文/舒同

網(wǎng)銀漏洞樣本解剖

文/舒同

自 20世紀末網(wǎng)上銀行業(yè)務誕生以來，我國網(wǎng)上銀行用戶的數(shù)量一直保持快速增長，尤其是上海這類金融發(fā)達城市，網(wǎng)銀業(yè)務已經(jīng)具有較高的普及率。據(jù)中國金融認證中心《2009年中國網(wǎng)上銀行調(diào)查報告》顯示：個人方面，全國城鎮(zhèn)人口中，個人網(wǎng)銀用戶的比率已達20.9%；企業(yè)方面，網(wǎng)銀用戶所占比例為40.5%。

一方面，網(wǎng)銀為人們的金融活動提供了便利；另一方面，在銀行業(yè)務不斷創(chuàng)新的同時，一些新型漏洞也成了犯罪分子聞風而至的掘金點。據(jù)上海市人民檢察院2013年5月8日發(fā)布的首部《年度上海金融檢察白皮書》稱，上海檢察機關(guān)2012年共受理金融犯罪審查逮捕案件849件，涉案1188人，審查起訴案件2490件，涉案3381人。金融犯罪案件數(shù)量同比2011年迅速增長近八成。

隨著網(wǎng)絡科技的飛速發(fā)展，金融犯罪中涉及網(wǎng)絡銀行的犯罪已成為一個備受關(guān)注的高危領域，以下是上海檢察機關(guān)金融處近期提起公訴并發(fā)出檢察建議的兩起典型案例。

案件一：手機驗證成了擺設

2012年2月至6月，上海。從事信用卡辦理業(yè)務的“圈里人”丁某，通過網(wǎng)絡論壇、QQ群潛水，用錢購買到了大量他人銀行征信報告。擁有了這份征信報告，在外人看來銅墻鐵壁的網(wǎng)銀平臺，頓時成了一個充滿誘惑和機會的聚寶盆。

“足智多謀”的丁某開始揣摩起這份紙面上沒有太多秘密的征信報告，很快從中摸出了一些道道。他伙同田某，憑借征信報告上的信息，冒充信用卡持卡人，打電話到相關(guān)銀行客服，通過身份驗證后，迅速獲得了持卡人名下信用卡卡號，隨后將卡主預留的手機號改為其控制的手機號。預留手機被非法更改，此時不但素未謀面的電話客服不知中計，連卡主本人也被蒙在鼓里。丁某接著利用快捷支付功能，在淘寶網(wǎng)上開始進行虛假交易、購買游戲積分，瘋狂盜刷他人信用卡資金。僅僅四個月，林某和田某就通過這個方式分別盜刷資金94萬余元人民幣、9萬余元人民幣。

這還不算，丁某利用職務之便還和康某聯(lián)手，利用為被害人辦理信用卡過程中，留存辦卡人網(wǎng)銀U盾及個人身份信息資料的機會，“巧妙”利用銀行信用卡核發(fā)日與卡主收到信用卡的時間差，冒充卡主致電銀行客服，開通信用卡并更改預留的手機號。繼而，又通過網(wǎng)上虛假交易，盜取李某信用卡資金近5萬元。近期，丁某以信用卡詐騙罪被判處有期徒刑12年。

案件二：工作電子郵箱被盜導致泄密

2011年，喜歡上網(wǎng)的李某，在某銀行網(wǎng)上商城上拿到了某用戶的賬戶名和密碼。于是他登錄郵箱，發(fā)現(xiàn)此人竟是某銀行人力資源部員工，并且在郵件內(nèi)收錄了該行部分員工的身份證號碼、借記卡卡號等信息。有點小聰明的李某，通過其信息資料，測試出了一部分人的相關(guān)密碼。隨后通過網(wǎng)上銀行系統(tǒng)，從蔡某等七人信用卡賬戶劃轉(zhuǎn)5.5萬余人民幣。所有過程，都在網(wǎng)上操作，犯罪隱蔽性很強。

2013年3月，上海市人民檢察機關(guān)就近期發(fā)生的相關(guān)案件，向中國銀行監(jiān)督管理委員會上海監(jiān)管局發(fā)出了有關(guān)預警通報。通報指出，近期上海市檢察機關(guān)先后辦理的多起犯罪分子冒用他人名義，使用非法獲得的銀行征信報告或持卡人信息，通過銀行電話客服驗證，獲取或變更他人信用卡信息資料，進而通過網(wǎng)絡等渠道實施的詐騙犯罪，反映出部分銀行電話客服身份驗證流程、客戶信息資料保管及人員管理等方面存在金融犯罪風險。

由此，檢察機關(guān)認為：

在當前存在銀行客戶資料大量泄露的狀況下，銀行電話客服不能僅以持卡人預留身份證號和電話號碼等靜態(tài)基本信息為身份驗證的條件，還應當設置動態(tài)的身份驗證程序，防止犯罪分子利用銀行外泄的客戶資料實施詐騙犯罪。

切實保護客戶信息，切斷犯罪源頭。面對大量金融詐騙、電信詐騙犯罪，都源于客戶信息、公民信息泄露，金融機構(gòu)應當重視客戶信息的保護，增強保護意識、完善保護措施、提高保護能力。要進一步加強員工對客戶信息的保密教育；建立完善客戶信息的保密制度；采取各種措施確保內(nèi)部網(wǎng)絡安全。

加強對員工的管理和教育，杜絕內(nèi)部人員犯罪。金融行業(yè)，特別是銀行機構(gòu)，如果每個環(huán)節(jié)上的操作人員，都能嚴格按照程序和制度辦事，不法分子就難以得逞。內(nèi)外勾結(jié)的案件，不僅容易得逞，而且危害遠大于外部人員作案。

中國銀監(jiān)會上海監(jiān)管局在收到檢察機關(guān)金融檢察處相關(guān)風險提示后，迅速擬定了相關(guān)措施方案：

首先，提升身份驗證安全系數(shù)。對于不法分子利用掌握的人行征信報告，通過銀行電話客服身份驗證，獲取卡號，并修改預留手機號碼問題。目前，大部分商業(yè)銀行在客戶要求修改信用卡重要信息時，通過檢驗客戶交易（查詢）密碼，或回撥客戶預留電話等方式進行核實。

其次，嚴控涉密區(qū)域。對于某銀行內(nèi)部人員作案的問題，目前其部門已禁止接待手機、筆、紙進入涉及客戶信息的辦公區(qū)域。

再次，防范征信報告泄露。目前可批量查詢?nèi)诵姓餍艌蟾娴臋C構(gòu)處人民銀行外，主要為商業(yè)銀行和融資行擔保公司、保險公司等機構(gòu)。從目前向在滬各持牌信用卡中心了解的情況看，各卡中心對查詢?nèi)诵姓餍艌蟾娴碾娔X設備實行嚴格的內(nèi)外網(wǎng)分離機制，關(guān)閉U盤等移動存儲設備的使用功能，并建立了相應的監(jiān)控機制，防范數(shù)據(jù)泄露。銀監(jiān)會指出，目前無法確認，征信報告泄露系銀行端造成，但相關(guān)部門依舊不能掉以輕心。

綜合上述，在防范網(wǎng)絡銀行犯罪體系中，司法機關(guān)、銀監(jiān)會、銀行乃至第三方支付平臺和客戶個人，在網(wǎng)銀犯罪阻擊戰(zhàn)中，都有相應的角色分配。