手机银行以及其他金融服务的出现使用户能够联网支付帐单、查询帐户、转帐甚至进行股票交易。大多数手机银行服务都是通过短信、手机网页和下载到智能手机中的应用程序进行的。调查公司TowerGroup预测,到2012年,通过手机使用各种银行业务的人数将会达到一亿八千万。
众所周知,手机银行服务快速、便捷,而且发展迅速。但问题是:提供金融服务的公司能抵御手机银行带来的风险吗?这些风险很多与传统的网上银行存在的风险相似,比如网络钓鱼和间谍软件攻击,而与网上银行不同的风险则包括用户手机被盗等。
金融服务公司能否保证手机银行的数据安全,这是一个仁者见仁,智者见智的问题。美国Gartner咨询公司的副总裁兼知名分析师Avivah Litan表示:“银行和金融服务公司的安全部门的发展赶不上安全领域的发展。因为很多安全问题和欺诈检测技术并不适用于手机。”
Litan还表示:“其中包括一些用于个人电脑浏览器的反欺诈方法,如地理定位、个人电脑指纹系统(通常用于操作系统和浏览器)等等。把这些方法共同应用起来就能使认证用户安全地进行交易。但是,目前手机银行只能通过用户名和密码来进行安全保障。”
不久前发生的花旗银行事件就是手机银行存在风险的一个例子:花旗银行透露,其用于美国地区的免费手机银行应用软件意外地将用户账号和其他一些敏感信息储存在用户手机上,最后花旗银行通过升级该应用软件才解决了这个问题。
谨慎部署以规避手机银行的风险
金融服务公司表示,由于手机平台的开发相对不够成熟,他们将采取适当的措施来保证用户以及帐户数据的安全。多数银行都谨慎地选择其所开通的服务。
Wells Fargo银行互联网服务部主管网上欺诈防范和授权认证的执行副总裁Teddy De Rivera表示:“只有当我们能够很好的应对潜在风险时,银行才会开通这项服务。”这就是为什么人们现在可以在移动设备上支付已有账单,但不能在智能手机上设置新收款人的原因。Rivera补充到:“不法分子会伪装成收款人,除非用户举报,否则很难逮捕他们。”
保障的主管Todd Inskeep表示:“我们谨慎地选择能够使用手机银行的交互客户。这不仅是一个安全问题,也是一个客户选择的经验性问题。”
美洲银行的客户对SiteKey这个手机安全控制应用程序应该很熟悉。Inskeep表示:“SiteKey是一个附加的双因素认证,用于确保让用户知道当通过手机获得账户信息时,他们是在与银行打交道。”
欺诈检测和安全应用程序的发展
在手机银行服务中,银行也采用了其他的安全控制方法来区分欺诈交易。Rivera解释道:“我们通过观察客户的交易记录来检测非正常交易。银行会根据该交易发生的时间与客户通常的消费时间间隔是否相同来给所有的交易评分。”
其他的防范措施还包括:不在手机上储存敏感的财务和账户信息,将储存在手机上的交易消息和数据进行加密,以及加强应用于移动设备的安全软件的开发。
美洲银行高级副总裁兼手机客户主管Marc Warshawsky表示:“我们提供的可供手机用户下载的应用程序都经过了大量的测试,当黑客入侵时这些软件可保证客户账户的保密性和安全性。”
即使银行做出了种种努力,不久前的花旗银行应用程序的失误和过去几十年来电子商务的发展历程都告诉我们,任何新的销售模式或者服务通道都会遇到一些问题,但由于手机用户数量众多,互联网接入途径广泛,手机银行面临着更多安全方面的挑战。
Litan表示:“智能手机的发展带来的挑战是:银行不能期望所有的客户都使用最新、最好的手机操作系统。银行以后需要开发出普遍适用的应用软件,因为目前的手机安全技术不能满足所有的手机用户。”