《银行业科技风险警示录(共162页).doc》由会员分享,可在线阅读,更多相关《银行业科技风险警示录(共162页).doc(162页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上银行业科技风险警示录-银行业信息科技风险案件与事件汇编中国银行业监督管理委员会信息中心二一年八月序 言当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉和市值造成极大伤害;中断23天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。同时,随着
2、网上银行、电子商务等网络金融服务的快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。2004年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。近年来,银监会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。在取得成绩的同时,必须清醒地意识到存在的问题与不足。近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中
3、断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。后果严重,教训深刻,网络与信息安全形势不容忽视。这些事件的发生再次向我们敲响警钟:信息科技工作一旦发生问题就是重大问题。信息科技风险就在身边,强化风险监管刻不容缓。以史为镜知兴替,以案为鉴明得失。基于此,银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了银行业科技风险警示录。该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。入选案例都具有较高的借鉴价值,为银监会系统的IT风险监管工作提供了有效资料,为各银行业金融机构和广大
4、员工提供了警示教材。这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。银行业科技风险警示录汇编教材意义重大,值得肯定。“前事昭昭,足为明戒”。银监会系统一定要高度重视信息科技风险管控工作。切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防范、信息技术等方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形势。采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。各银行业金融机
5、构要能够吸取这些案例的教训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平。我们坚信:通过提高信息科技风险防范意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。是为序。 二一年八月前 言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营
6、离不开对信息科技风险的有效管理。国外两大事件将科技风险管控重要性昭示天下。2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。2009年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金,使RBS集团短时间内损失惨重。如果不能对信息科技风险进行有效管控,一些信息科技案件或
7、事件必将对银行业持续稳健运行带来重大威胁。鉴于此,银监会信息中心组织专人对银行业金融机构计算机犯罪和信息安全事件进行认真梳理,从中选择部分有代表性和一定借鉴意义的典型案例,编写了银行业科技风险警示录。银行业科技风险警示录收集了中国银行业金融机构20042010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。入选案例通常在多家银行发生,且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。汇编此书,意欲举一反三,警示昭告,引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视,以认真汲取事故教训,采取措施,堵塞漏洞。银行业科技风险警示录中各
8、案例内容分别包括“案例描述”、“案例分析”两个部分。 “案例描述”部分主要是以有关银行提供的事件分析报告为依据,简要介绍案例概况;“案例分析”部分深入浅出地对案件内部深层次原因进行剖析,以反映银行机构信息安全面临的严峻形势。在每节后附“防范对策与建议”,通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。银行业科技风险警示录着重突出了以下特点:一是素材新。入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义,部分案例为国内首次披露。二是内容全。通过向全国银行业金融机构广泛征集案例,保证了内容的覆盖面和信息量,基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的
