文/苏玉梅 陈海强 李朝光 李连三
现代银行业服务客户的方式正在日益丰富。当我们在银行开立一张银行卡以后,除传统的营业网点柜台以外,还可以通过网上银行、ATM自助设备、电话银行、POS机、网上支付、手机银行等各种新兴的服务渠道,进行账户的查询、资金转账等各项操作。这些服务渠道构成了一个分布各地且正在迅速扩张的巨大网络。从某种意义上说,银行业的服务终端有多少个,可以接触到账户及资金的触角便有多少个。各种渠道如同通往银行账户的无数扇门窗,只要打开这些门窗就可方便取用钱款,而开启这些门窗的钥匙,就是账号、密码等信息。
相对于网点柜台,网络银行不受时间、空间限制,为客户带来了方便与快捷,同时却也频频成为犯罪分子实施犯罪的工具。犯罪分子只要获得了银行账号和交易密码,甚至有时只要获得了银行卡的账户信息,就几乎等同于获得了相应的资产。正是在这样的利益驱动下,犯罪分子千方百计、不择手段地取得客户账号及密码,目的就是盗取银行账户信息背后的客户和银行的资金。
和传统案件不同的是,目前很多钱款被盗后受害人往往目瞪口呆,银行卡就在自己的钱包里,但是卡里的钱又是如何不翼而飞的呢?以下,我们以银行专业人士的角度,向读者进行解密,以协助大家提高防范意识。
读者小测试
银行卡的各种服务功能,有些是自动开通的,有些是营销活动中免费赠送开通的,有些是客户亲临柜台申请才能办理开通的。您知道您的银行卡已经开通了哪些功能渠道么?
(图/CFP)
电信诈骗
2007年11月,受害人刘某向深圳公安机关报案称,某公司以低息贷款为诱饵,鼓动其在某银行东莞分行开设账户并存入保证金,随后其账户内的170万元被转入深圳市某银行账户后被盗走。经查,该犯罪团伙的作案手法如下:首先以帮助办理低息贷款为诱饵,采取随机拨打电话或群发短信的方式联系事主,留下某公司的联系方式。在获得事主的认可后,冒充银行工作人员利用网上虚拟的银行电话(与银行在官网上公布的业务电话一致)骗取事主的资料,鼓动事主开立一个可办理转账业务的银行账户,并指定捆绑账户。当事主将保证金存入后,犯罪嫌疑人通过网上虚拟的银行电话欺骗事主按提示音输入账户和密码查询贷款是否到账,期间通过解码器窃取事主的账号、密码等信息,将事主账户内的资金转移到捆绑账户中,再转移到其他账户盗走。
解析犯罪手法:以低息贷款为诱饵,假冒银行电话及银行工作人员,通过解码器窃取账户卡号、密码。
犯罪手段
1 诱骗
2猜测
3病毒
关注:此案例由多个骗局衔接而成,第一个步骤是电信诈骗。
警示:来电号码也可能被假冒。电话按键音也可被破解。
内鬼盗金
2011年上半年,全国各地银行上报案件确认信息50件,发生在网银、ATM机和银行卡的案件有八件。这其中涉案金额最大的一起为某银行太原分行网银盗划个人客户资金案,涉案金额4377万元。该案主要外部犯罪嫌疑人以高息为诱饵,要求客户在银行开立账户存入款项,并在约定期限内不查询、不支取、不抵押、不担保,然后利用“熟人”关系指使银行员工违规操作,开通客户网银转账功能,最后通过网银将客户款项划走。
解析犯罪手法:以高息存款为诱饵,利用“熟人”关系偷开网银,从网银转账盗划资金。
关注:此案例涉及银行员工违规操作。
警示:客户切忌银行账户脱离自己的控制。
傻瓜密码
