随着钓鱼、域欺诈和键盘记录等威胁越来越严重,如何确保网上银行的安全受到了整个银行业的广泛关注。在2005年10月发布FFIEC指南之前,总部位于盐湖城的美国Zions银行就认识到银行必须应对这些威胁,并为向网上银行用户提供强认证。
2005年5月,Zions银行根据下列因素评估了多种解决方案:
安全性:除了在用户登录时进行身份认证,Zions银行还希望给用户提供交易级别的保护。随着木马和中间人攻击等高级威胁的出现,还必须能够有一定的弹性抵御能力。
成本:Zions银行考虑了一系列直接和间接成本,包括采购、许可证、维护与管理、集成以及推出等成本。
可用性:习惯于标准的用户名/密码认证方式的网上银行用户可能会受到额外安全机制的影响。因此,Zions银行评估了解决方案对终端用户的影响情况。
便携性:进行不同活动的不同客户需要不同的安全水平。由于用户行为各异,解决方案需要很灵活——能够认证使用不同的计算机、操作系统和平台(CP、PDA等)的用户。
跨通道保护:Zions的用户通过多种通道获得银行服务,包括互联网、语音应答单元(VRU)和呼叫中心。
厂商稳定性:Zions银行认为解决方案提供商的财务状况必须很好,以确保在长时间内获得支持。
经过广泛的调查和内部风险评估之后,Zions认为分层安全最适合其业务,以及客户的需要。然而,单一的技术或应用是不够的,因此他们决定选择‘三叉戟’式的方法。
1. 基于风险的身份认证,可以透明地监测在线活动以发现并阻止欺诈
2. 站点到用户身份认证,用以提高客户信息
3. 反钓鱼服务,监测并关闭钓鱼攻击
Zions最终选择了RSA的集成解决方案:RSA Web适应性认证与RSA FraudActionSM实现了分层的网上交易。
通过透明地监测在线活动,并根据交易或活动出现欺诈的可能性分配一个风险值,RSA Web适应性认证为Zions的网上银行用户提供后台安全。此外,Web适应性认证提供站点到用户功能,进一步提高用户的信心。通过在用户登录时显示个性化的安全图片和语句,他们可以确保正在登录的网站是Zions银行的合法网站,而不是欺诈网站。
RSA FraudAction是一种反钓鱼/反域欺诈服务,特别为金融机构抵御攻击而设计。利用RSA反欺诈指挥中心的分析师丰富的经验,每周7天,每天24小时监测在线欺诈,及时提醒潜在的攻击并阻止已经确认的钓鱼网站。通过使用FraudAction服务,Zions可以主动地保护其客户并阻止未来的欺诈尝试。
新解决方案推出35天后,Zions银行的登记率上升的70%,预期的呼叫中心咨询电话大幅增加也没有出现,由此节约了数万美元。虽然有用户抱怨在标准的用户名/密码登录之外需要做更多的事情,但反馈表明绝大多数用户非常满意网上交易的安全性更高了。