9、兼收并蓄。三是富有新意。银行业科技风险警示录对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。其中,危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析;影响指数主要侧重从事件对银行持续经营的影响度进行分析;而频度指数主要从发生概率(案件和事件)或作案难易度(仅针对案件)进行定性分析。案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。四是深入浅出。注重技术深度和通俗易懂的结合,每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行,具有较好的完整性、前瞻性和实用性。同时,力避生硬技术性论述,数据主要以图、表形式进行罗列和分析,使读者一目
10、了然。 中国银行业监督管理委员会信息中心 二一年八月 目 录第一章 信息科技相关案件一、案防形势当今社会经济发展对信息科技的依赖程度愈来愈高,金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。在全球范围内,网络窃密、网络攻击等利用计算机技术进行网络违法犯罪活动呈上升趋势。近年来,我国银行业信息科技相关案件频发,银行网络、信息系统已成为境内外敌对势力和不法分子攻击破坏的重要目标之一。攻击手段层出不穷,作案手法不断翻新,信息安全形势日益严峻。二、案件类型及作案手段按照案发区域,银行业信息科技相关案件可分为以下三类:一是网上银行类案件。犯罪嫌疑人主要通过国际互联网等载体,以木马病
11、毒、程序破解密码等多种技术手段获取银行客户账号和密码,再以非法转账或网上支付等方式,盗取客户资金。二是内控缺陷类案件。犯罪嫌疑人借内部工作人员的身份和工作之便,利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案,盗取客户或银行资金。内部控制作案又可细分为两类:其一是业务人员盗取其他员工的柜员号和密码,通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案,盗取银行或客户资金。其二是科技人员利用职务便利,非法进入系统,通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案,盗取银行或客户资金。三是自助
12、设备类案件。犯罪嫌疑人在银行自助设备上做手脚,利用读卡器、微型摄像机、假冒银行服务电话等各种手段盗取客户账号及密码,进而盗取客户资金。上述三种类型案件在案发区域、损失度及防范难度等方面存在不同,作案手段也有所差异。见表1、表2。表1三种类型案件发案差异序号类型名称案发区域危害指数频度指数1网上银行类案件国际互联网中较高2内控缺陷类案件银行内部高较低3自助设备类案件ATM、CDM、POS中高表2三种类型案件的作案手段序号作案手段网上银行类案件内控缺陷类案件自助设备类案件1从外部入侵银行系统,更改数据2网上窃听或截获客户银行卡账号及密码3从外部窃取客户银行卡账号、密码4从外部破解客户网银密码5从外
13、部窃取客户网银证书6内部人非法使用业务系统7内部人非法访问系统或数据库,但不涉及篡改系统数据8内部人非法篡改系统数据9内部人使用或拷贝恶意软件三、案件特点分析据20042010年银行业信息科技相关案件统计数据显示,当前我国银行业信息科技案件中,最受关注的是利用网上银行作案;利用银行内部控制漏洞作案发案数相对较少但涉案金额较高;发案率最高的是利用自助设备作案。见图1所示。上述三类案件近年来呈以下变化趋势。(一)利用网上银行作案发案率逐年递增1.利用网上银行作案具有任意时间、任意地点之特点,犯罪分子实施犯罪不容易受到事件时点的限制。2.由于技术的开放性,犯罪分子容易掌握一些技术含量较高的作案手法,
14、且攻击手段不断翻新,犯罪行为更不易被察觉。3.银行为适应市场竞争的需要,网银产品开发周期缩短,相应内控手段难以适应业务快速发展的需要,风险敞口逐步累积。(二)利用银行内部控制漏洞作案发案率逐年递减,但涉案金额较高1.银行内控体系逐步完善。随着对信息科技风险认识的不断提高,银行业金融机构逐步将信息科技风险纳入银行整体风险防范体系,促使银行内控机制日渐增强,风险管控能力和水平不断提升。例如银行通过实施关键业务岗位隔离、信息科技生产和测试环境隔离、指纹识别仪取代柜员卡等制度和措施,堵塞了部分漏洞。2.外部环境对银行内部控制的合规要求日益严格。例如近年来银监会相继出台了商业银行信息科技风险管理指引、银
15、行业重要信息系统突发事件应急管理规范、电子银行业务管理办法等规范性文件,对银行内部控制合规提出了更为明确的要求。3.由于内部人员作案,熟悉银行控制体系,导致此类案件具有作案时间长、败露周期长、单笔涉案资金高的特点,危害性较高。(三)利用自助设备作案案件呈高发趋势1.近几年,基于企业竞争策略,中小银行纷纷加大了借记卡、信用卡等客户市场的开拓力度,但由于其科技部门整体技术水平不高、对信息安全的风险防范意识和能力不足,导致相关犯罪案件高发。2.该类案件有向农村、乡镇蔓延转移之趋势。犯罪分子利用不发达地区银行客户风险意识薄弱的特点,专门选择针对银行县级支行或者农村中小金融机构ATM作案。3.该类案件对
16、技术要求相对较低,目前我国仍大量使用安全级别较低的磁条卡,涉及相关案件较多。四、危害及根源分析(一)危害分析各类信息科技犯罪案件会使银行面临多方面的风险,主要集中在以下三个方面。1.欺诈风险,例如敏感信息被盗取,包括银行卡号及密码、网银账号及密码等,导致银行或客户资金被盗。2银行资产设施及信息系统受损,影响其正常对外提供服务。3信誉风险和法律风险。具体分析见表3。表3三种类型案件危害分析序号危害类型网上银行类案件内控缺陷类案件自助设备类案件1银行资产设施遭到破坏2银行资金遭受损失3客户资金遭受损失4银行遭受法律诉讼5银行信誉受损(二)根源分析导致各类信息科技犯罪案件发生的原因来自多个方面。1.
