赛门铁克：电子银行反欺诈的思考

电子银行业的迅速发展，得益于完善的互联网和电子商务体系。经过了十年的发展，目前我国商业银行的业务的竞争也日趋激烈。网银交易安全性与良好的用户体验，成为吸引用户的关键。

由于网银业务的特殊性，用户和银行都通过一个开放的互联网进行金融交易，并不实际接触，这给网银的安全性带来了新挑战。针对网银攻击也越来越普遍，从初期针对网银服务器直接的攻击已经转向针对防御比较薄弱网银用户的攻击。攻击手段也从简单的设置钓鱼网站窃取客户资料，转换到通过组合各种攻击手段，获取用户的身份与认证信息，再通过网银登录用户帐号，以窃取用户资金账户。

针对网银攻击已经形成一种有组织的网络攻击形式，黑客集团通常会使用多种攻击手段，进行组合使用，来攻击网银系统。主要攻击手段如下：

· 木马攻击：通过特别定制针对网银客户端的木马发起攻击

· 网络钓鱼攻击：注册大量仿冒银行网站，骗取网银客户认证信息

· 黑客攻击：通过某个应用或者操作系统漏洞，达到控制网银客户端的目的

· 中间人攻击：通过某种欺诈方式，在网银用户和网银系统之间形成一个交易中间人系统，任何网银系统交易，都通过中间人完成，并且对中间人透明，用户交易可以被中间人劫持或者修改。

· 行为欺诈攻击：通过网银快速转账功能，实现跨行洗钱/非法转账

近期出现电子银行反欺诈案件主要以网络钓鱼+中间人组合攻击为主，通过社会工程学手段，通过手机短信，仿冒某网银系统发出大量网银令牌升级信息，将用户吸引假冒网银系统钓鱼网站，欺骗用户输入用户名与口令信息，当用户输入正确信息后，利用中间人攻击的方法，冒充用户登录网银，并且实现非法资金划转。

虽然事后该银行力图通过关闭钓鱼网站的方式来避免网银客户继续上当，但是由于钓鱼网站数量多达数百个，无法短时间一一关闭，因此还是造成巨大损失。

赛门铁克电子银行反欺诈方案，希望各个层面监控针对网银的威胁，希望解决电子银行面临的诸多风险。

网上银行反欺诈过程中需要关注不同层面

赛门铁克通过对大量网银攻击案例的调查发现，通常攻击者的攻击过程分成3个阶段

1、 准备阶段：准备和收集网银信息与弱点，准备攻击工具

2、 攻击阶段：发动攻击，并且获取客户信息进行资金窃取

3、 清除痕迹：清除攻击痕迹，并且消灭罪证

针对如上三个网银攻击阶段，赛门铁克提出了有针对性的防御手段，分成如下3个不同的阶段：

· 事前预防阶段

o 攻击者行为：收集网银信息、设置欺诈网站、刺探网银弱点

o 攻击现象：发送垃圾邮件/信息、钓鱼网站出现、客户端异常访问

o 防御重点：钓鱼网站的早期发现、阻止钓鱼网站蔓延

o 防御位置：网银用户端

· 事中防御阶段

o 攻击者行为：通过事前阶段得到获取到用户信息，实施资金窃取

o 攻击现象：大量钓鱼网站/木马出现，用户信息大量失窃

o 防御重点：分辨并且阻止非法交易进行

o 防御位置：网银认证/交易系统

· 事后审计追踪阶段

o 攻击者行为：清除攻击痕迹、销毁攻击记录

o 攻击现象：钓鱼网站快速关闭、注册信息记录被销毁

o 防御重点：保持完整交易记录、追查攻击者来源

o 防御位置：网银交易系统/审计系统

赛门铁克的端对端网银防护方案

赛门铁克认为针对网银的防欺诈过程，需要根据上文提到网银的攻击特点，进行全方位的防御，单独的位置和单独技术手段针对现有的组合欺诈手段都无法奏效。例如试图通过关闭钓鱼网站的服务来解决网银欺诈的问题，就无法解决问题，由于攻击者通过免费的域名服务设置TK域名的网站，开通成本几乎为零，但是关闭该网站的成本为它十倍。而且钓鱼网站通常一段时间后就自行消失，无从关闭。

赛门铁克电子银行交易监控平台能够对网上银行的交易进行全面监控，动态识别欺诈攻击的不同阶段，依据一定的反欺诈监控规则，识别交易的风险级别，动态实施安全措施。对于风险级别较高、可疑欺诈交易，实时给予提示、预警或中止。监控平台可快速部署安全策略，及时更新可疑IP地址、可疑账户等数据，得到全面提升网银安全性的目的。

赛门铁克提供网银反欺诈解决方案，将在以下四个不同的位置进行欺诈防御：

· 网银用户客户端：

· 通过赛门铁克端点工具，阻隔已知或者未知钓鱼网站链接/与木马

· 即使发布可疑钓鱼网站信息到客户端

· 互联网网站互信

· 通过VeriSign根证书，明确网站的安全性身份

· 网银客户端访问该网站会有明确提示。

· 网银用户认证系统

· 通过多因素认证系统，确认用户身份

· 通过和用户历史登录规律比对，发现用户登录异常

· 网银交易转账系统

a. 通过对网银交易和登录记录进行自动学习，了解用户行为特征

b. 对于与用户历史操作不符合的操作进行提示，通过人工或者短信方式介入用户确认，达到阻止欺诈交易的目的

此外赛门铁克拥有全球最大的智能监控网络，能实时捕获网络的异常情况，包括垃圾邮件，木马和欺诈的情况，将这些有害的攻击者信息进行统一，并且发布给赛门铁克各个防御组件，实现有效的统一防御的目的。

本文转载自企业级IT信息服务平台-网界网-CNW.com.cn

原文地址：http://www.cnw.com.cn/security-websecurity/htm2011/20110905_233281.shtml

未经允许不得转载：DOIT » 赛门铁克：电子银行反欺诈的思考