盜取數據的銀行和零售業

文章來源 | thenewyorktimes

作者 | Stacy Cowley

編譯 | Kristen

當你瀏覽一個頁面時，滑鼠游標突然消失了，也許是出現了故障，也有可能是網站精心設計的測試來收集你的用戶習慣。

事實上，用戶敲打電子顯示屏、鍵盤的習慣和指紋、面部特徵一樣獨一無二。而現在為了防止詐騙的發生，越來越多的銀行和商家開始追蹤用戶使用網頁和APP的習慣。

有些銀行和商家只是為了避免自動式襲擊和可疑交易，其餘一部分則深謀遠慮旨在通過收集成千上萬用戶的觸摸或敲打設備的習慣來收集用戶信息。

這種收集數據的方式是不可見的。通過消費者手機里的感測器和網頁的上的編碼，商家和銀行可以收集數以千計的數據點——「生物行為特徵「，來辨明屏幕前的消費者是否是賬戶真正的主人。

對於安全機構來講，這項生物行為識別科技是強有力的保障。近期數據竊取事件頻頻發生，網路盜竊獲得了數十億密碼和大量用戶敏感信息，可能會對消費者銀行賬戶造成風險。

ThreatMetrix創始人表示，身份識別是數字貨幣最後一道防火牆，而現在身份識別正在以工業化的規模來武裝公司，很多商家都在使用或測試「生物行為特徵」工具。

隱私機構認為，生物識別工具可以收集用戶敲打鍵盤和電子屏的習慣，這損害了消費者隱私，存在一定風險。Electronic Frontier Foundation律師Jennifer Lynch表示，根據科技行業內的經驗，一旦公司擁有了消費者的信息，他們一定會根據這些數據找到一些盈利點。「防欺詐和獲取私人信息只是一念之間」， Jennifer Lynch說到。

The Royal Bank of Scotland是為數不多公開討論生物行為識別信息的銀行之一，The Royal Bank of Scotland於兩年前為存款較多的客戶在私人銀行賬戶上測試這項技術，而現在，該銀行將這項技術應用到1870萬商家和零售商賬戶上。

當客戶登錄蘇格蘭皇家銀行賬戶時，軟體便開始紀錄超過2000個不同的消費者互動姿勢。在移動端，軟體將測量客戶拿手機時的角度，用哪個手指滑動頁面，手指按壓電子顯示屏的力度和滑動頁面的速度。在電腦端，軟體將記錄客戶敲打鍵盤時的頻率和滑動滑鼠時的方式。

蘇格蘭皇家銀行使用的軟體由紐約公司BioCatch開發。BioCatch根據每個用戶的姿勢創建了一個文件，同消費者每次使用時的生物行為習慣相比較。BioCatch聲稱，識別出莫名頂替者的概率為99%。

在幾個月之前，該軟體捕捉到一個消費者賬戶里發生了不尋常的信號。在訪問者登錄銀行賬號後，訪問者以一種軟體沒有記錄過的方式滑動滑鼠，敲打鍵盤的頻率與以往不同。隨後警報響起，銀行系統凍結賬戶。經調查，該消費者的賬戶被黑客入侵，黑客打算竊取七位數的資金。銀行相關負責人Kevin Hanley表示，該軟體可以實時監控，隨時發生警報杜絕入侵事件發生。

當然，生物行為特徵並不是一成不變的，當人們疲勞時、喝醉了、傷心時，躺在床上、在辦公室里，行為習慣是不會完全一樣的。

雖然行為監控軟體基於數千元素來概率性的判定屏幕前的那個人是否是賬戶真正的主人，但是廉價的計算機能力和智能手機感測器的精密性推動該軟體的普及。

Hanley表示，該系統不那麼引人注目，才是其亮點所在。傳統的物理生物識別如指紋和虹膜都需要消費者經過特殊步驟來驗證身份。但在生物行為識別系統里，消費者只需要和往常一樣動一動滑鼠或滑動電子屏幕就可以輕鬆識別身份。

BioCatch嘗試添加一些功能增加識別概率和速度，例如讓消費者在手機上錄入日期和時間等數據，或讓滑鼠廣告短暫消失一下。BioCatch首席策略官Frances Zelazny表示，面對同一種情況，每個人的反應都是不同的，有的人把滑鼠左右移動、有的上下移動，有的直接砸鍵盤了，這讓入侵者很難偽造。由於不需要把輸入密碼或把手指放在指紋識別器上，消費者根本就不知道什麼時候自己的行為習慣被收集或被測試了。

BehavioSec CEO Neil Costigan表示，用戶只需要像往常一樣登錄銀行賬戶就行。

很多企業認為收集用戶行為習慣「簡單易操作」，而隱私擁躉則稱其「危險」。

生物識別系統也可以檢測用戶的身體狀況，如果用戶一隻手發生了前所未有的抖動，那麼用戶的醫療保險公司就該擔心了。

World Privacy Forum CEO Pam Dixon表示，通常用戶數據都有一定保護措施，但根據用戶行為習慣收集的數據卻沒有，公司很有可能濫用數據。

在大部分國家裡，美國法律針對生物行為數據的收集或使用。即使是GDPR也沒有這方面的規定，最新成立的加利福尼亞數字隱私法案規定公司不能收集用戶行為信息，但該法案2020年才生效。

商家和銀行會存儲用戶生物行為數據，但是在大多數情況下，他們對外部供應商分享這部分數據，這一定程度上加大了風險。

BioCatch現在擁有7000萬數據並且每月管理60億次交易，American Express也在新賬戶上開始使用這項技術。

據悉BioCatch的競爭對手掌握的用戶數據量更大，負責銷售線上欺詐檢測軟體的紐約創業公司Forter將生物行為識別技術銷售給大型零售商，其資料庫記錄了超過180個國家1.75億人口數據。另一位競爭對手NuData去年剛被 Mastercard收購。

越來越多的技術供應商，如監管下的創業公司到巨頭IBM，都將銷售給零售商和銀行的安全系統中植入生物行為識別技術。

該技術可以在沒有個消費者個人數據的情況下反欺詐。例如，當用戶申請一個新賬戶時，生物行為識別系統就會悄悄記錄用戶滑動滑鼠、敲打鍵盤或活動電子顯示屏時的習慣。申請人通常都會流暢的點擊姓名、地址、社會安全賬號，雖然偶爾會出現失誤，但騙子通常會剪切或粘貼或通過查閱私人信息來確定正確的密碼。

Mastercard副總裁Ryan Wilk表示，雖然這看起來像一個科幻小說，但這項技術確實廣泛的應用在大型科技公司和金融業。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！