17、银行的系统安全机制存在缺陷。例如银行卡防伪能力弱、客户认证机制存在漏洞等。2.银行的内部控制存在漏洞。例如对敏感信息保护不周全,对生产环境控制不严,外包管理存在缺失,对自助设备区域的巡查不力等等。3.银行业及其客户的科技风险防范意识整体偏低。体现在银行的风险防范意识普遍不足,客户的安全意识更为薄弱。具体分析见表4。表4三种类型案件根源分析序号案件发生的根源网上银行类案件内控缺陷类案件自助设备类案件1银行卡防伪能力弱2系统安全机制存在漏洞3业务系统控制存在漏洞4内控制度执行不到位5柜员号密码及授权卡保护不力6对客户账号及密码保护不力7对重要系统源代码管理不严8未有效隔离生产和开发环境9生产环境变
18、更控制不严10外包管理存在缺失11对异常事件的监测与预警不足12业务操作事后监督不力13业务处理重地安防措施不充分14对自助设备监控与巡查不力15银行职员缺乏风险防范意识16客户安全意识薄弱五、防范要点银行业金融机构采取以下对策,防范相应风险:(一)网上银行类案件1. 加强对客户信息安全教育,培养客户的安全意识和良好的计算机使用习惯。客户在申请网银业务时,银行应充分告知相关风险。向客户提示不法分子盗窃客户资金的惯用手段和方法,引导客户设置安全的用户密码,避免设置过于简单的密码,给犯罪分子以可乘之机。同时,引导客户采取及时升级计算机操作系统补丁,安装防病毒、防木马软件等多种方式,有效防范病毒和木
19、马的侵袭,保护客户账户信息与网上资金交易的安全。2. 严格执行业务办理中的客户身份证件核查制度。对开户、业务功能注册、大额取款等重要业务,必须严格按照与客户签订的有关协议办理。3. 强化网银客户身份认证,比如采取网银硬件证书、动态令牌、手机短信等更加安全的客户认证方式。应充分评估和防范网银文件证书存在的安全隐患,文件网银数字证书尽管不容易被破解,但可以导出,存在被冒用和窃取的风险。在风险可控的前提下,应防范文件证书客户办理转账、网上支付等资金划转类业务的风险。4. 加强针对门户网站、网上银行等面向互联网应用的信息系统的安全防护措施,提高安全防护水平。5. 完善网银交易验证流程,修补网银安全漏洞
20、。6. 完善客户对账业务和余额变动提醒等功能。以电子邮件、传真、纸质对账单等形式,向客户提供每笔或每月的账户对账单,让客户随时掌握账户内资金流向。通过短信提醒等方式将客户银行卡存取现金、网上支付、POS消费等情况及时通知客户。7. 建立有效的入侵监控和报警机制。应对网银业务流程进行风险分析,采取技术手段强化系统安全控制,如增加附加码图片噪点,提高附加码图片破解复杂度等;在网上银行后台加入攻击监控和锁定机制,对同一IP地址多次登录网银失败的行为进行预警,并对IP地址锁定,禁止其再次登录网上银行;对锁定固定密码,更换卡号尝试登录的攻击方式进行控制等。定时对网上银行交易、网络访问日志及对外服务网站进
21、行检查和监控,提高对网银系统异常登陆行为的检测和分析力度,对任何可疑或异常行为要进行及时处置。(二)内控缺陷类案件1. 建立和完善各项内部规章制度,加强各项规章制度的执行力度。要加强对重要业务凭证的管理,加强对应用系统操作密码的管理,特别要加强对业务操作层面(特别是柜员号和密码等)重要风险环节制度落实情况的检查,特别是定期和不定期对员工授权卡的使用情况进行检查,严肃处理不严格执行规章制度的员工。2. 积极排查应用系统漏洞,完善系统的控制功能。要认真梳理各业务和管理系统的业务流程,针对存在的业务授权等漏洞,从系统设计方面进行完善,在程序中强化权限控制,落实职责分离原则,加强异常大额业务操作监控,
