子商務應用上。
該怎麼選擇符合自己需求的產品？並不是一件簡單的事，這些廠商的網站上大多介紹這些應用的架構願景，較少著墨在產品資訊，遑論產品價格的細節。我們採訪了數家廠商，並與使用者溝通，提出一些參考建議，讓您可以依據企業的需求來選擇所需要的解決方案。

反詐欺問題並不簡單
FFIEC指導方針特別明確地建議，金融機構要為轉帳、與任何客戶身分、帳戶資料之存取行為，建立起強健的認證機制與詐欺偵測機制。由於金融交易隨時都在進行，因此需要具備即時的偵測與預防機制。如果沒有這樣，當事後發現詐欺行為後，銀行並無法阻止一個鑽石耳環或是高檔電視的出貨。

「值得慶幸地，實體商品並不像金錢轉帳一樣地即時，因此電子商務網站還可利用事後偵測機制，而不需像銀行一般需利用客服人力的支援，還得在交易過程中隨時注意是否有任何詐騙行為。」反詐欺產品廠商Cydelity CEO，Bob Ciccone說道。
較讓人頭痛的是，新的認證機制還未能普及到使用者身上。「目前視網膜掃描、指紋辨識等生物認證技術，人們對它的期待就像電視影集「24反恐任務」一樣，但是事實卻未必如此。」，產業分析機構「451group」的資深分析師，Nick Selby說道。這些技術目前尚未廣泛地應用在市場上。

「E*Trade目前使用RSA公司的SecureID技術，來保護其白金會員的交易安全。值得注意的是，這種應用其實是為了開闢市場，而非必要的安全預算」，Selby說道。「如果你用了鎖來保護客戶的帳戶，客戶會覺得比較安全。但是對每一個用戶都配發這些硬體的Token裝置，實在是不切實際而且昂貴。」

FFIEC所制定的方針與相關文件都是為了增加網路銀行的安全性，並增加網路釣客與身分竊賊的困難度，過去幾個月，這些銀行或是商行所採用的技術，也讓那些重視網路詐欺的電子商務公司獲得了許多寶貴的參考價值。


尋找適當的解決方案
我們評估了一些目前銀行所採用的新技術。也深入了解三大廠商所提供的解決方案，有的銀行採用部份技術，而有些採用他們的整體方案，來建立詐欺偵測機制。

由於產品價格分布極廣，以及一些客製化因素，我們暫時先不討論價格。另外，第三方電子商務前端付款處理機制這邊也不予以評估，事實上許多電子商務交易公司像是2Checkout.com與CheckFree，也使用了許多本文所提的解決方案。

本文點出了面對網路詐欺的重要問題，可提供給想使用這些方案的公司作為參考。

用戶端程式的安裝

有些產品需要在主機上安裝特定的用戶端程式(client software)、cookies、flash物件，而有些產品則不需這麼麻煩(稱作Zero touch)。看起來好像無關緊要，但公司沒辦法預料用戶端電腦會有什麼限制，客戶有可能擋掉部份用戶程式或是隨時會更改電腦設定。
有些廠商能讓企業選擇自己適合的方案，因為這些企業對於用戶端程式有自己一套政策規範。用戶端程式的安裝與否其實有好有壞，不需安裝用戶端程式(clientless)的方案需要較多時間來確認詐欺主機。在用戶端主機上利用cookie或是瀏覽器物件(像是ActiveX或JavaScript)之類的技術在用戶端主機儲存一些資訊，可以更容易地確認客戶使用該主機的情況與電子商務交易行為。也能讓網站管理者蒐集相關濫用該主機的行為。但如果使用者將自己電腦上的cookie或是ActiveX關閉，就無法使用這類方案了。

多數小廠偏向使用clientless的方案，而三大廠則是兩種方案都提供給用戶選擇。「我們有完全不需安裝用戶端程式的解決方案，用戶在維護上較為方便，也減低支援的負擔，」VeriSign產品主任Kerry Loftus說道。

目前所有偵測詐欺產品，都利用個人每筆交易之常用習慣與特徵來進行分析，像是在每天的特定時間、每周的特定日期，用戶利用使用特定IP位置、特定ISP、特定地點、特定瀏覽器來進行交易的這類特徵資訊。當然也會考量那些有時在家或是辦公室進行交易的用戶行為，將這些例外記錄在使用者的特殊需求。這些詐欺偵測機制可以蒐集這些行為，並找出潛在的異常，像是某個使用者從別的國家登入或突然改變了瀏覽器的版本。

是否會改變現有架構

根據現有的環境架構，用戶需考量，如果增加這些防詐欺機制是否會改變現有交易流程、電子商務伺服器是否支援。像是有些產品在主機上不需任何用戶端程式以及或儲存cookie資訊、而有些產品可直接套用在產品線中，不需修改產品流程與相關電子商務程式碼。通常，希望能夠快速上手的企業都不希望動到他們的伺服器。

舉例來說，Covel ight Sys tems、Ent rus t與Cydelity的產品，可放置在DMZ區，擷取伺服器流量並且進行分析。

「你只需要在span port中將流量導出來，或是使用實體的network tap。不需要寫程式，也不需在任何應用程式上進行修改。」Covelight公司的CTO，Garth Somerville說道。

其它如Corillian公司和RSA公司的Adaptive Authentication，則是需要在線上應用系統上，插入JavaScript或是.NET程式碼，連上詐欺主機或是認證系統。


