1、农村信用社发展电子银行业务风险浅析摘要电子银行具有分流柜台压力,节省人力、物力,降低经营管理成本,达到增收节支的作用。发展电子银行业务,不仅能提高银行形象,树立银行品牌,吸引高端客户,扩大市场份额,更重要的是电子银行平台还是金融创新的基础平台。但与此同时,电子银行业务的风险问题也日益突出,如何利用信息化手段对多服务手段和多业务平台实现集中管理,以保证业务的一致性、交易的安全性,已成为摆在银行业当前的一大挑战。本报告将就信用社已开展或即将开展的电子银行业务,对其所潜在的风险进行分析,同时也列举了一些风险案例。 关键词农村信用社;电子银行业务;风险管理 中图分类号F832 文献标识码A 文章编号1
2、005-6432(2014)8-0134-03 1 电子银行业务风险已引起广泛关注 银监会、人民银行等监管部门一直十分重视电子银行业务风险,银监会在 2006 年就出台了电子银行业务管理办法和电子银行安全评估指引 ,随着电子银行业务的不断发展,针对不同时期不同的风险类型又及时下发了风险通知、风险提示等。 客户在使用电子银行办理业务过程中案件频发,因不慎被盗录信息、遭受欺诈等而蒙受资金损失,各媒体纷纷报道,下面仅列举 2009 年45 月间一些媒体关于电子银行业务风险信息的报道。 2009 年 4 月 21 日 北京晚报 黑客组织盯上银行财税网站 网站频频挂木马 2009 年 4 月 22 日
3、南方日报 ATM 机骗术翻新警方支招防范 2009 年 4 月 24 日 上海证券报 无持卡人签名 POS 单银行照常扣款被起诉 2009 年 4 月 27 日 新民晚报 ATM 机做手脚新版本:出钞口钞票看得见拿不到 2009 年 4 月 28 日 深圳晚报 警惕柜员机上安装读卡器盗存款 2009 年 4 月 29 日 北京晚报 信用卡非法套现猖獗套现公司自称不愁没生意 2009 年 5 月 4 日 广州日报 三大银行卡诈骗招数揭秘:来电号码轻信不得 2009 年 5 月 6 日 每日新报 银行卡安全再添保险 新京报 消协与北京银协联合发布银行卡安全使用提示 新京报 北京首次截获 ATM 第
4、三只眼 北京晚报 北京警方首次截获取款机克隆卡工具 2009 年 5 月 7 日 深圳特区报 深圳:柜员机贴故障提示诱人转账2009 年 5 月 8 日 新华网 新华社:不法分子用银行卡套现给社会带来危害 2009 年 5 月 13 日 成都商报 银行卡复制设备网上疯狂叫卖一万五即可买全套 2009 年 5 月 14 日 证券时报 信用卡套现猖獗 银行压缩额度应对2009 年 5 月 16 日 第一财经日报 信用卡套现将无处遁形 2009 年 5 月 19 日 羊城晚报 银行已成网络攻击重点国外黑客年收十几万欧元 长沙晚报 银行卡被调包存钱存入他人账户 证券时报 克隆银行卡产销一条龙网上叫卖万
5、元额度售 1800 证券时报 揭开银行卡被盗刷的秘密:致命隐患藏身磁条 2009 年 5 月 20 日 证券时报 工行浦发等多家银行储户信用卡遭遇跨境盗刷 无论是监管部门的监管要求,还是社会对电子银行业务风险的重点关注,一旦发生风险案件会影响到银行自身形象。因此,从健康发展的角度考虑,开办电子银行业务的金融机构都应将业务风险作为一项重要工作来抓。 2 电子银行业务风险类型分析 2.1 特约商户收单业务 在借记卡占据主流的受理市场上,持卡人以自身存款且以密码方式确认完成,对于商户端而言,欺诈冒用风险几乎为零。鉴于此,收单机构普遍认为 POS 收单是一项高收益、零风险的业务。随着近年来贷记卡业务的