22、防范操作风险。3. 加强对科技人员的管理。一是加强对科技人员登录、修改和删除数据的权限管理,防止非授权访问;二是完善系统监控和行为审计功能,做好系统维护行为的监控和记录;三是严格落实关键岗位职责中分离、重要操作双人完成等制度的建立和执行;四是加强生产重地的视频监控,及时发现可疑行为;五是加强外包管理,建立完整的业务外包风险评估与监测程序,在外包合同中制订有关客户信息安全的保密条款;对外包人员进出及操作实施有效的监督与控制。 4. 加强对员工的法治和职业操守教育,增强员工法治观念和风险意识。密切关注员工的思想动态,加强对关键岗位员工的管理、观察和监督,及时发现和处理不良思想苗头和行动。5. 加强
23、事后监督工作,确保对业务的有效监控和管理,堵塞风险漏洞。(三)自助设备类案件1. 加强对自助设备安全管理。定期对自助设备及自助银行进行安全巡查,尤其要加大重点时段的巡查力度,检查ATM及自助区是否被安装微型摄像机、读卡器等异物,出钞口是否正常,是否有虚假告示。完善自助设备监控设施,做到24小时实时视频监控,确保监控范围不留死角,监控画面清晰可辨。2. 完善技术防范措施。对落后的自助设备进行改造。充分评估以下措施的实际功效,根据自身实际情况选用,以保障客户使用银行卡的安全。比如,增加读卡机防侧录装置,取消自助服务区门禁刷卡,减少犯罪嫌疑人盗取客户银行卡信息的机会;对密码键盘进行改造,增加密码键盘
24、遮挡装置,防止犯罪嫌疑人窥探密码;积极开展银行卡技术研发,增强银行卡的防伪和加密功能,加快推进加密水平较高的带芯片银行卡的推广和使用等。3. 加强自助设备采购选型管理,对自助设备各项功能进行全面测试,选择质量可靠,功能完善的自助设备产品。同时,加强与自助设备厂商的沟通与协作,及时对自助设备进行升级和改造,堵塞风险漏洞。4. 加大自助设备宣传和培训力度。通过组织自助设备管理人员对该类案件的学习,提高防控能力。通过营业网点、自助设备屏幕、手机短信等多种方式对持卡人进行宣传和培训,使客户不仅熟悉自助设备操作,还要熟悉自助设备“外形”,一旦发现可疑情况,及时报告。建议客户办理存款短信提醒业务,一旦发现
25、自己银行卡发生可疑业务,在第一时间和银行取得联系,以便及时处置。5. 加强客户安全教育和风险提示,积极帮助客户培养良好的密码设置习惯和密码保护意识。持卡人要妥善保管好个人的银行卡及密码;对来历不明的短信或电话提高警惕,任何情形下都不要轻易向他人透露账户信息,更不能通过ATM机向不明账户转账;记住银行客户服务电话,如果接到可疑电话、短信、邮件、通知,可直接通过发卡银行统一的客户服务电话进行确认。6. 加强与当地公安部门和相关部门的协调,建立快速通报联动机制,发现异常情况和投诉及时报告,积极配合有关部门做好案件调查等工作。第一节 网上银行类案件案例1: 篡改网银交易数据盗取客户资金危害指数 频度指
26、数 案例描述:2008年12月30日2009年1月3日,犯罪嫌疑人通过本人及雇佣他人,在某银行办理借记卡并开通个人网银业务,以合法身份进入该银行大众版网银系统,然后利用网络下载的黑客软件,对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。犯罪嫌疑人首先通过所掌握的银行卡卡号规律,猜测出一些银行卡卡号,然后不断尝试对本地计算机终端浏览器上运行的个人网银(大众版)服务端送来的网页代码进行数据篡改,将网页代码中“转出账号”数据改成所猜测的银行卡卡号;当篡改的客户端数据发回网银服务端后,由于该行服务端设计缺陷,没有对“转出账号”进行客户银行卡归属校验,导致犯罪嫌疑人成功将猜出的银行卡内资金转入其指
