觀點

向網路詐騙say no!

2007 / 05 / 14
DAVID STROM
向網路詐騙say no!

越來越多狡詐的網路釣魚及詐欺手法,來得真不是時候。

「這些網路詐欺的技術越來越熟練了。」LeeCarter說道。他是一家位於鹽湖城的網路銀行Zion的總裁。「以往要抓出這些手法還算容易,因為這些詐欺郵件通常粗製濫造,用句或文法錯誤。但是現在,這些偽造的信件越來越真實,容易讓人誤信,而且他們會模仿目標的口吻來撰寫偽造內容。」

已有數十家廠商踏進這塊領域,提供各種技術,其中包含一些創新想法,像是利用即時對買家的回撥電話進行確認。還有一些技術,能讓鍵盤側錄程式更難截取使用者的姓名、密碼與銀行帳號。

在這領域的三大廠分別為VeriSign、RSA Security(EMC)及Entrust。目前這些廠商的產品,都符合「聯邦金融機構檢查委員會」(FFIEC, Federal Financial Institutions Examination Council)所訂定的方針,而這些產品,也可應用在非金融機構的電子商務上。除了這三大廠商外,其他小廠也都有自己特有的產品,可滿足FFIEC指導方針或電子商務應用上。
該怎麼選擇符合自己需求的產品?並不是一件簡單的事,這些廠商的網站上大多介紹這些應用的架構願景,較少著墨在產品資訊,遑論產品價格的細節。我們採訪了數家廠商,並與使用者溝通,提出一些參考建議,讓您可以依據企業的需求來選擇所需要的解決方案。

反詐欺問題並不簡單
FFIEC指導方針特別明確地建議,金融機構要為轉帳、與任何客戶身分、帳戶資料之存取行為,建立起強健的認證機制與詐欺偵測機制。由於金融交易隨時都在進行,因此需要具備即時的偵測與預防機制。如果沒有這樣,當事後發現詐欺行為後,銀行並無法阻止一個鑽石耳環或是高檔電視的出貨。

「值得慶幸地,實體商品並不像金錢轉帳一樣地即時,因此電子商務網站還可利用事後偵測機制,而不需像銀行一般需利用客服人力的支援,還得在交易過程中隨時注意是否有任何詐騙行為。」反詐欺產品廠商Cydelity CEO,Bob Ciccone說道。
較讓人頭痛的是,新的認證機制還未能普及到使用者身上。「目前視網膜掃描、指紋辨識等生物認證技術,人們對它的期待就像電視影集「24反恐任務」一樣,但是事實卻未必如此。」,產業分析機構「451group」的資深分析師,Nick Selby說道。這些技術目前尚未廣泛地應用在市場上。

「E*Trade目前使用RSA公司的SecureID技術,來保護其白金會員的交易安全。值得注意的是,這種應用其實是為了開闢市場,而非必要的安全預算」,Selby說道。「如果你用了鎖來保護客戶的帳戶,客戶會覺得比較安全。但是對每一個用戶都配發這些硬體的Token裝置,實在是不切實際而且昂貴。」

FFIEC所制定的方針與相關文件都是為了增加網路銀行的安全性,並增加網路釣客與身分竊賊的困難度,過去幾個月,這些銀行或是商行所採用的技術,也讓那些重視網路詐欺的電子商務公司獲得了許多寶貴的參考價值。


尋找適當的解決方案
我們評估了一些目前銀行所採用的新技術。也深入了解三大廠商所提供的解決方案,有的銀行採用部份技術,而有些採用他們的整體方案,來建立詐欺偵測機制。

由於產品價格分布極廣,以及一些客製化因素,我們暫時先不討論價格。另外,第三方電子商務前端付款處理機制這邊也不予以評估,事實上許多電子商務交易公司像是2Checkout.com與CheckFree,也使用了許多本文所提的解決方案。

