1、金融网络欺诈大调查2011 年 04 月 16 日 00:24来源: 21 世纪经济报道 作者:丁玉萍数月以来,假冒网银、钓鱼网站窃取客户资料及密码导致储蓄账户资金被盗案件时有发生。商业银行对存款人账户资金安全的保护能力受质疑。“钓鱼网站等欺诈交易的发生,虽不能说明银行的系统安全机制已被犯罪分子攻破,但这反映出国内银行在欺诈交易风险管理上,存在着一定的真空地带。” 某股份制银行电子银行部一位人士受访时指出,任何银行业务的风险管理均分为事前、事中、事后阶段,至少在事前监测阶段,我们做得是不够的。国外的银行可以运用一些技术手段做到事前发现可疑,事中进行阻断。而我们的有些银行是靠事后,大多数都是客户
2、报案了才知道。这是一个问题。1.“欺诈交易”案发近年来,国内银行卡、特别是信用卡业务的发展非常迅速。目前信用卡总量已达到 2.1 亿张,2010 年信用卡交易量达 5.1 万亿元,其中消费金额 2.7 万亿元。业务虽高歌猛进,有些银行卡欺诈交易的风险防范意识却甚为薄弱。银行卡欺诈交易的威胁日益严峻。2009 年,国内信用卡产业已形成损失的欺诈交易金额 1.74 亿元,同比增长5.10%,而据业内人士估计,2010 年比 2009 年至少翻了一番。随着信用卡的普及、受理环境的改善,信用卡的欺诈时有涌现。费埃哲信息技术(北京)有限公司副总裁陈建分析称,一方面,随着卡市场的发展,这种欺诈变得非常有利
3、可图,另一方面,欺诈总是倾向于攻击薄弱的环节。“在欺诈防范的技术手段上初级,风险防范的意识薄弱。因而欺诈非常容易得逞,欺诈的规模化发展成为一个趋势。”他说。欺诈风险属操作风险范畴。纵观已发生的欺诈行为,如信用卡套现、盗卡、伪造卡、钓鱼网站等网上支付诈骗等,欺诈犯罪手段并不高明,受害者之中也不乏 高学历、高智商的人群。当欺诈交易发生时,指责客户风险防范意识的不足多有失公允,更需银行反省自身,其反欺诈管理是否在意识、技术和机制上存在漏洞和不 足。陈建表示,近来各种欺诈案件频发,中国的商业银行对欺诈交易风险管理已经有所认识,但在具体操作上还需强化。通常欺诈交易风险管理体系只有最基本的解决方案,即在案
4、件发生后,经客户举报、投诉方才进行案件跟踪以及客户关系处理。“但是,欺诈交易风险管理最重要的环节是事前的监测和识别,因为案件发生时,损失已经造成,并且对资金的追索、案件的侦破不仅成本巨大,而且难以完成。”陈建说。银行可以事先有更多作为。比如通过建立模型来分析和发现欺诈行为,从而在不增加存款持有量的情况下改善客户关系,而不仅仅只是对客户做风险教育及提示。一位接受访问的国有银行电子银行部负责人指出,银行有责任主动发现钓鱼网站的存在,然后及时提醒客户去防范,并协调相关部门关闭这个钓鱼网站,“这方面银行还是有很多改进空间”。简而言之,即建立一种预测模型,通过对历史交易数据、欺诈活动、持卡人信息的技术分
5、析,来说明账户存在欺诈交易行为的可能性。此外,具体交易中,银行也可以通过一些辅助手段来帮助客户控制风险。“比如对网银交易设置更灵活的额度或降低单笔转账金额;比如一笔交易操作完成后,银行在资金转移出去之前,通过客服短信告知客户;针对金额较大、或者较可疑的转账行为,还可以让客服中心人工进行交易确认。”该人士表示。欺诈交易事前监测与识别十分必要。从国际上的经验来讲,几乎主要的发卡银行,都采用基于神经网络模型的预测以及大批量实时处理的 IT 手段,来进行实时的精确的反欺诈,特别是反申请欺诈和交易欺诈。2.银行“无过错论”?在已发生的多起欺诈交易中,银行无一不撇清责任,如何看待银行的“无过错论”?接受采
