文/華東政法大學(xué) 夏草

域外：全球加緊應(yīng)對(duì)網(wǎng)銀犯罪

文/華東政法大學(xué) 夏草

早在1999年的美國(guó)統(tǒng)計(jì)資料就表明：平均每起計(jì)算機(jī)犯罪造成的損失高達(dá)45萬(wàn)美元，而傳統(tǒng)的銀行欺詐與侵占案平均損失只有119萬(wàn)美元，銀行搶劫案的平均損失不過(guò)4900美元，一般搶劫案的平均損失僅為370美元。據(jù)美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì)測(cè)算，一起刑事案件的平均損失僅為2000美元，而一起計(jì)算機(jī)犯罪案件的平均損失高達(dá)50萬(wàn)美元。據(jù)計(jì)算機(jī)安全專家估算，近年因計(jì)算機(jī)犯罪給總部在美國(guó)的公司帶來(lái)的損失為2500億美元。

全球范圍內(nèi)，每秒就有18位網(wǎng)民遭受網(wǎng)絡(luò)犯罪的侵害，平均每位受害者蒙受的直接經(jīng)濟(jì)損失總額為197美元。據(jù)估計(jì)，全球遭受過(guò)網(wǎng)絡(luò)犯罪侵害的網(wǎng)民已超過(guò)了歐盟的人口總額。

巴西銀行業(yè)聯(lián)合會(huì)登記的數(shù)據(jù)顯示，2011-2012年利用銀行網(wǎng)絡(luò)服務(wù)系統(tǒng)實(shí)施的犯罪活動(dòng)比前一年增長(zhǎng)了60%，導(dǎo)致銀行和客戶經(jīng)濟(jì)損失15億雷亞爾（約合7.5億美元）。而據(jù)美國(guó)頂級(jí)風(fēng)險(xiǎn)管控公司FICO（費(fèi)埃哲）于2013年5月20日發(fā)布的2012年歐盟信用卡詐騙數(shù)據(jù)顯示，法國(guó)以29%的損失增長(zhǎng)率取代英國(guó)（27%）位居歐盟受信用卡詐騙犯罪損失最大的國(guó)家。2011年歐盟各國(guó)受信用卡詐騙犯罪總額較去年增長(zhǎng)6%。而法國(guó)受信用卡詐騙的損失從2007年至2012年增長(zhǎng)了65%，共計(jì)損失增長(zhǎng)額為1.74億歐元。英國(guó)官方2013年5月調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)欺詐型犯罪導(dǎo)致小企業(yè)每年損失近7.85億英鎊的損失。根據(jù)2013年4月諾頓網(wǎng)絡(luò)安全報(bào)告中所述，2012年全球惡意釣魚網(wǎng)站較前一年增加了123%，犯罪分子通過(guò)釣魚網(wǎng)站獲取被害人的賬號(hào)、密碼以及其他網(wǎng)絡(luò)銀行賬號(hào)的信息。使用SSL安全協(xié)議證書（Secure socket layer）令受害者在訪問(wèn)時(shí)誤以為仍在安全上網(wǎng)的惡意釣魚網(wǎng)站數(shù)量較2011年增加了46%。同時(shí)2012年韓國(guó)的釣魚網(wǎng)站數(shù)量上升明顯，其他的釣魚網(wǎng)站較為活躍的非英語(yǔ)國(guó)家有法國(guó)、意大利、葡萄牙、中國(guó)和西班牙。