6、迅速发展和银行卡受理范围的扩大,商户风险日渐突出。由于需要对签约商户受理的所有交易负责,收单机构必须转变观念,对商户的潜在信贷和欺诈风险进行充分预测和评估。否则,商户风险会给收单机构造成严重后果。现详细介绍以下商户欺诈风险。 2.1.1 恶意倒闭风险 不法商户在收单机构开设了看似合法经营的商户账户,受理银行卡。当收到大笔清算款项后商户立即关门,故意破产,负责人也马上销声匿迹,使收单机构承担此后的退单损失。 2.1.2 商户套现风险 是指商户与不良持卡人或其他第三方勾结,或商户自身进行虚假交易套取现金的行为。现在套现活动十分猖獗,在一些网站、报纸、小广告中常有套现广告。目前国内常见的商户套现有以
7、下三种类型: (1)不法持卡人与商户相勾结,利用商户 POS 终端进行虚假交易,商户在扣除一定手续费后将交易款余额支付给持卡人; (2)不法商户使用虚假资料或骗取他人资料申请获取多张卡后,再申请成为收单机构的商户,之后用卡进行虚假交易,套现后销声匿迹; (3)一些代理办卡的中介机构首先协助急需资金的客户以伪造资料或夸大资信的手法,向发卡机构申办信用卡,之后中介机构又申请成为收单机构的特约商户,协助已办好卡的客户以虚假交易方式套取现金。 2.1.3 商户洗单风险 洗单是指与收单机构签署了有效商户协议的商户,将其他未签约商户的交易在本商户的 POS 机或压印机上刷卡,假冒本店交易与收单机构清算。通
8、过这种方式,可能将欺诈或非法交易合法化,并顺利收到交易款项。委托洗单的多为出于某些原因不能或不愿意签署受理协议的商户,如高风险的电话营销商、邮购商户等,也有可能是专门受理伪卡、进行伪冒交易的非法商户等。 2.1.4 商户侧录风险 在境外,侧录是一种常见的商户欺诈类型,随着银行卡犯罪向境内迁移,目前在国内类似案例也逐渐增多,已成为商户欺诈的新兴手法,应引起足够关注。侧录大体可分为三类: (1)在商户经营场所。不法商户或合法商户中的不法员工在合法交易过程中利用侧录仪器,将所有磁道信息复制下来。信息窃取可以发生在刷卡请求授权时通过连接 POS 终端的小型电脑或其他设备获取磁条信息,或者通过一个单独的
9、、掌上型侧录设备进行二次刷卡。通过这种方式获取的全磁道信息可以下载并编码到伪造卡或盗窃卡中。 (2)在数据传输过程中。磁条信息在授权过程的不同实体间转移过程中被窃取,包括:商户的主机系统;发卡机构或收单机构的主机系统; 发卡机构或收单机构的第三方处理器。 卡信息可以通过电话线窃听或从卫星的无线传输中获取。能接触到这些信息的员工有可能与不法分子勾结进行信息窃取,然而商户负责人可能根本不清楚这些安全漏洞。 (3)在数据信息的存储场所。卡信息存储的任何场所都有可能被窃取卡信息,这些地方包括 POS 终端、个人计算机和大型主机等。另外,不法分子还有可能侵入数据存储系统掠夺和复制有效的卡数据。 2.1.