27、定的银行账号内。据统计,犯罪嫌疑人发案期间尝试攻击次数171笔,通过转账盗取资金共计59笔,涉及客户11名,累计金额12万元。案例分析:分析上述案件,其关键因素如下。一是由于WEB浏览器存在安全缺陷,犯罪嫌疑人通过网上下载的黑客软件,将个人网银(大众版)服务端送来的网页代码进行了数据篡改,为其修改“转入账号”、“转出账号”、“转账金额”及“产品使用权限”等个人网银客户端交易数据提供了基础环境;二是个人网银(大众版)服务端缺乏对客户端数据进行安全校验的措施,该银行为了提高服务端的系统服务效率,甚至将有关认证校验功能前置到不可信的客户端,导致犯罪嫌疑人测试出个人网银服务器端在转账交易流程中的缺陷漏
28、洞,实现其非法盗取客户资金的目的。案例2: 利用内嵌病毒邮件盗取客户资金危害指数 频度指数 案例描述:2004年2月29日,某银行接到一客户投诉,称其账户资金被非法盗取约5万元。该行通过查询网银系统打印出客户操作记录,发现被盗资金是通过该行网银系统普通版跨行转账到犯罪嫌疑人曾某名下账户。经查实,曾某承认自己利用“广外幽灵3.0”病毒程序盗用他人账户资料和密码,盗取他人账户资金的事实。案例分析:经查,犯罪嫌疑人利用病毒程序“广外幽灵3.0”作案,是通过群发功能将包含上述病毒程序的邮件发送到受害者电子邮箱中,受害者只要点击该邮件,病毒程序会自动下载到受害者计算机并隐藏在系统文件里。当受害人计算机重
29、启后,病毒程序会记录电脑键盘输入信息,然后通过电子邮件将其传到指定的犯罪嫌疑人邮箱里,被盗取的信息通常包括客户用户名、密码、QQ号、谈话内容等。案例3: 通过木马盗取客户资金之一危害指数 频度指数 案例描述:某银行客户蔡某,上网浏览了被犯罪嫌疑人白某植入木马的网页后,其电脑被自动植入“灰鸽子”病毒程序。2007年1月,客户蔡某账户资金被盗取16万余元。案例分析:经查,犯罪嫌疑人白某下载了“灰鸽子2006VIP破解版”(以下简称“灰鸽子”)远程控制软件后,用该软件攻击某网站,并在该网站网页植入木马。当被害人蔡某访问该网站,点击内嵌木马的网页后,其电脑即自动下载并运行木马程序。随后,犯罪嫌疑人白某
30、通过“灰鸽子”程序远程控制被害人蔡某的电脑,窃取蔡某的银行账号、密码及文件证书等,通过登录网上银行的方式盗取蔡某资金。目前多家银行网银采用数字证书的身份认证方式,文件网银数字证书尽管不容易被破解,但可以导出,存在被冒用或窃取的风险。案例4: 通过木马盗取客户资金之二危害指数 频度指数 案例描述:某银行3位客户向银行投诉,反映其账户资金被非法转账或被他人用于网上购物消费造成损失。事情经过如下: 2008年1月24日25日,客户赖某账户资金被非法分笔转走6000余元; 2008年10月2009年6月,客户向某账户发生非本人网上消费59笔,累计约3万元;2009年9月16日20日,客户程某账户发生非
31、本人网上消费15笔,累计7000余元。上述3位客户均已向公安部门报案。案例分析:上述案件尚未结案,在此只能分析其可能发生的原因。客户赖某、程某有网购经历。尤其是程某,在案件发生后3天,该行就发现其账户被其他曾经盗用客户网银资金的可疑IP地址进行了操作。因此这两个客户很可能是在网购时中了木马病毒或者登录了钓鱼网站等情况下,泄露了自己的账号和密码等信息。而客户向某提及有他人知道其账户密码,因此有可能是向某平时保管账户和密码不慎,造成泄密后发生账户资金被盗。案例5: 远程操纵客户计算机盗取资金危害指数 频度指数 案例描述:2005年12月,某银行客户上班后于8时30分开机,20分钟后突然发现其计算机