犯罪暗潮

跨國(guó)團(tuán)伙線上線下聯(lián)合犯罪洗劫銀行

據(jù)路透社今年5月9日?qǐng)?bào)道，美國(guó)司法部聯(lián)邦檢察機(jī)關(guān)對(duì)一個(gè)據(jù)點(diǎn)設(shè)在紐約的跨國(guó)網(wǎng)絡(luò)犯罪集團(tuán)的八名多米尼加裔美國(guó)籍成員提出指控（其中一名頭目于4月底在多米尼加共和國(guó)遇害身亡），該犯罪團(tuán)伙涉嫌利用黑客手段入侵銀行信用卡交易公司的數(shù)據(jù)系統(tǒng)，提高了阿曼馬斯喀特銀行（Bank of Muscat of Oma）和阿拉伯聯(lián)合酋長(zhǎng)國(guó)哈伊馬角國(guó)家銀行（RAKBANK）發(fā)行的萬(wàn)事達(dá)預(yù)付費(fèi)借記卡（MasterCard）可用額度和取現(xiàn)額度，并盜取銀行卡號(hào)，然后利用工具將銀行卡信息輸入廢舊的酒店鑰匙卡、過(guò)期或作廢的信用卡等任何只要是帶有磁條的卡片中，完成銀行卡的偽造。再?gòu)?7個(gè)國(guó)家的自動(dòng)取款機(jī)中盜走4500萬(wàn)美元，約合人民幣2.8億元。

沒(méi)有槍支和面具，取而代之的是筆記本和互聯(lián)網(wǎng)。該團(tuán)伙共作案兩起。去年12月，該團(tuán)伙犯罪人員入侵印度一個(gè)銀行卡處理器，在兩個(gè)半小時(shí)的時(shí)間內(nèi)從20個(gè)國(guó)家的自動(dòng)取款機(jī)非法提取500萬(wàn)美元；今年2月，該團(tuán)伙再次作案，入侵一個(gè)美國(guó)處理器，在10個(gè)小時(shí)的時(shí)間內(nèi)從24個(gè)國(guó)家的自動(dòng)取款機(jī)實(shí)施了3.6萬(wàn)次交易，竊取4000萬(wàn)美元，其中在紐約的八人小組從2904臺(tái)取款機(jī)中非法提取了240萬(wàn)美元。涉案兩家銀行尚未回應(yīng)這一案件。據(jù)馬斯喀特銀行2月披露，12張預(yù)付費(fèi)旅行卡遭境外欺詐，銀行將計(jì)提3900萬(wàn)美元減值損失，這一數(shù)額超過(guò)馬斯喀特銀行2013年第一季度利潤(rùn)的50%。如此快的速度洗劫全球多家金融機(jī)構(gòu)，美國(guó)紐約州東區(qū)聯(lián)邦檢察官洛蕾塔·林奇（Loretta Lynch））稱這起案件“為21世紀(jì)銀行大劫案” 。

“所幸”該案的最終受害者并非個(gè)人，而是上述兩個(gè)中東的銀行。專家分析，該團(tuán)伙之所以會(huì)選擇中東的銀行實(shí)施犯罪很可能是因?yàn)檫@兩家銀行允許信用卡客戶提款的額度較其他地區(qū)銀行更高，且并不如其他銀行一樣對(duì)信用卡使用情況進(jìn)行密切監(jiān)視。目前，這些受害銀行是否能向銀行卡處理器公司尋求被盜損失還不確定，根據(jù)美國(guó)法律規(guī)定，銀行必須與相關(guān)銀行卡處理器公司簽訂有關(guān)安全證書方面的協(xié)議，如果處理器公司沒(méi)有遵循合約提供安全防護(hù)，則處理器公司將對(duì)銀行的損失負(fù)責(zé)。當(dāng)然受害銀行還可以根據(jù)保險(xiǎn)政策，向銀行的保險(xiǎn)公司或銀行卡處理器的保險(xiǎn)公司尋求賠償。據(jù)悉，美方調(diào)查人員已與日本、加拿大、德國(guó)、羅馬尼亞、阿聯(lián)酋、多米尼加共和國(guó)、墨西哥、意大利、西班牙、比利時(shí)、法國(guó)、英國(guó)、拉脫維亞、愛沙尼亞、泰國(guó)、馬來(lái)西亞等多國(guó)執(zhí)法人員展開合作。類似的案件已現(xiàn)于2009年，犯罪分子用偽造的蘇格蘭皇家銀行預(yù)付費(fèi)借記卡，在12小時(shí)內(nèi)取走九百多萬(wàn)美元。