2010年,犯罪嫌疑人朱某等三人通过“百度贴吧”等网络渠道,获取大量车主身份信息,从中梳理出高档汽车车主的身份证号码信息。再将这些身份证号码信息通过“QQ”聊天工具交给一名网友,由其帮助查出身份证号码名下的所有银行卡信息。而后朱某等人使用卡主的出生年月等信息测试出部分银行卡密码,再行登录相关网银系统,将银行卡短信提醒的消费限额从200元修改为1000万元。随后朱某等人雇人在网上发布“超低价格代缴电信、移动等通讯费”的广告,通过某付费平台输入银行卡卡号和密码,为客户代缴电信、移动等公用事业费,再按事先约定的折扣向客户收取费用,从而实现盗划银行卡资金的目的。该案中,由于犯罪嫌疑人修改了短信提醒限额条件,致使一名受害人银行卡内230余万元被盗划都未能及时发现。
解析犯罪手法:从车主信息获取身份证号码,通过网上中间人查询受害人银行账号,利用个人信息测出账号密码,通过公共付费平台套取巨额资金。
关注:1.公共网络平台也为犯罪分子传播犯罪手法,买卖作案工具、公民身份信息、银行账号信息等,提供了便利。2.银行客户信息安全管理可能存在漏洞。
警示:1.客户切忌使用生日等简单关联信息作为银行账户密码。2.银行应从源头切实做好客户信息的保护工作。
木马吸金
2006年9月,国内某商业银行发生客户银行卡存款被盗事件,涉案金额9万多元。上海公安机关经过调查发现,这是一个利用互联网犯罪的犯罪集团所为。该犯罪集团涉及中国台湾和中国大陆多名犯罪分子,其中台湾犯罪分子是核心人员。他们将“木马”计算机病毒程序植入受害人计算机,窃取受害人银行卡和身份信息等资料。大陆犯罪分子在福建等地利用假身份证件开立二百八十多张银行卡账户。台湾犯罪分子利用网上银行将受害人资金划到开好的银行卡账户上。两地犯罪分子在福建和台湾的商贸边境完成分赃。
解析犯罪手法:犯罪集团跨境合作,利用“木马”窃取银行账户信息盗取资金,假身份证开户巧妙销赃。
关注:犯罪集团作案,跨境分工合作。
警示:1.客户要做好电脑的杀毒防毒操作。2.银行应严格做好账户开户时的身份验证工作。
肉鸡中招
2007年3月,上海市民蔡某在某银行开户的两张信用卡内的16.6万余元人民币不翼而飞,蔡某随后报案。银行转账记录显示,被害人两张信用卡内的16.6万余元资金被分11次转入云南昆明一银行活期存折内。在掌握关键证据后,上海公安机关民警前往昆明,在一居民小区内抓获犯罪嫌疑人白某和葛某。在审讯中,犯罪嫌疑人白某交代了作案手法。首先,他通过自己在淘宝网站的店铺向顾客以发送照片的名义,将自己已经编写好的“木马”病毒附带在照片上发送至被害人的电脑里,被害人在点击图片后,“木马”病毒自动运行。犯罪分子通过远程控制被害人的电脑(俗称“肉鸡”),获取被害人电脑内网上银行的数字证书。当被害人输入卡号及密码进入网上银行时,犯罪分子就可以利用“木马”病毒看到持卡人的卡号和密码,之后以被害人的名义通过网上银行划转银行卡内资金。在犯罪嫌疑人的电脑里,侦查人员还发现了其他银行的数字证书二十多个,只是犯罪分还未使用其实施犯罪行为。
钓鱼欺诈
2010年11月至2011年1月,国内某大型银行发现犯罪分子假冒其网站即通过钓鱼网站进行网银欺诈的案件。经核实假冒网站达二百四十多个,发生由假冒网站致客户损失的网银欺诈案件超过200起,涉案累计金额超过3000万元。作案手法大多为:犯罪分子使用软件自动复制该银行门户网站及网银首页页面,并在境内外(境外占90%)注册拼写类似的域名,然后通过普通手机号假冒中国银行名义群发短信,以网银系统升级或动态口令牌过期需要更换为由,诱骗客户登录假冒的网站和网银,在盗取客户网银用户名、密码和动态口令后,随即立刻盗取客户资金。
解析犯罪手法:境外注册假冒网站,即通过钓鱼网站进行网银欺诈。
关注:此类案件的作案成本低、推出假冒网站的速度快、作案地区正由我国沿海省市逐步向中西部扩散。
警示:普通手机号以银行名义发送业务提醒不可轻信,应第一时间通过官方渠道向银行确认。
应对锦囊