6、访的一位股份制银行电子银行部人士认为,通过钓鱼网站等方式发生的欺诈交易,确实跟银行的 IT 系统技术本身没有关系,不过,事件的蔓延与升级,是银行风险管理意识薄弱的体现。他认为,相对于银行卡市场份额、交易规模的迅速扩大,风险防范和服务手段却并未跟上。“过于注重做功能,而比较忽视客户服务和风险防范。”一位国有银行科技部人士透露,工、农、中、建四大行目前在 IT 上的投入超过10 亿元,而一家资产规模在 1 万亿以上的中小股份制商业银行,其每年的 IT资金投入也高达 2 亿,且逐年递增。“IT 投入不仅是在新项目建设上,更大的投入在于老系统的维护费用,所以,每年的 IT 投入资金量都是大幅递增的。”
7、该人士指出。只要在风险控制上多做一小步,就可以为客户挽回大量损失,然有些银行却惜步于此。为何银行不向前再迈出一步?接受采访的多名人士称,根源在于当前靠规模发展模式下,银行重增速轻风险,重短期轻远期,重大客户轻普通储蓄存款人的思维模式。无论是技术还是服务层面,任何一项风险管理措施都需要付出成本,而欺诈交易产生的直接损失对于银行而言可能并不严重。上述国有银行人士表示,“欺诈交易发生时造成的损失,对银行而言主要是品牌声誉受影响,也即间接损失,而资金的直接损失是客户来承担。”不过,国内银行对品牌价值及声誉的重视,在同质化竞争中驱动力明显不足。陈建指出,在美国,通常盗卡、伪造卡等信用卡欺诈交易带来的损失
8、百分之百由银行来承担,而中国还没有普遍采纳这一规则,“仅仅只在一定时效内承担损失”。在有些商业银行的“无责论”下,客户的被骗资金追索及赔付工作十分困难。“针对钓鱼网站等欺诈交易的客户投诉,银行一般是拒不赔付。”上述国有银行人士指出,除非经公安机关侦查破案后,从犯罪分子那取回被骗资金。不过,一个普通的存款人,其重要性对于银行而言,是不是就可以忽视?在利率市场化改革的进程中,商业银行需要重新思考这一命题。“国内的银行业如果现在不高度重视,并且采取果断的措施建立行之有效的反欺诈手段,那么将来的风险非常大。”陈建表示。然而,国际上成熟的反欺诈经验能否适应中国市场,却值得商榷。上述国有银行人士称,国际上
9、一些反欺诈的 IT 技术确实对欺诈风险控制有极大的促进作用。但任何模型建立的基础是有大量历史数据积累,通过海量数据及 科学的模型才能得出结论。而中国信用卡市场的发展时间尚短,全行数据大集中也就最近几年,有的银行甚至数据大集中都未实现,模型的效果可想而知。目前国内银行中,工行的数据大集中开始得最早,始于 1999 年 9 月 1 日,其它多数大中型商业银行仅仅是从最近四五年才开始做数据集中。另外,即使数据实现集中,如何进行有效的 IT 系统管理也会成为制约因素。目前国内银行 IT 系统管理水平参差不齐。“比如机构设置,有科技部、IT 蓝图办公室、开发中心、测试中心、信息中心等等,相互之间的隶属关
10、系、工作职责、汇报条线,都是不清晰,没有一个总体的协调。”该人士指出。不过,国际上经二十年时间验证、行之有效的反欺诈交易管理模型,也不能通过分析每笔授权交易,准确预测识别出每一笔欺诈交易行为,更加不能保证,每一笔被识别和阻断的欺诈交易都没有被误判。并且,有时候一笔“误判”带来的银行信誉损失,甚至超过欺诈交易发生带来的损失。可能为了抓住一笔欺诈交易,而妨碍上千个持卡人的使用体验,这是银行必须要考虑的隐性成本。“技术模型对中国的银行效果如何,一方面要看银行的数据健全程度,另一方面要看这个银行能承受多大的误判。”陈建指出,“再精密、高端的技术模型也是有误判的,误判率就是欺诈交易风险管理的成本。”因而
11、,国际反欺诈的模型在中国市场上推广时,并非直接应用成型的模型,而是将技术分析手段和经验引入国内。更重要的是,国内银行反欺诈风险管理的意识需要强化,主动发现更多欺诈交易。3.反欺诈管理困境但商业银行也有自己的苦衷。一方面“钓鱼网站”较多,防不胜防,另一方面,即使事后及时采取措施,操作起来也面临多方困境。近年来的欺诈交易正向团体作案方向演变。犯罪团伙从通过钓鱼网站盗取客户账号、密码,转账,分账到各地多个账户,取现,基本上几分钟,最多十几分钟内就可完成。为有效防范钓鱼事件,网络安全升级刻不容缓。至 2010 年 11 月底,中国反钓鱼网站联盟秘书处累计认定并处理的钓鱼网站达 32496 个,其中,2