非法SIM卡調(diào)換致網(wǎng)銀失竊案暴增

隨著南非許多國(guó)家上網(wǎng)費(fèi)用的降低，南非正遭受移動(dòng)和互聯(lián)網(wǎng)銀行犯罪的逆襲，造成數(shù)百萬(wàn)美元的損失。據(jù)報(bào)告顯示，南非的手機(jī)移動(dòng)銀行犯罪案件同比增長(zhǎng)8%，網(wǎng)絡(luò)銀行犯罪案件增長(zhǎng)3%。據(jù)南非銀行風(fēng)險(xiǎn)信息中心（Sabric）商業(yè)犯罪辦公室總經(jīng)理蘇珊（Susan Potgieter）介紹，南非在2011年發(fā)生此類案件的總量不到100起，但在2012年案發(fā)量躍至一千多起。去年南非《華僑新聞報(bào)》就報(bào)道了一起SIM卡調(diào)換致受害者網(wǎng)銀被盜案件。受害者陳先生于案發(fā)當(dāng)日上午收到一封手機(jī)短信，其內(nèi)容為：您已申請(qǐng)一張新手機(jī)卡，目前使用的SIM卡即將停用，請(qǐng)確認(rèn)。當(dāng)事人看到該信息后，并不以為然。但是，大約上午10點(diǎn)左右，陳先生的手機(jī)果然不能使用。由于外出辦事，當(dāng)事人不能及時(shí)到VODACOM公司營(yíng)業(yè)廳詢問(wèn)。當(dāng)日下午一點(diǎn)半左右，被害人從妻子處獲知，其使用的南非聯(lián)合銀行賬上被轉(zhuǎn)走了兩筆款項(xiàng)。下午3點(diǎn)多，陳先生查詢自己的網(wǎng)絡(luò)銀行信息時(shí)發(fā)現(xiàn)其無(wú)法登錄網(wǎng)銀客戶端，自己的用戶名、密碼等信息已被人刪改了。

今年5月南非聯(lián)合銀行集團(tuán)（ABSA）向其用戶發(fā)布警告，解釋SIM卡調(diào)換欺詐的流程：首先，受害者將收到一個(gè)由罪犯假冒銀行發(fā)出的短信，聲明受害者的銀行賬戶出現(xiàn)問(wèn)題，稍后將有專員與其取得電話聯(lián)系。第二步，幾分鐘后，受害者果真會(huì)收到一個(gè)電話，要求受害者回答幾個(gè)問(wèn)題來(lái)確認(rèn)一些賬戶信息，比如受害者的銀行卡號(hào)，使用的手機(jī)型號(hào)，最近呼叫的幾個(gè)電話號(hào)碼等。第三步，罪犯向受害者的手機(jī)運(yùn)營(yíng)商申請(qǐng)SIM卡更換，這將令罪犯接收由受害者銀行發(fā)出的手機(jī)確認(rèn)信息，從而方便將受害者銀行卡中的錢款通過(guò)網(wǎng)絡(luò)銀行劃出。第四步，一旦受害者發(fā)現(xiàn)自己的電話無(wú)法使用，其銀行卡中的錢款已經(jīng)被犯罪分子劃出。

南非聯(lián)合銀行數(shù)字銀行主管艾德里安（Adrian Vermooten）在接受電臺(tái)采訪時(shí)稱，這些案件90%以上是由于受害者在不經(jīng)意間向釣魚網(wǎng)站或他人透露了自己的網(wǎng)銀信息，只有很少的幾個(gè)案子是因?yàn)樽锓甘褂瞄g諜軟件或鍵盤記錄軟件獲取被害人的網(wǎng)銀登錄信息。同時(shí)非洲信息和通信技術(shù)發(fā)展中心（Africa Center for ICT Development）分析師說(shuō)，如今釣魚工具包在網(wǎng)上可以很容易地被不法分子獲得，使得網(wǎng)絡(luò)犯罪不再需要訓(xùn)練有素的黑客即可實(shí)施。