本文點出了面對網路詐欺的重要問題,可提供給想使用這些方案的公司作為參考。

用戶端程式的安裝

有些產品需要在主機上安裝特定的用戶端程式(client software)、cookies、flash物件,而有些產品則不需這麼麻煩(稱作Zero touch)。看起來好像無關緊要,但公司沒辦法預料用戶端電腦會有什麼限制,客戶有可能擋掉部份用戶程式或是隨時會更改電腦設定。
有些廠商能讓企業選擇自己適合的方案,因為這些企業對於用戶端程式有自己一套政策規範。用戶端程式的安裝與否其實有好有壞,不需安裝用戶端程式(clientless)的方案需要較多時間來確認詐欺主機。在用戶端主機上利用cookie或是瀏覽器物件(像是ActiveX或JavaScript)之類的技術在用戶端主機儲存一些資訊,可以更容易地確認客戶使用該主機的情況與電子商務交易行為。也能讓網站管理者蒐集相關濫用該主機的行為。但如果使用者將自己電腦上的cookie或是ActiveX關閉,就無法使用這類方案了。

多數小廠偏向使用clientless的方案,而三大廠則是兩種方案都提供給用戶選擇。「我們有完全不需安裝用戶端程式的解決方案,用戶在維護上較為方便,也減低支援的負擔,」VeriSign產品主任Kerry Loftus說道。

目前所有偵測詐欺產品,都利用個人每筆交易之常用習慣與特徵來進行分析,像是在每天的特定時間、每周的特定日期,用戶利用使用特定IP位置、特定ISP、特定地點、特定瀏覽器來進行交易的這類特徵資訊。當然也會考量那些有時在家或是辦公室進行交易的用戶行為,將這些例外記錄在使用者的特殊需求。這些詐欺偵測機制可以蒐集這些行為,並找出潛在的異常,像是某個使用者從別的國家登入或突然改變了瀏覽器的版本。

是否會改變現有架構

根據現有的環境架構,用戶需考量,如果增加這些防詐欺機制是否會改變現有交易流程、電子商務伺服器是否支援。像是有些產品在主機上不需任何用戶端程式以及或儲存cookie資訊、而有些產品可直接套用在產品線中,不需修改產品流程與相關電子商務程式碼。通常,希望能夠快速上手的企業都不希望動到他們的伺服器。

舉例來說,Covel ight Sys tems、Ent rus t與Cydelity的產品,可放置在DMZ區,擷取伺服器流量並且進行分析。

「你只需要在span port中將流量導出來,或是使用實體的network tap。不需要寫程式,也不需在任何應用程式上進行修改。」Covelight公司的CTO,Garth Somerville說道。

其它如Corillian公司和RSA公司的Adaptive Authentication,則是需要在線上應用系統上,插入JavaScript或是.NET程式碼,連上詐欺主機或是認證系統。


偵測能力
針對詐欺行為偵測的能力,我們的評鑑結果大致分為兩類,「良好」與「優良」。這些產品是否真的能判別出哪一筆是詐欺的交易行為,還是僅是阻擋掉那些來自可疑主機的登入行為?舉例來說,網路釣客偷取用戶到銀行的帳戶登入資料是有跡可循的,首先他們會偽造一份電子商務網站的網頁,將其放置在一個受駭主機上,接著他們會蒐集email清單,然後大量發送釣魚信件,最後那些不小心的用戶點選了釣魚信件的連結,便引導他們到受駭主機上的假電子商務網站。

Corillian公司的產品,便可偵測出這類釣魚信件,卻不需在用戶端架設任何硬體設備,而其他家的產品則需要在用戶伺服器的內部網路中來蒐集相關資訊。Corillian在Internet接取點處放置監控裝置,並且檢查是否有類似大量發信的惡意釣魚信件行為。接著會警告用戶這可能是一個釣魚網站的攻擊行為,並且阻擋對該受駭主機的存取,避免使用者意外地去連結。

「我們藉由追蹤相關惡意行為,像是複製整個網站頁面等其他細節,因此我們可以抓到那些還在線上的釣魚網站。」Corillian的CSO,Greg Hughes說道。「在網路釣客發送出釣魚信件之前,我們便抓到它們。」