偵測能力
針對詐欺行為偵測的能力，我們的評鑑結果大致分為兩類，「良好」與「優良」。這些產品是否真的能判別出哪一筆是詐欺的交易行為，還是僅是阻擋掉那些來自可疑主機的登入行為？舉例來說，網路釣客偷取用戶到銀行的帳戶登入資料是有跡可循的，首先他們會偽造一份電子商務網站的網頁，將其放置在一個受駭主機上，接著他們會蒐集email清單，然後大量發送釣魚信件，最後那些不小心的用戶點選了釣魚信件的連結，便引導他們到受駭主機上的假電子商務網站。

Corillian公司的產品，便可偵測出這類釣魚信件，卻不需在用戶端架設任何硬體設備，而其他家的產品則需要在用戶伺服器的內部網路中來蒐集相關資訊。Corillian在Internet接取點處放置監控裝置，並且檢查是否有類似大量發信的惡意釣魚信件行為。接著會警告用戶這可能是一個釣魚網站的攻擊行為，並且阻擋對該受駭主機的存取，避免使用者意外地去連結。

「我們藉由追蹤相關惡意行為，像是複製整個網站頁面等其他細節，因此我們可以抓到那些還在線上的釣魚網站。」Corillian的CSO，Greg Hughes說道。「在網路釣客發送出釣魚信件之前，我們便抓到它們。」

強化的身分認證方式

有些產品則使用被動分析的方式。當偵測到異常，再將告警資訊送到中央監控系統上。這三家大廠併購了不少公司，因此這方面也有許多解決方案。「在一系統平台上，我們可以提供各種認證方式。」Entrust公司的CTO，Chris Boyce說道。Entrust公司去年買下Business Signatures，而RSA公司則併購了PassMark Security和Cyota。
像是Passmark這類技術是設計在使用者登入之前，利用更多的個人資訊或流程來進行驗證，像詢問使用者事先設定好的問題，其他像是Corillian公司的Intelligent Authentication、VeriSign公司的VIP FraudDetection，可以回撥至使用者的家裡或行動電話，要求輸入PIN碼之後才能繼續驗證。Bharosa則是使用了JavaScript技術，利用螢幕小鍵盤(Image map)的方式來阻絕鍵盤側錄程式。

越是複雜的認證方式，客服中心所接到客戶電話就越多。廠商經常愛舉Bank of America的例子，那時他們大量更新設備，採用新規劃的RSA/PassMark的 SiteKey認證機制，結果客服電話大量增加，許多使用者也很排斥這項要人選取圖像的新技術，還有要在使用者電腦中存放cookie來記錄登入資訊。「自從採用Corillian公司的Intelligent認證機制後，最大的衝擊便是大量的客訴電話。」，威斯康辛大學的網際網路主管Eric Bangerter說道。「許多客戶對這套系統如何運作感到好奇，少數用戶對這感到不滿，也不太感謝這套新開發的安全機制。」Corillian的產品追蹤PC的使用資訊，(像是IP位址、ISP、使用來源國家)，來決定使用者是否合法地在合理情況下使用電腦來存取銀行帳戶。這些銀行機構建立線上協助機制來解決客訴問題，並且試著告知增強認證機制的好處。

「普遍來說，客戶並不積極地想建立更強的認證機制。」RSA的安全解決方案副總裁Amir Orad這麼說道。

即時報表能力
有些產品可以即時地產生報表，而有些則利用晚間來進行批次處理。端看使用哪一種產品、想要產生什麼樣的報表、系統如何發送告警訊息、廠商要怎麼為客戶提供24X7的監控服務。Covelight、Bharosa以及RSA的Fraud Action都很適合做即時分析。

「如果偵測機制沒有整合在系統中，那你就得從系統記錄檔中找出異常的詐欺行為」VeriSign的Loftus說道。「所以有多即時就得看你多久處理一次系統紀錄，如果你真的需要做到完全即時，那還是得在應用系統中加入一些機制。」

協防能力與人工智慧

另一個挑戰是，如何將這些詐騙IP位址和相關詐騙站台的資訊，與其他廠商分享，並讓程式接收來保護使用者，這很類似防毒軟體的病毒採樣小組彼此合作來防範病毒擴散。若有這樣的機制，得以讓各大廠商或電子商務處理機構，開發新的對抗方式。

RSA的產品便具備這樣聯合防禦機能，而VeriSign的產品也有相同的機制。「由於我們有龐大的用戶可提供資料庫，因此，60%的詐騙可由網路上直接阻擋。RSA的Orad說到。而另一頭，CheckFree的FraudNet則與分析夥伴Actimize合作，提供在其電子交易網路上的即時詐欺行為分析。

整合是一大挑戰

最後，廠商是否提供足夠安全的認證機制、身分管理機制、詐欺偵測機制，並且將這些進行良好的整合？或者你能否在同一架構中，採用不同廠商的方案呢？這三大廠目前仍在努力地整合旗下的解決方案，像是當他們的詐欺監測產品發現了一個異常狀況，便須回傳給認證系統，再由認證系統發送新的挑戰問題給使用者。看看這些大廠最近併購產品的速度，相信他們仍有很大的努力空間。

而小廠則持續地強化其身分認證系統，並與詐欺監測系統整合。但是發展的目標卻不會再擺在那些大廠所開發的產品線上了。

David St rom是自由作家，是Tom''s Hardware and Network Computing 雜誌的主編及發言人。