是銀行內(nèi)控失職還是電信商換卡失職

根據(jù)馬來(lái)西亞銀行協(xié)會(huì)公布的電子銀行犯罪統(tǒng)計(jì)中，最常見的犯罪手段為釣魚網(wǎng)站，緊接著是短消息和電話詐騙。

當(dāng)然銀行內(nèi)控失職也常為網(wǎng)絡(luò)銀行犯罪提供溫床。2005年6月我國(guó)的《經(jīng)濟(jì)參考報(bào)》曾報(bào)道一名為彭博的年輕人，為了證明自己的實(shí)力而參加黑客大賽，利用網(wǎng)絡(luò)破譯銀行銀信用賬號(hào)，涉嫌盜竊近2萬(wàn)人民幣。在庭審時(shí)，其為自己辯解，并不想通過(guò)這種手段盈利，持卡人姓名是其胡亂填寫，目的就是考慮到銀行不會(huì)收單，就不會(huì)讓自己的行為給他人帶來(lái)財(cái)產(chǎn)損失。殊不知銀行還是無(wú)視了銀行持卡人姓名的錯(cuò)誤信息，將錢款劃撥了出去。事實(shí)上，很多網(wǎng)絡(luò)銀行犯罪之所以能夠成功問(wèn)題就出在銀行內(nèi)部人員工作疏忽。

在27國(guó)特大萬(wàn)事達(dá)預(yù)付費(fèi)借記卡詐騙案中（該案的案件名稱為U.S. v. Lajud-Pena et al.），有一個(gè)名為維爾維斯（Elvis Rodriguez）的嫌疑犯曾在今年1月時(shí)計(jì)劃去羅馬尼亞旅行，其向該旅游組織方支付了30萬(wàn)美元。但是美國(guó)航空公司取消了維爾維斯的預(yù)訂，因?yàn)楹娇展緫岩稍摴P預(yù)訂欠款可能系使用偷來(lái)的信用卡支付的。雖然預(yù)訂被取消，但最終維爾維斯還是用現(xiàn)金支付了旅行費(fèi)用。在這段小花絮中美國(guó)航空公司對(duì)信用卡支付的警覺與中東兩大受害銀行形成鮮明對(duì)比。側(cè)面印證北京大學(xué)金融法研究中心副主任白建軍教授早在2006年就在媒體上指出針對(duì)愈演愈烈的網(wǎng)絡(luò)金融犯罪，最根本的解決辦法是提高銀行內(nèi)控力度。

依法治網(wǎng)

全球加緊應(yīng)對(duì)網(wǎng)絡(luò)金融犯罪

2001年11月23日，歐洲理事會(huì)在匈牙利布達(dá)佩斯召開的網(wǎng)絡(luò)犯罪大會(huì)上舉行了《關(guān)于網(wǎng)絡(luò)犯罪的公約》（Convention on Cyber-crime）的開放簽署儀式。這就是布達(dá)佩斯網(wǎng)絡(luò)犯罪公約（the Budapest Convention on Cybercrime）。該公約由歐洲理事會(huì)的26個(gè)歐盟成員以及美國(guó)、加拿大、日本和南非等30個(gè)國(guó)家的政府官員共同簽署。2004年3月18日立陶宛國(guó)正式批準(zhǔn)，滿足了其生效要件，這個(gè)由歐洲理事會(huì)（Council of Europe，COE）主導(dǎo)的網(wǎng)絡(luò)犯罪公約于2004年7月1日正式生效，成為全球第一個(gè)針對(duì)網(wǎng)絡(luò)犯罪而成立的國(guó)際公約。該公約制定的目標(biāo)之一是期望使國(guó)際間對(duì)于網(wǎng)絡(luò)犯罪的立法有一致共同的參考標(biāo)的。公約也創(chuàng)建了一個(gè)全天候的“協(xié)作網(wǎng)絡(luò)”，可以在締約國(guó)間進(jìn)行24小時(shí)不間斷的情報(bào)交流及相關(guān)協(xié)助。