银行:武装到牙齿
通过上述典型案例,我们可以看出,在银行服务渠道尤其是各种电子渠道蓬勃兴起的情况下,犯罪分子窃取账户资金的手段也是五花八门,盗取客户资金的一个个环节设计精巧、衔接紧密,可谓“足智多谋”。
为了确保网银安全,我们不得不武装到牙齿。我们看到,一方面,银行为拓展自己的业务,往往对新业务的优点进行广泛宣传,而对其存在的潜在风险做淡化处理;另一方面,银行在为客户开通网上银行业务时,未能较好地提醒客户采取相关的安全保护措施以避免或降低网银安全风险。上述原因致使持卡人缺乏必要的金融知识,对相关风险缺乏心理准备,对犯罪分子设下的陷阱和其中的漏洞不能察觉,甚至越陷越深,最终遭受严重的财产损失。因此,银行在提供金融服务时,也需要给予专业的安全防范知识普及与宣传。
此外,完善身份验证机制、完善客户信息管理、完善密码复杂度的检测与提示机制、建立有效的监测与报警机制及加强报告意识,都是银行亟待提升和解决的问题。在互联网环境下,不法分子攻击范围广泛,攻击手法翻新很快,因此各银行业金融机构有必要及时了解风险趋势并采取防范措施。
客户:自我升级
环节一、密码设置不当。使用自己的生日或者QQ号码、MSN账号、电子邮件ID等作为自己网上银行的登录密码和交易密码,这些都极易被他人破解。今天的生活,电脑和网络已经普及,科学技术已经给我们的生活带来质的改变。在我们顺应科技潮流趋势的同时,如何设计并记住那么多的用户名、密码,是一件需要动点脑筋的事情。犯罪分子尚且不怕周折,我们自身更要对自己的账户负起责任。
环节二、安全常识不足。如未及时更新个人电脑的防毒、杀毒软件等,或不重视使用USB-KEY等安全认证方式,或在网吧等公共场合登录网上银行,这都是风险极大的。
环节三、操作不规范。一些客户未能记住银行的正确网址,不通过手动输入银行网址而是随意相信网上的超链接,通过点击非法超链接来登录网上银行,从而误入“钓鱼网站”被不法分子利用。
环节四、疏于关注安全提示。对来自银行、公安机关等方面的安全提示没有引起足够的重视,随意相信陌生电话、短信和邮件所传播的虚假信息,甚至部分受害者因贪图便宜或轻信虚假中奖信息而误入虚假网站,导致信息泄漏、资金损失。
网络:降低隐行风险
根据国家互联网应急中心(CNCERT)于2011年3月9日发布的“2010年互联网网络安全态势报告”,2010年全年共发现近500万个境内主机IP地址感染了木马和僵尸程序,较2009年大幅增加。该报告同时指出,网络安全事件的跨境化特点日益突出,2010年在我国实施网站挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册,跨境网络安全事件呈现快速增长趋势。
特别需要指出的是,网络违法犯罪行为的趋利化特征非常明显,金融行业网站、知名购物网站等成为不法分子骗取钱财、窃取隐私的重点目标。和其他地区相比,信息、商业活动频繁、经济发达的地区,互联网挂马状况尤其严重,全国挂马情况最严重的三个地区是北京、广东和上海。这也是网络犯罪趋利化特征的另一表现。
此外,公共网络平台为犯罪分子传播犯罪手法,买卖作案工具、公民身份信息、银行账号信息等,提供了便利。第三方支付平台为套现、洗钱等非法交易活动提供了可乘之机。
综治:合围打击网银犯罪
网上银行犯罪既涉及法律问题,也涉及网上银行相关业务和技术问题。网银业务涉及的三个主要实体即银行、监管机构和客户,在其中起着至关重要的作用。三个实体之间三对关系,即银行与客户、监管机构与银行,监管机构与客户,厘清这三对关系,许多问题便迎刃而解。
关系一、银行与客户:权利与义务是否对等?