32、系统自动显示网银转账画面,鼠标显示被别人操纵,本人无法控制。该客户立即拨通了某银行服务电话,按照客服提示进行了关机处理。12分钟后,该客户重新进入系统查询,发现账户资金被转走近2万元,随即向公安部门报案。经查,该客户资金被转至犯罪嫌疑人账户,并于当日9时20分左右分两笔取出。案例分析:客户反映在案发的一个星期前操作计算机时曾有过异常现象,犯罪嫌疑人实际早已侵入其计算机系统,并盗取该客户的网银账号、密码及文件网银证书。随后犯罪嫌疑人通过远程控制该客户的计算机后使用网银转账,导致该客户账户资金被盗取。案例6: 攻击网站获取客户信息盗取资金危害指数 频度指数 案例描述:2004年11月12日,某银行
33、客户张某取款时发现银行卡密码不对,重新设定密码后发现银行卡内近6000元被盗取。同年11月,客户罗某、王某相继向公安部门报案,反映其银行借记卡的密码被修改,并于2004年10月分别被转出人民币4000余元和近2000元。随后,公安部门陆续接到多起类似报案。经查,犯罪嫌疑韩某人非法盗取了85名银行卡客户信息,通过登录银行网站,开通其中30张银行卡的网上银行,以不同IP地址登录网银,修改银行卡密码。随后利用盗用的客户信息伪造身份证,开立借记卡,并将上述30张卡中部分资金转移至该借记卡,盗取现金近2万元。案例分析:犯罪嫌疑人韩某系某网吧的网络管理员。2004年6月,韩某使用黑客软件窃取某网站系统管理
34、员用户名和密码,得以远程控制该网站。该网站是专业从事广告业务的网站,客户点击该网站可获得收入,但必须输入点击人的身份证号、银行卡号等信息。韩某通过该网站获得2万多条包含姓名、身份证号码、银行卡号和所属银行名称等信息的客户资料,并使用自制程序破解密码。案例7: 窃取客户网银证书作案危害指数 频度指数 案例描述:2008年1月25日24时,某银行客户叶某称其个人银行卡中的10万余元,在20分钟内被人通过网银分5次转走,怀疑被盗。经查,犯罪嫌疑人在异地通过两台ATM将资金盗取。案例分析:受害人叶某使用文件电子证书登录网上银行,并将该证书存贮于电脑中。半年前曾将电脑送修,犯罪嫌疑人在维修电脑时导出电子
35、证书后,在其电脑内安装木马程序盗取网银密码并作案。案例8: 盗取同事账户作案危害指数 频度指数 案例描述:2008年3月5月,某银行10位客户向该行及公安部门反映,其账户在网上多次被他人用于购物消费,累计共187笔,涉及资金7万余元。案例分析:经调查,上述10名客户均是同一公司员工,该公司某财务人员利用职务之便,收集上述人员的身份证号、银行账号等个人资料。由于上述人员的账户密码均由其出生日期组成,该财务人员轻易破解了10名受害客户的密码,并利用网上消费盗取他人资金。案例9: 利用假证件开通网上银行作案危害指数 频度指数 案例描述:2006年2月上旬,犯罪嫌疑人梁某利用假身份证申请开通某银行网上
