文/舒同

網(wǎng)銀漏洞樣本解剖

文/舒同

自 20世紀(jì)末網(wǎng)上銀行業(yè)務(wù)誕生以來(lái)，我國(guó)網(wǎng)上銀行用戶的數(shù)量一直保持快速增長(zhǎng)，尤其是上海這類金融發(fā)達(dá)城市，網(wǎng)銀業(yè)務(wù)已經(jīng)具有較高的普及率。據(jù)中國(guó)金融認(rèn)證中心《2009年中國(guó)網(wǎng)上銀行調(diào)查報(bào)告》顯示：個(gè)人方面，全國(guó)城鎮(zhèn)人口中，個(gè)人網(wǎng)銀用戶的比率已達(dá)20.9%；企業(yè)方面，網(wǎng)銀用戶所占比例為40.5%。

一方面，網(wǎng)銀為人們的金融活動(dòng)提供了便利；另一方面，在銀行業(yè)務(wù)不斷創(chuàng)新的同時(shí)，一些新型漏洞也成了犯罪分子聞風(fēng)而至的掘金點(diǎn)。據(jù)上海市人民檢察院2013年5月8日發(fā)布的首部《年度上海金融檢察白皮書》稱，上海檢察機(jī)關(guān)2012年共受理金融犯罪審查逮捕案件849件，涉案1188人，審查起訴案件2490件，涉案3381人。金融犯罪案件數(shù)量同比2011年迅速增長(zhǎng)近八成。

隨著網(wǎng)絡(luò)科技的飛速發(fā)展，金融犯罪中涉及網(wǎng)絡(luò)銀行的犯罪已成為一個(gè)備受關(guān)注的高危領(lǐng)域，以下是上海檢察機(jī)關(guān)金融處近期提起公訴并發(fā)出檢察建議的兩起典型案例。

案件一：手機(jī)驗(yàn)證成了擺設(shè)

2012年2月至6月，上海。從事信用卡辦理業(yè)務(wù)的“圈里人”丁某，通過(guò)網(wǎng)絡(luò)論壇、QQ群潛水，用錢購(gòu)買到了大量他人銀行征信報(bào)告。擁有了這份征信報(bào)告，在外人看來(lái)銅墻鐵壁的網(wǎng)銀平臺(tái)，頓時(shí)成了一個(gè)充滿誘惑和機(jī)會(huì)的聚寶盆。

“足智多謀”的丁某開(kāi)始揣摩起這份紙面上沒(méi)有太多秘密的征信報(bào)告，很快從中摸出了一些道道。他伙同田某，憑借征信報(bào)告上的信息，冒充信用卡持卡人，打電話到相關(guān)銀行客服，通過(guò)身份驗(yàn)證后，迅速獲得了持卡人名下信用卡卡號(hào)，隨后將卡主預(yù)留的手機(jī)號(hào)改為其控制的手機(jī)號(hào)。預(yù)留手機(jī)被非法更改，此時(shí)不但素未謀面的電話客服不知中計(jì)，連卡主本人也被蒙在鼓里。丁某接著利用快捷支付功能，在淘寶網(wǎng)上開(kāi)始進(jìn)行虛假交易、購(gòu)買游戲積分，瘋狂盜刷他人信用卡資金。僅僅四個(gè)月，林某和田某就通過(guò)這個(gè)方式分別盜刷資金94萬(wàn)余元人民幣、9萬(wàn)余元人民幣。

這還不算，丁某利用職務(wù)之便還和康某聯(lián)手，利用為被害人辦理信用卡過(guò)程中，留存辦卡人網(wǎng)銀U盾及個(gè)人身份信息資料的機(jī)會(huì)，“巧妙”利用銀行信用卡核發(fā)日與卡主收到信用卡的時(shí)間差，冒充卡主致電銀行客服，開(kāi)通信用卡并更改預(yù)留的手機(jī)號(hào)。繼而，又通過(guò)網(wǎng)上虛假交易，盜取李某信用卡資金近5萬(wàn)元。近期，丁某以信用卡詐騙罪被判處有期徒刑12年。

案件二：工作電子郵箱被盜導(dǎo)致泄密

2011年，喜歡上網(wǎng)的李某，在某銀行網(wǎng)上商城上拿到了某用戶的賬戶名和密碼。于是他登錄郵箱，發(fā)現(xiàn)此人竟是某銀行人力資源部員工，并且在郵件內(nèi)收錄了該行部分員工的身份證號(hào)碼、借記卡卡號(hào)等信息。有點(diǎn)小聰明的李某，通過(guò)其信息資料，測(cè)試出了一部分人的相關(guān)密碼。隨后通過(guò)網(wǎng)上銀行系統(tǒng)，從蔡某等七人信用卡賬戶劃轉(zhuǎn)5.5萬(wàn)余人民幣。所有過(guò)程，都在網(wǎng)上操作，犯罪隱蔽性很強(qiáng)。