10、5 商户合谋伪冒交易风险 某些商户因利益驱使,与不法分子合谋,在商户集中使用伪卡或失窃、被盗卡,或购买易变现商品,或享受相关服务,最终发卡机构承担该类损失,收单机构也可能因为欺诈交易比率或退单比率超标而承担退单损失,或承担违规处罚。 2.1.6 手输卡号欺诈风险 以手输卡号方式处理欺诈交易和未授权交易,是许多商户欺诈模式中频繁使用的手法,如前述的恶意倒闭、洗单等,都与之相关。不法分子通常获取了一系列伪造或欺诈获得的卡号后,以手输卡号方式来输入交易,之后立即提交清算,并尽快卷走交易款项。目前在国内,收单机构对在 POS 上开放手输功能持谨慎态度,仅有部分酒店前台可使用该项功能,因此该类欺诈在国内
11、并不普遍。但应当严格控制“联机退货”等风险类交易权限。 2.1.7 虚假商户 虚假商户唯一目的就是从合法持卡人处侧录或复制卡信息,然后制作伪卡,盗刷套取资金。 2.2 ATM 收单业务 犯罪分子通过银行布放的 ATM 实施犯罪,给持卡人造成资金损失的同时,也严重损害了银行的声誉,使银行卡也连带蒙受了经济损失。其采用的主要手段有以下几种。 2.2.1 安装特殊装置盗取银行卡信息 不法分子除通过在自助银行门禁系统、自助设备上安装摄像头、假键盘、录音机等特殊装置盗录持卡人银行卡卡号、密码等安全信息外,还利用测录机等设备盗取客户磁卡上的磁道信息,再利用盗取的信息制作伪卡后大肆消费、取现,给持卡人和发卡
12、银行造成重大经济损失。犯罪分子安装侧录装置十分迅速,而且一般是在晚上进行,很难防范。一旦持卡人在农村信用社的 ATM 上被侧录,有资金损失时,农村信用社将承担一部分责任。 燕赵都市报2008 年 12 月 5 日报道银行卡被盗刷 46 万银行被判全额赔偿 ,南京市民王先生到 ATM 取款时,突然发现卡上 46 万元现金不翼而飞。警方迅速破案,原来是犯罪分子利用在 ATM 机附近安装读卡器、MP4 等手段,窃取了王先生的卡号和密码,然后又用复制假卡的手段从其账户上支取了巨款。2008 年 9 月,他将涉案银行告上南京市鼓楼区法院,要求银行赔偿全额损失。法院对此案作出一审判决,王先生的诉讼请求获得
13、全部支持。法院判决银行败诉的理由是:该银行自助银行在安全防范上存在技术缺陷,未能履行应负的保护储户存款安全的义务。主审法官丁广说,此案判决的示范意义就在于,银行与储户之间形成合同关系,银行既然要设无人值守的自助取款机,那就必须要确保储户的资金安全,而一旦储户在没有任何过错的情况下资金被人盗取,那银行就得承担全部责任。 2.2.2 制造吞卡、不出钞等假相 不法分子先将自制装置放入 ATM 读卡器内制造“吞卡”假相,或是在 ATM 出钞口设障,使 ATM 机吐钞不成功,同时在 ATM 机旁粘贴假冒的“客户服务投诉热线” ,引诱持卡人向所谓的“银行员工”或“公安人员”透露卡号、密码等安全信息,或直接
14、把资金转移到其指定的账户上。经查,目前不法分子的诈骗手段又有升级,出现了将真实银行客户服务电话号码嵌入小灵通号码,伪装银行客户服务热线的新手法,较之早前的手法更具隐蔽性和欺骗性。 2.2.3 张贴虚假告示 不法分子冒充 ATM 管理单位,在 ATM 机上张贴紧急通知或公告(如“银行系统升级” 、 “银行程序调试”等) ,要求持卡人将自己银行卡的资金通过 ATM 转账到指定账户上,盗取持卡人存款。 2.2.4 分散持卡人注意力,对卡片进行掉包 此类案件中,不法分子通常结伙作案,在持卡人进行 ATM 机操作过程中,采取假装提醒持卡人遗落钱物、询问 ATM 机使用方法、故意推撞持卡人等方式干扰持卡人