任何网上银行业务的开展,都是基于银行与客户所签订的合同基础之上的,这就意味着银行和客户必须严格遵守相关的要求,在享受相应的权利的同时,承担相应的义务。然而,在银行和客户这一对关系中,客户明显属于弱势的一方。银行和客户之间明显存在信息不对称的情况,银行系统存在的一些缺陷,如网上银行系统设计缺陷,内控不严所导致的操作风险,新支付方式可能带来的漏洞,甚至客户信息的人为泄露等,客户又究竟能知晓多少?相关法律法规自然应当做出相应调整,以尽可能维护和保障客户的权利。
关系二、监管机构与银行:如何判断监管力度?
作为银行业监管机关的银监会系统,在维护银行业健康、公平发展过程中,负有严格的法律责任。而防范网上银行的风险,维护客户的正当权益,本身就是其应有的职责,而且也应当作为评判其监管力度是否合适的重要尺度。由于银行自身系统设计缺陷和采用新技术可能带来的风险,由于银行工作人员道德风险可能带来的客户资金损失,由于采用不正当竞争而造成的银行业之间的混乱秩序等,应当成为银监会系统关注的重点。从这个意义上说,对网上银行的监管,包括网上银行的准入、日常监管,以及退出等,亟待有一个统一清晰的标准。对网上银行监管的技术手段亟待及时地更新和完善。
关系三、监管机构与客户:如何落实维权责任?
相关法律实际上已经明确,维护金融消费者权益应当是监管机构的重要职责,这是毫无疑问的。在现实生活中,银行监管机构主要通过纠正银行业金融机构的不正当竞争,以维护金融业的稳定与公平;通过防范和化解银行业金融机构的信用风险、操作风险、市场风险等各类风险,以维护社会稳定,保护金融消费者的权益,包括网上银行客户的权益。那么,监管机构与客户之间是否存在什么直接的关联呢?现在常见的有两种情形,一是当客户与银行发生冲突时,有时会直接向银监会(银监局)直接反映情况,以求解决问题。另一种情形则是,我们经常看到每年都有若干个时段,在当地银监机构的统一安排部署下,银行业金融机构会组织一些金融知识的宣传教育活动。不少银监局还在办公地点设立了公众教育服务区,起到了一定的教育效果。问题在于:是否应当借鉴国外的经验,通过相关的立法,真正把对公众的金融意识教育,包括网上银行的风险提示等,作为银行监管机构落实维权责任的内在规定?
立足于这三对关系,在它们之上,法规体系究竟应当发挥怎样的作用,以及目前存在的缺失,在它们之下,网银业务的第三方这一基础层面应当承担怎样的责任,都亟待确认。
打击网银犯罪法规体系模型
综合立体式模型:网上银行犯罪处置模式的抽象与升华
任何一件网上银行犯罪的案件,都不是由一个因素造成的,应该更多地从系统工程的角度去分析和解决问题,而不是“头痛医头、脚痛医脚”。网上银行犯罪应当是“综合性”的。只有通过整合多方面资源,才能收到防范和打击网上银行犯罪的较好效果。在分析和研究防范和处置网上银行犯罪的诸多措施时,如果不清楚内在层次,“胡子眉毛一把抓”,不仅会极大降低实施效果,而且很可能迷失解决问题的正确方向。从这一意义上说,网上银行犯罪的法律防范和处置模式应该是“立体化”的。