2013年3月，上海市人民檢察機(jī)關(guān)就近期發(fā)生的相關(guān)案件，向中國(guó)銀行監(jiān)督管理委員會(huì)上海監(jiān)管局發(fā)出了有關(guān)預(yù)警通報(bào)。通報(bào)指出，近期上海市檢察機(jī)關(guān)先后辦理的多起犯罪分子冒用他人名義，使用非法獲得的銀行征信報(bào)告或持卡人信息，通過(guò)銀行電話客服驗(yàn)證，獲取或變更他人信用卡信息資料，進(jìn)而通過(guò)網(wǎng)絡(luò)等渠道實(shí)施的詐騙犯罪，反映出部分銀行電話客服身份驗(yàn)證流程、客戶信息資料保管及人員管理等方面存在金融犯罪風(fēng)險(xiǎn)。

由此，檢察機(jī)關(guān)認(rèn)為：

在當(dāng)前存在銀行客戶資料大量泄露的狀況下，銀行電話客服不能僅以持卡人預(yù)留身份證號(hào)和電話號(hào)碼等靜態(tài)基本信息為身份驗(yàn)證的條件，還應(yīng)當(dāng)設(shè)置動(dòng)態(tài)的身份驗(yàn)證程序，防止犯罪分子利用銀行外泄的客戶資料實(shí)施詐騙犯罪。

切實(shí)保護(hù)客戶信息，切斷犯罪源頭。面對(duì)大量金融詐騙、電信詐騙犯罪，都源于客戶信息、公民信息泄露，金融機(jī)構(gòu)應(yīng)當(dāng)重視客戶信息的保護(hù)，增強(qiáng)保護(hù)意識(shí)、完善保護(hù)措施、提高保護(hù)能力。要進(jìn)一步加強(qiáng)員工對(duì)客戶信息的保密教育；建立完善客戶信息的保密制度；采取各種措施確保內(nèi)部網(wǎng)絡(luò)安全。

加強(qiáng)對(duì)員工的管理和教育，杜絕內(nèi)部人員犯罪。金融行業(yè)，特別是銀行機(jī)構(gòu)，如果每個(gè)環(huán)節(jié)上的操作人員，都能嚴(yán)格按照程序和制度辦事，不法分子就難以得逞。內(nèi)外勾結(jié)的案件，不僅容易得逞，而且危害遠(yuǎn)大于外部人員作案。

中國(guó)銀監(jiān)會(huì)上海監(jiān)管局在收到檢察機(jī)關(guān)金融檢察處相關(guān)風(fēng)險(xiǎn)提示后，迅速擬定了相關(guān)措施方案：

首先，提升身份驗(yàn)證安全系數(shù)。對(duì)于不法分子利用掌握的人行征信報(bào)告，通過(guò)銀行電話客服身份驗(yàn)證，獲取卡號(hào)，并修改預(yù)留手機(jī)號(hào)碼問(wèn)題。目前，大部分商業(yè)銀行在客戶要求修改信用卡重要信息時(shí)，通過(guò)檢驗(yàn)客戶交易（查詢）密碼，或回?fù)芸蛻纛A(yù)留電話等方式進(jìn)行核實(shí)。

其次，嚴(yán)控涉密區(qū)域。對(duì)于某銀行內(nèi)部人員作案的問(wèn)題，目前其部門已禁止接待手機(jī)、筆、紙進(jìn)入涉及客戶信息的辦公區(qū)域。

再次，防范征信報(bào)告泄露。目前可批量查詢?nèi)诵姓餍艌?bào)告的機(jī)構(gòu)處人民銀行外，主要為商業(yè)銀行和融資行擔(dān)保公司、保險(xiǎn)公司等機(jī)構(gòu)。從目前向在滬各持牌信用卡中心了解的情況看，各卡中心對(duì)查詢?nèi)诵姓餍艌?bào)告的電腦設(shè)備實(shí)行嚴(yán)格的內(nèi)外網(wǎng)分離機(jī)制，關(guān)閉U盤等移動(dòng)存儲(chǔ)設(shè)備的使用功能，并建立了相應(yīng)的監(jiān)控機(jī)制，防范數(shù)據(jù)泄露。銀監(jiān)會(huì)指出，目前無(wú)法確認(rèn)，征信報(bào)告泄露系銀行端造成，但相關(guān)部門依舊不能掉以輕心。

綜合上述，在防范網(wǎng)絡(luò)銀行犯罪體系中，司法機(jī)關(guān)、銀監(jiān)會(huì)、銀行乃至第三方支付平臺(tái)和客戶個(gè)人，在網(wǎng)銀犯罪阻擊戰(zhàn)中，都有相應(yīng)的角色分配。