15、的正常操作,转移其视线后在卡口插上假冒的同类银行卡,使持卡人误以为自己的银行卡被 ATM 机退出。持卡人为防盗抢,慌乱中没有认真鉴别卡片真伪即离开,犯罪分子利用留在机具内的真卡,继续进行取款、修改密码甚至取卡后到商场消费等操作,使持卡人蒙受损失。 我们布放了 ATM,就有义务为客户提供一个安全的用卡环境。客户因在银行布放的 ATM 使用时,银行卡信息被侧录或是遭受欺诈,将银行告上法庭的案件中,最终银行多以应为客户提供安全的用卡环境、负有保护责任而败诉,赔偿客户资金损失。 2.3 电话银行业务 电话银行业务的风险主要为外部欺诈风险和内部控制风险。 2.3.1 外部欺诈风险 (1)假冒银行给客户发
16、送短信,谎称其中奖,并提供一个联系的固定电话。客户拨打该电话后,电话中会自动语音提示各家银行的电话银行号码,在客户选择其中一家后,系统会提示客户输入银行卡卡号和客户密码,并称可以提供银行卡的查询、密码修改等服务。一旦客户输入的卡号和密码信息被获取后,有可能被不法分子利用以盗取客户账户的资金。 (2)客户设置电话银行密码过于简单,账号或卡号信息泄露后,被破译电话银行密码,造成资金损失;或者是客户在公用电话上使用电话银行,未及时清理使用记录,电话银行信息泄露,造成资金损失。 (3)犯罪分子伪冒真实客户开通电话银行转账功能,同时开立新账户,通过电话银行转账盗取客户资金。 (4)电话语音系统的交易讯息
17、(含语音密码)通过电话通信系统传递时均为明码,虽多以干扰音加密,犯罪分子仍可借机窃听电话通信内容截取交易讯息后并加以破解,取得存户账号及密码后,再予以盗转存款。 2.3.2 内部控制风险 (1)前台操作人员擅自为客户开通电话银行,私自维护电话银行转账协议,通过电话银行转账盗取客户资金。 (2)电话语音系统厂商维护人员(或金融机构程序人员)非法窜改语音系统程序,记录含语音密码之交易讯息并借机拷贝复制,再利用语音转账盗转存款。 2.4 网上银行业务 网上银行是客户利用个人计算机,由认证机构所核发之电子凭证,透过因特网联机至银行网站进行交易,因此其风险主要来自于三个方面:客户端作业凭证的保管及使用、
18、银行端信息设备与系统之安全防护、交易讯息经由因特网传输过程是否遭受外来黑客干扰或截听;另外,由于网上银行交易过程中均处于开放环境的系统架构,致可能随时遭遇来自银行内部、外部的挑战。综上所述,网上银行业务风险可能如下: 2.4.1 主机实体安全漏洞 主机实体存在安全漏洞,发生信息泄露,如:信息机房门禁管制欠佳、输出入设备及通信设备管制欠妥、预留过多未经管制之外接端口、报表及磁性媒体管制欠妥等,导致主机遭破坏、系统遭入侵、防火墙被关闭、实体链接线路被改变,作业人员或客户数据遭窃取等。 2.4.2 操作系统或系统软件漏洞 在系统管理方面存在某些欠缺,如:未定期修补系统程序或未及时提升版本、未扫描异常更新或复制之系统档案、未设妥计算机病毒防范措施、系统安控参数设定不完整,致使黑客利用缓冲区溢出漏洞、植入木马程序取得特权用户密码或夹带植入计算机病毒以瘫痪主机及防火墙系统,或夹带木马程序进行数据窃取及破坏,或利用系统安控设定不周延以进行数据窃取及破坏。 2.4.3 内部控制风险 在业务开通流程、业务授权管理等环节管理存在未知漏洞或者是执行力度欠佳,如:操作人员窃取客户数据、重要电子凭证等,擅自为客户开通网上银行,通过网上银行盗取客户资金。 案例:某犯罪分子在媒体刊登广告以征求彩券经销商加盟店需缴交