36、银行,盗取一客户账户资金15万余元。经查梁某作案手段及过程如下。2006年2月9日,梁某假冒客户毛某在A支行开立银行卡,并注册个人网银证书版;同日,梁某假冒客户毛某在B支行开立银行卡。2006年2月10日,梁某登录某银行网银系统,并将客户毛某的账户下挂在其用假身份证开通的网银证书版下,然后分两笔分别转入在A、B支行新开通的银行卡中。同日梁某分别在其他支行ATM上将上述15万余元取走。梁某通过以上操作,造成客户毛某账户资金损失15万余元。案例分析:据犯罪嫌疑人交待,获取银行客户资料有两种途径:一是利用银行借记卡在各地区发卡卡段规律,上网查找各地区卡段的卡号,通过登录银行网站或电话银行自助注册等手
37、段,通常使用、等简易密码进行测试,发现有吻合的卡号便开始作案;二是在网上购买客户资料与密码。通过上述办法取得客户银行卡号与密码后,在外地自助终端进行异地汇款操作,套取出客户姓名,然后上网购买该姓名客户的身份证号码,逐一核对确定客户身份证号码。犯罪嫌疑人利用上述两种方式取得客户姓名、卡号、密码、身份证号码之后,再制作假身份证,并持假身份证到银行网点开卡及开通网银证书版。随后登录银行网站,通过网上银行自助下挂卡功能,将被盗客户借记卡添加到网上银行,同时进行同名账户转账,成功后到异地提取现金。案例10: 嗅探网银系统作案危害指数 频度指数 案例描述:2009年3月28日,某银行计算机监控系统发出告警
38、信息,经现场值守人员分析,发现有人嗅探其网银系统。该行立即启动相关应急预案,采取积极有效的措施,及时阻止该不法行为。随后,公安部门介入迅速将犯罪嫌疑人缉拿。该事件没有给该行和客户造成损失。案例分析:犯罪嫌疑人利用网上银行提供给普通用户查询账户余额的界面,通过假想的卡号和简单密码,如、,不断嗅探网银系统。但由于网上银行在安全设计时已考虑普通用户版可能存在的恶意使用情况,采取较为严格的防范手段,成功阻止了该不法行为,确保客户资金安全。案例11: 非法破解用户密码作案危害指数 频度指数 案例描述:2009年4月,非法攻击者通过自己编写的附加码自动识别程序,采用锁定某一固定密码反复轮询卡号的方式,对某
39、银行网上银行个人普通版进行尝试登录,并获取了该行网上银行个人普通版200多个客户银行卡登录信息。但该行银行卡设置了磁道加密控制,攻击者无法制造克隆卡,加之通过网上银行进行网银转账须到柜台签约,故未对客户造成资金损失。案例分析:此次攻击采用了自动程序识别网银图片附加码和固定密码反复轮询卡号手段。各银行网上银行一般对同一卡账号连续多次登录密码错误进行了控制,但一般很少会对“锁定某一固定登录密码、更换卡号尝试登录”的攻击方式进行控制。目前各银行卡号最后一位校验位的生成规则,基本按国标通用标准,依据规则可以生成银行卡卡号文件,可以通过锁定某一固定登录密码,轮询银行卡卡号文件尝试登录。案例111防范对策
40、与建议:一、加强对客户信息安全教育,培养客户的安全意识和良好的计算机使用习惯。客户在申请网银业务时,银行应充分告知相关风险。向客户提示不法分子盗窃客户资金的惯用手段和方法,引导客户设置安全的用户密码,避免设置过于简单的密码,给犯罪分子以可乘之机。同时,引导客户采取及时升级计算机操作系统补丁,安装防病毒、防木马软件等多种方式,有效防范病毒和木马的侵袭,保护客户账户信息与网上资金交易的安全。二、严格执行业务办理中的客户身份证件核查制度。对开户、业务功能注册、大额取款等重要业务,必须严格按照与客户签订的有关协议办理。三、强化网银客户身份认证,比如采取网银硬件证书、动态令牌、手机短信等更加安全的客户认
