林伟杰：汇丰银行在电子商务中的经验分享|互联网安全应急年会

网易科技讯 4月9日消息今日互联网安全应急年会已经进行到第二天的议程。

林伟杰：首先谢谢林先生的介绍，很感谢能有这个机会跟大家分享一下做汇丰银行做电子银行的经验。我的普通话不一定很好，如果大家听的不清楚，随时可以打断我。前三段听的意见，特别是关老师的发言，很多讲了我需要讲的东西，我一会儿主要针对我们过去几年面临的问题和处理的方法，跟大家分享一下。

首先，汇丰银行为什么会关心和特别注重电子银行的风险？因为我们的覆盖面在全球各方面规模比较大，客户量也很大，我们在83个国家有分支机构，一年的营业额达到200多亿美元。网上银行的交易量大概在20%左右，这个量相当大。

汇丰过去几年面对的问题，发展的趋势从最早期很简单的键盘记录一直到屏幕抓捕，到病毒、木马，这些都是过去的，大家对这方面相当熟悉。现在新面临的问题主要是两种，实时钓鱼和中间人攻击，刚才关老师也提到这两方面，一会儿我也会分享这方面的经验。

我们从去年开始，面对的问题可以分为四大类：一是商标侵权和滥用，很多网站把汇丰的资料拷过去，增加他们的可信性；二是新型欺诈形式，有一些用手机WAP网页钓鱼欺诈；三是钓鱼网站的攻击；四是钓鱼邮件，主要是通过把伪装的网域名显示在合法的电子邮件里面。

（图）刚才讲到商标侵权和手机WAP网站的例子，很多网站可以利用我们的产品，我相信主要是看中汇丰这个品牌，去增加他们的可信性。

今天会重点讲一下我们面对最新的钓鱼网站攻击，特别是那种顽固性的钓鱼网站。我不知道这是不是最合适的词，因为准备PowerPoint的时候一直在想怎么翻译这些词。顽固性的钓鱼网站有几点特征：1、系列性攻击，分布在很多僵尸网站；2、全球攻击，我们面对的钓鱼网站攻击不是单一在某一个国家，全球都有，而且很多是在非洲及一些很偏远的国家；3、我们有少量用户也受到一些损失，包括在欧美、香港、加拿大。

其中一个例子，通过钓鱼网站，客户的一些信息，包括名字、联系电话，但还是有一些用户通过泄露电话以后，人家打电话给他，把密码告诉人家，骗子马上就可以通过网上银行进行交易。

（图）这是其中抓捕下来的一个例子，怎么通过钓鱼网站骗取客户的信息。这都是假的网站，通过这些骗取客户的信息。刚才看到的是钓鱼网站怎么获取客户信息的整个过程。

我们的经验，在05年9月开始，这些顽固性钓鱼攻击主要是针对跨国企业。现在统计下来，到目前为止，超过60%是顽固性的，每天发布几十万钓鱼邮件出去。他们的域名一般是第二级的域名，这些域名放在很多不同的国家。在亚太地区，基本每一个月都要处理几百个钓鱼网站，其实我们天天都在用尽各种各样的办法把这些网站停掉。

（图）这个例子是我们现在碰到科技比较先进的一种攻击手法，就是中间人攻击，基本上是利用木马软件在全世界侵入很多电脑，这个电脑的数字是很大量的。中了僵尸软件的电脑，服务器发布大量的钓鱼软件，这些钓鱼软件的域名都是指向这些僵尸电脑，后面一般会有一个或几个隐藏起来的服务器，这个服务器是针对钓鱼网站的内容。过去比较难处理的就是，我们希望停掉这些僵尸网站服务器，但是这个很多，而且分布在很多国家。我们现在的经验是希望用尽办法找到隐藏起来的服务器，这个是最关键的。我们也找到一些例子，通过跟执法部门的合作，这些服务器并不光针对我们一家银行，他们可能已经分好档，不同的档可能是针对我们或其他金融机构的，通过这些钓鱼邮件链接到僵尸电脑里面，会直接从服务器里面把内容拿出来。通过类似刚才那些网站，把客户的信息透露出去。

我们对于网上银行面对的挑战，大家应该很清楚、很熟悉，因为互联网规模越来越大，覆盖面越来越广，很多国家的相关法规和行业标准还需要进一步改善，才能真正打击这些攻击。另外，针对我们银行的攻击，一般技术水平相当高，也很会隐藏，所以难度很大。另外一方面，电子商务的发展很快，因为它毕竟是一个很有效、很快速提供服务的渠道，发展是不断加快的，我们估计风险只会越来越多、越来越高。我们的经验，最关键的还是普遍用户对网上银行安全的认知度要低，我们觉得这是我们银行和所有金融机构重点的工作所在。

汇丰银行从2002年开展了网上银行业务以后，就开始面对各种各样的攻击。我们也受到一些损失，客户的损失就是我们的损失，因为我们要赔偿给客户。05年开始我们决定采用电子密钥Token，我们免费发给每一位用户。出了电子密钥以后，成功的攻击大大减少，现在我们基本上很少有客户受到损失。这是一个成本，相对来讲对我们的名声保护，如果出事以后，需要投入资源去防范、修补、跟踪这些资源，我们觉得现在对我们银行还是相当高的。对员工和用户的培训，我们认为这是工作最重要的一环，我们不断投入资源去持续做这个工作。有一些客户会因为认知不够，比如在电话上透露自己的一次性密码，骗子马上可以在网上登陆做他需要做的事情。针对网上银行，我们在全球建立了专职管理部门，是专门针对网上银行的。我们有24小时不断的监控，比如说网站内容搜索，看看有没有可能侵犯汇丰权利的网站，然后马上采取相应的措施把它们关闭。我们在每一个我们，希望跟相关部门配合，促进那个国家法规、法律和行业标准，希望制定一个好的办法去降低网上交易的风险。这次是我们第一次参与这种场合的会议，对我们来讲，是一个很好跟大家接触的机会，分享大家的经验。

我刚才提到对于客户的交易，其实我们在每一个网站银行里面，都有一个安全信息的功能，如果客户进去的时候，会看到我们对他的建议，应该采取什么手段去保护他们的个人信息。我相信很多网上银行都具有这个功能，最关键还是不断的提示，比如说通过邮件或者发函给客户，让他们注意保护他们的个人信息和密钥。

刚才反复讲到，我们认为唯一最有效的方法就是持续的用户教育，提高客户的认知度。