网路交易盛行 银行消费者均应加强资安

【大纪元7月2日报导】(中央社记者林惠君台北二日电)越来越多民众使用网路银行进行交易，网路银行的资讯安全更形重要，日前台湾行政院金融监督管理委员会修正相关契约范本，将因骇客入侵造成客户财务损失修改由银行负举证责任，使银行负起确保电脑及网路安全义务。不过，防毒软体业者呼吁，使用者本身也应加强防止被入侵。

台湾金管会修正“个人电脑银行业务及网路银行业务服务契约范本”，原契约范本有关第三人盗用账号产生的损害，过去由使用者必须证明银行故意或因重大过失不知第三人盗用账号的事实，才能向银行请求损害赔偿。金管会修改为“除非银行能证明客户有故意或过失者外，银行仍负责任”，将举证责任转由银行负担，使网路银行的使用者更有保障。

台湾目前虽然没有因网路银行诈骗损失金额的统计，不过，根据赛门铁克大中国区个人及小型企业产品事业部经理吕理正指出，网路交易普遍的美国，去年统计在网路遭诈骗的金额高达 1亿美元。由此可见，随着网路的普遍，虚拟诈骗金额也相当惊人。

吕理正指出，台湾的网路使用者对资安的概念仅停留在安装防毒软体上，其实完整的资安设备除基本的防毒，包括防火墙、防止入侵等防护。他指出，就赛门铁克对去年销售者所作的统计显示，只有约三分之一使用者购买全套的防护软体，大部分的使用者都只有购买防毒功能的软体。

虽然金管会修正相关契约范本，加重网路银行对于资安的维护责任，不过，吕理正提醒网路使用者，本身还是要加强资安的防护。

根据赛门铁克日前发布的“全球网路安全威胁报告”指出，金融业是网路威胁的主要目标，攻击模式是以线上诈欺及身份窃取为主流，攻击的方式，在客户端主要是恶意程式码，如木马程式、间谍程式 (spyware)等的攻击，而在服务器端则是主要针对企业客制化的网页程式攻击。

因此，台湾的金融业相较其他产业，资安程度相对较高，银行该如何建构滴水不漏的资讯安全网？赛门铁克技术顾问副理杜俊霖表示，银行本身的防护是需要因应威胁的型式而作多层式的纵深防御，目前主要的弱点环节是网页应用程式的安全，包括程式的逻辑与漏洞。

至于在用户端，杜俊霖指出，木马、钓鱼是目前主要的攻击模式，如何加强银行交易系统本身的交易运作流程安全，并提供安全的交易环境是首要的考量。因此，加强交易沟通管道的安全，提供客户安全的交易环境，及改进身份窃取的弱点，加强认证的方式来降低风险。

对于网路银行的交易安全，除基本防护外，花旗银行在进阶防护上采取的动态密码为首创。花旗银行电子银行处副总裁黄宏杰解释，动态密码意指每次网路银行使用者输入的身份识别 (ID) 与密码，是从萤幕键盘来点选，而且每次萤幕键盘显示的位置也不一样，避免网路使用者如被安装木马程式，其程式会透过实体键盘，以座标式截取使用者在实体键盘上输入的数字或文字。

另外，黄宏杰指出，花旗银行在网路银行有新的程式功能上线之前，都会有第三者进行外部模拟骇客入侵的测试、或半年会进行内部骇客测试。他说，花旗在这方面的成本，每年至少比同业还要高出新台币 100万元。

不过，黄宏杰强调，网路银行安全除业者本身外，客户端的教育也很重要。花旗会透过寄发账单、eDM，教育使用者注重网路银行安全。在花旗银行的首页上也开辟“网路安全防护”的网页，其中“小心诈骗邮件”就是搜集网路银行诈骗邮件范例，提醒使用者勿入陷阱。

黄宏杰表示，花旗的客户甚至被教育到自己会把诈骗邮件发到客服中心，提醒其他人留意。

不过，“道高一尺，魔高一丈”，由于网路银行需负举证责任，因此，防毒软体业者还是提醒金融业，在交易纪录的保存及事件分析的能力上，还是需要有相对应的机制。