網路安全廠商Safenet今(22)日指出，全球金融服務產業所遭遇之共同資安問題，以網路銀行使用的網路釣魚(Phishing)、網路詐欺(Fraud)為主要事件，再者，則是提供線上交易服務之各式企業自家資料庫常容易遭受駭客攻擊，以竊取其用戶交易資料，如信用卡號碼、身份證字號等。

隨國人網路使用行為漸深，相關網路犯罪事件也急遽增加中，國內警政署刑事警察局偵九隊隊長李相臣便曾指出，包括網路詐騙、色情視訊、網路拍賣的截標行為等網路犯罪事件，在國內網路應用環境中屢屢發生，值得注意的是，國內遭植入傀儡程式之個人電腦數量與日俱增，據粗略估計，至少已有三分之一以上個人電腦遭植入傀儡程式，擴大傀儡網路(bot network)規模範圍。

bot網路主要被用來發動阻斷服務攻擊(Denial of Service, DoS)，也常被用來發送垃圾郵件、傳播惡意程式碼、進行線上調查等大規模地竊取用戶的個人資料之行為。使用者電腦遭植入傀儡程式後，除將導致使用者本身機密資料流失、網路交易行為遭監視外，並恐因此遭駭客利用以針對各式電子商務網站發動相關攻擊行為，例如發動分散式阻斷服務(DDoS)攻擊以癱瘓某電子商務網站藉以勒索錢財等。

近來國內已有包括旅遊網站、人力銀行、網路銀行等電子交易網站遭受相關攻擊手法，或遭潛入竊取重要資料，如用戶名單等。

Safenet全球市場開發總監Robert Skip Norton表示，建立雙因素認證機制(Two Factor Authentication)將是主要解套方案。再者，提供電子商務服務之商家建立起端對端(end to end)加密機制，則可進一步防範資料遭竊事件。

雙因素認證(Two-factor authentication)機制是指，除使用者一般常用之登入密碼外，再新增第二層認證機制，例如加入晶片卡、USB Token（令牌）、PKI（公鑰基礎建設），乃至於透過生物辨識技術，以執行第二道登入認證。

Robert Skip Norton說，在雙因素認證機制下，儘管駭客透過網路釣魚、詐欺等方式取得使用者第一道登入密碼，也將因難以取得第二道認證機制而無法為惡。

包括VISA、MasterCard等跨國性信用卡服務集團，皆積極推動雙因素認證機制，稱之為網路交易認證服務(3-D Secure)。

在3-D Secure交易架構中，持卡人必須先完成註冊手續，向已建置3-D secure機制的發卡銀行取得個人密碼，註冊後，在經Visa驗證或MasterCard SecureCode的網路商家購物時，系統便會識別使用者的支付工具，並要求輸入密碼，同時核對持卡人的身份以確保交易的安全性，以多重安全認證機制強 化網路交易的安全性，並提升持卡人網路交易的意願。

由於該認證機制將主要經由發卡中心進行認證，電子商店將無法得知認證過程，可確保使用者資料隱私，且商家亦無須承擔盜刷、與交易否認等爭議糾紛等交易風險。

News from: Taiwan.CNET.com