強化的身分認證方式

有些產品則使用被動分析的方式。當偵測到異常,再將告警資訊送到中央監控系統上。這三家大廠併購了不少公司,因此這方面也有許多解決方案。「在一系統平台上,我們可以提供各種認證方式。」Entrust公司的CTO,Chris Boyce說道。Entrust公司去年買下Business Signatures,而RSA公司則併購了PassMark Security和Cyota。
像是Passmark這類技術是設計在使用者登入之前,利用更多的個人資訊或流程來進行驗證,像詢問使用者事先設定好的問題,其他像是Corillian公司的Intelligent Authentication、VeriSign公司的VIP FraudDetection,可以回撥至使用者的家裡或行動電話,要求輸入PIN碼之後才能繼續驗證。Bharosa則是使用了JavaScript技術,利用螢幕小鍵盤(Image map)的方式來阻絕鍵盤側錄程式。

越是複雜的認證方式,客服中心所接到客戶電話就越多。廠商經常愛舉Bank of America的例子,那時他們大量更新設備,採用新規劃的RSA/PassMark的 SiteKey認證機制,結果客服電話大量增加,許多使用者也很排斥這項要人選取圖像的新技術,還有要在使用者電腦中存放cookie來記錄登入資訊。「自從採用Corillian公司的Intelligent認證機制後,最大的衝擊便是大量的客訴電話。」,威斯康辛大學的網際網路主管Eric Bangerter說道。「許多客戶對這套系統如何運作感到好奇,少數用戶對這感到不滿,也不太感謝這套新開發的安全機制。」Corillian的產品追蹤PC的使用資訊,(像是IP位址、ISP、使用來源國家),來決定使用者是否合法地在合理情況下使用電腦來存取銀行帳戶。這些銀行機構建立線上協助機制來解決客訴問題,並且試著告知增強認證機制的好處。

「普遍來說,客戶並不積極地想建立更強的認證機制。」RSA的安全解決方案副總裁Amir Orad這麼說道。

即時報表能力
有些產品可以即時地產生報表,而有些則利用晚間來進行批次處理。端看使用哪一種產品、想要產生什麼樣的報表、系統如何發送告警訊息、廠商要怎麼為客戶提供24X7的監控服務。Covelight、Bharosa以及RSA的Fraud Action都很適合做即時分析。

「如果偵測機制沒有整合在系統中,那你就得從系統記錄檔中找出異常的詐欺行為」VeriSign的Loftus說道。「所以有多即時就得看你多久處理一次系統紀錄,如果你真的需要做到完全即時,那還是得在應用系統中加入一些機制。」

協防能力與人工智慧

另一個挑戰是,如何將這些詐騙IP位址和相關詐騙站台的資訊,與其他廠商分享,並讓程式接收來保護使用者,這很類似防毒軟體的病毒採樣小組彼此合作來防範病毒擴散。若有這樣的機制,得以讓各大廠商或電子商務處理機構,開發新的對抗方式。

RSA的產品便具備這樣聯合防禦機能,而VeriSign的產品也有相同的機制。「由於我們有龐大的用戶可提供資料庫,因此,60%的詐騙可由網路上直接阻擋。RSA的Orad說到。而另一頭,CheckFree的FraudNet則與分析夥伴Actimize合作,提供在其電子交易網路上的即時詐欺行為分析。

整合是一大挑戰

最後,廠商是否提供足夠安全的認證機制、身分管理機制、詐欺偵測機制,並且將這些進行良好的整合?或者你能否在同一架構中,採用不同廠商的方案呢?這三大廠目前仍在努力地整合旗下的解決方案,像是當他們的詐欺監測產品發現了一個異常狀況,便須回傳給認證系統,再由認證系統發送新的挑戰問題給使用者。看看這些大廠最近併購產品的速度,相信他們仍有很大的努力空間。

而小廠則持續地強化其身分認證系統,並與詐欺監測系統整合。但是發展的目標卻不會再擺在那些大廠所開發的產品線上了。

David St rom是自由作家,是Tom''s Hardware and Network Computing 雜誌的主編及發言人。