網(wǎng)絡(luò)銀行犯罪涉及兩部分犯罪，這兩部分可以是分開的行為，也可以是整合的：其一，信息系統(tǒng)攻擊獲取身份信息；其二，通過(guò)網(wǎng)絡(luò)詐騙或偷盜被害人網(wǎng)上銀行錢款。針對(duì)包括網(wǎng)絡(luò)銀行犯罪在內(nèi)的網(wǎng)絡(luò)犯罪，世界上大多數(shù)國(guó)家均在國(guó)內(nèi)規(guī)定了計(jì)算機(jī)安全的單行法，或?qū)π谭ㄟM(jìn)行了修正。美國(guó)1984年通過(guò)的第一部關(guān)于計(jì)算機(jī)安全與犯罪的法案《欺詐存儲(chǔ)裝置與計(jì)算機(jī)欺詐、濫用法》在1996年10月11日修訂后，改為美國(guó)聯(lián)邦刑法第18篇第1030條，名為“與計(jì)算機(jī)相關(guān)的欺詐及其行為”。其他相關(guān)立法還有《與存取設(shè)備有關(guān)的欺詐及其他行為法》《聯(lián)邦計(jì)算機(jī)安全處罰條例》以及《計(jì)算機(jī)欺騙與濫用法》等。英國(guó)1990通過(guò)了《計(jì)算機(jī)濫用法》。2000年印度通過(guò)《信息技術(shù)法案》。1986年8月1日德國(guó)刑法修正案也加入了若干涉及計(jì)算機(jī)安全與犯罪的條款。1987年日本修訂刑法，增加了若干關(guān)于計(jì)算機(jī)安全與犯罪的條文，現(xiàn)行日本刑法關(guān)于電子商務(wù)領(lǐng)域刑事立法條文規(guī)定使用計(jì)算機(jī)詐騙的行為屬于犯罪行為。

各國(guó)成立計(jì)算機(jī)犯罪專業(yè)偵查部門

為打擊網(wǎng)絡(luò)犯罪，許多國(guó)家建立了專門的計(jì)算機(jī)犯罪偵查部門。比如，2001年，墨西哥組建了拉美第一支網(wǎng)上警察部隊(duì)；2003年，巴西聯(lián)邦警察局設(shè)立專門機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)犯罪實(shí)施監(jiān)管和打擊。2004年烏拉圭首支“網(wǎng)絡(luò)巡邏警察”部隊(duì)在首都蒙得維的亞成立；韓國(guó)國(guó)家警察局建立的黑客調(diào)查隊(duì)是國(guó)家警察局國(guó)際刑警分局的一部分，其任務(wù)是搜查國(guó)際互聯(lián)網(wǎng)和本國(guó)計(jì)算機(jī)系統(tǒng)，以發(fā)現(xiàn)潛在的系統(tǒng)入侵者留下的行蹤。2012年韓國(guó)政府開始啟動(dòng)“白色黑客”（具有善意目的的黑客）培養(yǎng)計(jì)劃，計(jì)劃投入19億韓元（約合167萬(wàn)美元），培養(yǎng)大約六名“白色黑客”，以加強(qiáng)韓國(guó)信息安全部門的力量。日本也存在專門的計(jì)算機(jī)警察，他們是從中年計(jì)算機(jī)專家中遴選而來(lái)；在德國(guó)，為了打擊internet上的犯罪行為，特別設(shè)立了網(wǎng)絡(luò)警察組織；在英國(guó)，倫敦有一家名叫CCV的倫敦警察局犯罪部，專門負(fù)責(zé)計(jì)算機(jī)高科技犯罪的偵探工作，除了應(yīng)付計(jì)算機(jī)犯罪之外，還幫助開設(shè)計(jì)算機(jī)調(diào)查技術(shù)課程以培訓(xùn)警察，并幫助公眾排除因計(jì)算機(jī)病毒而帶來(lái)的麻煩，據(jù)說(shuō)這是歐盟打擊網(wǎng)絡(luò)犯罪中心（EC3）的前身；在法國(guó)，巴黎警察分局的信息技術(shù)偵察處，有十多位計(jì)算機(jī)警察，他們都是計(jì)算機(jī)方面處理存儲(chǔ)、傳播信息的專家，他們專門對(duì)付電話線路盜用、互聯(lián)網(wǎng)絡(luò)上的計(jì)算機(jī)盜竊等犯罪。在中國(guó)大陸，公安部十一局（網(wǎng)監(jiān)局）便是整體負(fù)責(zé)網(wǎng)絡(luò)與計(jì)算機(jī)安全的警察機(jī)構(gòu)。