12、010 年111 月,累计认定并处理钓鱼网站 20570 个,较去年同期大幅上涨 136%。一家深受“钓鱼网站”所扰的股份制银行电子银行部人士表示,假冒该行官网的网站已经有接近 100 个,且“此关彼出,防不胜防”。他们一旦发现就立刻与公安部门联系,关闭钓鱼网站。网站注册地和服务器在国内的一般当天即能关掉,若注册地和服务器在国外,公安机关需要协调中国电信部门将其屏蔽,过程需要三四天。可犯罪分子通过钓鱼网站窃取账户信息只需要一分钟时间,从钓鱼到取现整个交易过程也不过十几分钟,此时损失已经发生了。“关闭网站只能做到不让后面更多的客户受骗。”他说。“钓鱼网站”的监测治理,显然不能单凭商业银行一己之力
13、可为。上述人士认为,网站的注册成本极低,负责域名注册的有关部门应该提示注册者提供身份验证、资质证明及有无犯罪记录证明。“保护金融客户的利益,维护网络信息安全,是多个部门的共同职责,不能只让银行去做,银行也做不了。应该调动全社会各种资源的力量,来共同做这个事。”他说。此外,银行面临的尴尬还有,即使明知交易可疑,从法律层面而言,也无法在犯罪分子取现之前,将涉嫌欺诈交易的各个分账户冻结以保障存款人资金安全。一位国有银行人士解释说,冻结账户需要法院的冻结书,只要该笔业务程序合法,银行并无权力私自冻结账户。第三方支付公司也面临同样的困境。汇付天下有限公司合规部人士受访时表示,由于骗子发起的是真实订单,支
14、付公司系统处理成功后,就需要给商户付款; 支付公司能做的是将这笔订单的去向告知客户,协助警方追查;但因为法律规定,系统处理成功即需付款,不能冻结该笔资金,否则支付公司就违反了商业合同。汇付天下合规部人士认为,对于网上欺诈行为,公安部门应加强介入,给予更多支持。亡羊补牢,未为晚也。各种欺诈交易的集中爆发,促进了商业银行风险防范意识的增强。中行钓鱼事件后,在网银交易安全上增设了一道保障机制,即推出手机交易码认证,个人客户通过中行网银向他人转账或进行网上支付交易时,除要输入动态口令外,还要输入手机交易码进行验证,方可交易。手机交易码由该行客服电话统一发送。据了解,目前,各家银行用户端网银安全工具除手
15、机验证外,主要有两种方式,一是动态口令牌,二是数字证书 U 盾(Ukey),相当于一个存储了个人数字认证信息的 U 盘。动态口令是每次随机生成的一个数字组合,且每个口令只能使用一次。目前看来,“钓鱼网站”大多发生在使用动态令牌的银行中。这是否意味着动态令牌的安全性一定低于 U 盾?网上交易采用单一的动态令牌保护显然具有安全漏洞。虽然动态口令有时间限制,每隔 60 秒就会自动更新一次,但这个时间已足以让不法分子在套取动态口 令后迅速用来登录用户的网银,从而盗取资金。而 U 盾因多了一个类似 U 盘的物理介质,所以即使被破译出 U 盾密码,也不容易被窃取资金,除非,用户的U 盾与密 码同时丢失。如此看来,U 盾确实强于动态令牌的安全性。但是,U 盾在使用便捷性及客户体验上存在一些弱势,如初次使用时涉及安装驱动程序、下载数字证书等,对电脑软硬环境都有一定要求,对客户电脑操作技能也有一定要求。并且,随着平板电脑、手机银行等电子化及新型支付方式的发展,U 盾在便捷性上可能面临更多限制。网银安全始终是在安全性和便捷性上进行权衡。“已经有一些银行意识到 U 盾的复杂性,正在考虑投入电子令牌,如工行、中信、建行等。不过,钓鱼网站频发事件之后,它们需要重新考虑一下了。”上述业内人士告诉记者。