41、证方式。应充分评估和防范网银文件证书存在的安全隐患,文件网银数字证书尽管不容易被破解,但可以导出,存在被冒用和窃取的风险。在风险可控的前提下,应防范文件证书客户办理转账、网上支付等资金划转类业务的风险。四、加强针对门户网站、网上银行等面向互联网应用的信息系统的安全防护措施,提高安全防护水平。五、完善网银交易验证流程,修补网银安全漏洞。六、完善客户对账业务和余额变动提醒等功能。以电子邮件、传真、纸质对账单等形式,向客户提供每笔或每月的账户对账单,让客户随时掌握账户内资金流向。通过短信提醒等方式将客户银行卡存取现金、网上支付、POS消费等情况及时通知客户。七、建立有效的入侵监控和报警机制。应对网银
42、业务流程进行风险分析,采取技术手段强化系统安全控制,如增加附加码图片噪点,提高附加码图片破解复杂度等;在网上银行后台加入攻击监控和锁定机制,对同一IP地址多次登录网银失败的行为进行预警,并对IP地址锁定,禁止其再次登录网上银行;对锁定固定密码,更换卡号尝试登录的攻击方式进行控制等。定时对网上银行交易、网络访问日志及对外服务网站进行检查和监控,提高对网银系统异常登陆行为的检测和分析力度,对任何可疑或异常行为要进行及时处置。第二节 内控缺陷类案件案例12: 非法办理存折配卡作案危害指数 频度指数 案例描述:2005年3月,某银行一分理处在自查中发现,一柜员王某在办理储蓄卡制卡业务时,表外付出凭证未
43、附特殊业务申请书(或领卡签收单)。经查,王某于2004年12月2005年1月期间,私自配卡11张,并对其中2张进行了密码挂失,利用业务繁忙时要求主管授权,办理了密码重置业务(系统此交易需A级柜员授权)。据王某交代:当客户前来银行办理业务时,在处理完正常交易业务后,王某会谎称客户存折磁条损坏,让客户以为还在办理正常业务,再次输入密码,而实际上王某已进入系统的“存折配卡”交易操作(因为“存折配卡”交易必须输入客户存折密码后方可)。以此骗得客户输入密码后办理了“存折配卡”业务,私自对存折客户配置了储蓄卡,交易结束后打印的相关凭据也在日终流水换人勾对后销毁,并将私配的储蓄卡留下。2005年2月,王某利
44、用其中一张户名为林某的储蓄卡分别在市区3个网点办理取款业务,共取人民币12万元。案例分析:此案件反映出:一是该行信息系统存在控制漏洞,在“密码挂失”、“存折配卡”、“密码重置”等环节缺乏有效的风险控制;二是该行内部控制不到位,主管风险防范意识不强,未认真履行授权与审核职责。案例13: 篡改系统数据虚开存单作案危害指数 频度指数 案例描述:2004年12月,某农村信用合作联社员工刘某,利用自身熟悉储蓄微机操作的条件,趁其他工作人员暂时离岗的时机,采取存入小额定期存款,空打存单的手段,套取空白存单。然后利用上班前或下班后其他工作人员不在岗时,采取“数据恢复”的手段,将微机日期调整为需要的日期,进入
45、“日间业务”进行伪造大额存单的实际操作,再利用“数据恢复”将数据恢复成正常的业务数据。最后,利用其他工作人员暂时离岗的机会,在伪造的大额存单上加盖储蓄业务章和经办人员名章。采用该手段,刘某共虚开大额存单计13张,累计金额近400万元,实际存单底账金额为3000余元。之后,刘某伙同他人采取内外勾联、预先约定的方式,违反农村信用社信用服务站无权出具质押存单的止付手续等规定,乘其他工作人员忙于业务或休息之机,由一人违规办理存单的质押贷款止付手续,并出具存单止付证明。王某利用刘某开出的虚假存单,分别在一家银行机构和三家信用社办理质押贷款,质押贷款金额近300万元。案例分析:一、该联社储蓄业务计算机处理系统存在严重缺陷。如可以空打存单,系统数据恢复时,缺乏安全控制或双重控制等。二、该联社对信用服务站储蓄业务章、重要备份数