更有國(guó)家在國(guó)內(nèi)增加網(wǎng)絡(luò)監(jiān)管培訓(xùn)，并與相關(guān)國(guó)內(nèi)外偵查組織合作。美國(guó)匹茲堡的國(guó)家網(wǎng)絡(luò)取證培訓(xùn)聯(lián)盟（National Cyber-Forensics & Training Alliance）就與歐盟打擊網(wǎng)絡(luò)犯罪中心EC3有合作。澳大利亞聯(lián)邦警察局（AFP）和澳大利亞銀行家協(xié)會(huì)（ABA）就聯(lián)合起來(lái)為廣大網(wǎng)民提供網(wǎng)絡(luò)銀行犯罪的警示。各國(guó)還有一些管理結(jié)構(gòu)和協(xié)會(huì)，比如英國(guó)的“互聯(lián)網(wǎng)監(jiān)察基金會(huì)”、澳大利亞的“網(wǎng)絡(luò)警示機(jī)構(gòu)”、互聯(lián)網(wǎng)從業(yè)者或ISP行業(yè)協(xié)會(huì)以及其他非政府組織在防治網(wǎng)絡(luò)犯罪方面起到關(guān)鍵作用。

美國(guó)成立互聯(lián)網(wǎng)欺詐投訴中心鼓勵(lì)報(bào)案

美國(guó)聯(lián)邦調(diào)查局（FBI）與國(guó)家白領(lǐng)犯罪中心（National White Collar Crime Center -NW3C）合作建立了互聯(lián)網(wǎng)犯罪投訴中心（Internet Crime Complaint Center-IC3），專門負(fù)責(zé)調(diào)查和打擊網(wǎng)絡(luò)犯罪行為，受害者可以隨時(shí)登陸該中心網(wǎng)站報(bào)案或投訴。因?yàn)榫W(wǎng)絡(luò)金融犯罪受害者中企業(yè)和商家占多數(shù)，但他們?cè)谑芎?，礙于擔(dān)心社會(huì)公眾可能會(huì)對(duì)其安全系統(tǒng)以及信譽(yù)產(chǎn)生懷疑，而選擇對(duì)犯罪保持承諾，拒不報(bào)案。而多數(shù)遭受小額網(wǎng)絡(luò)金融犯罪的個(gè)人受害者也會(huì)認(rèn)為數(shù)額太小，而不進(jìn)行舉報(bào)，這樣不利于政府及時(shí)發(fā)現(xiàn)和打擊網(wǎng)絡(luò)金融犯罪。因此除了像我國(guó)或美國(guó)部分地區(qū)規(guī)定強(qiáng)制報(bào)案制度外，還有不少國(guó)家的警察局或組織，如新加坡警察局、澳大利亞聯(lián)邦警察局等國(guó)家或組織官方網(wǎng)站上就建立了網(wǎng)上報(bào)案系統(tǒng)，接受并鼓勵(lì)網(wǎng)絡(luò)金融犯罪受害者報(bào)案，讓受害者可以迅速和有效地與執(zhí)法部門分享有關(guān)信息。

編輯：黃靈 yeshzhwu@foxmail.com