銀行：誰動了我們的網銀

文/蘇玉梅 陳海強 李朝光 李連三

現代銀行業服務客戶的方式正在日益豐富。當我們在銀行開立一張銀行卡以后，除傳統的營業網點柜臺以外，還可以通過網上銀行、ATM自助設備、電話銀行、POS機、網上支付、手機銀行等各種新興的服務渠道，進行賬戶的查詢、資金轉賬等各項操作。這些服務渠道構成了一個分布各地且正在迅速擴張的巨大網絡。從某種意義上說，銀行業的服務終端有多少個，可以接觸到賬戶及資金的觸角便有多少個。各種渠道如同通往銀行賬戶的無數扇門窗，只要打開這些門窗就可方便取用錢款，而開啟這些門窗的鑰匙，就是賬號、密碼等信息。

相對于網點柜臺，網絡銀行不受時間、空間限制，為客戶帶來了方便與快捷，同時卻也頻頻成為犯罪分子實施犯罪的工具。犯罪分子只要獲得了銀行賬號和交易密碼，甚至有時只要獲得了銀行卡的賬戶信息，就幾乎等同于獲得了相應的資產。正是在這樣的利益驅動下，犯罪分子千方百計、不擇手段地取得客戶賬號及密碼，目的就是盜取銀行賬戶信息背后的客戶和銀行的資金。

和傳統案件不同的是，目前很多錢款被盜后受害人往往目瞪口呆，銀行卡就在自己的錢包里，但是卡里的錢又是如何不翼而飛的呢？以下，我們以銀行專業人士的角度，向讀者進行解密，以協助大家提高防范意識。

讀者小測試

銀行卡的各種服務功能，有些是自動開通的，有些是營銷活動中免費贈送開通的，有些是客戶親臨柜臺申請才能辦理開通的。您知道您的銀行卡已經開通了哪些功能渠道么？

（圖/CFP）

電信詐騙

2007年11月，受害人劉某向深圳公安機關報案稱，某公司以低息貸款為誘餌，鼓動其在某銀行東莞分行開設賬戶并存入保證金，隨后其賬戶內的170萬元被轉入深圳市某銀行賬戶后被盜走。經查，該犯罪團伙的作案手法如下：首先以幫助辦理低息貸款為誘餌，采取隨機撥打電話或群發短信的方式聯系事主，留下某公司的聯系方式。在獲得事主的認可后，冒充銀行工作人員利用網上虛擬的銀行電話（與銀行在官網上公布的業務電話一致）騙取事主的資料，鼓動事主開立一個可辦理轉賬業務的銀行賬戶，并指定捆綁賬戶。當事主將保證金存入后，犯罪嫌疑人通過網上虛擬的銀行電話欺騙事主按提示音輸入賬戶和密碼查詢貸款是否到賬，期間通過解碼器竊取事主的賬號、密碼等信息，將事主賬戶內的資金轉移到捆綁賬戶中，再轉移到其他賬戶盜走。

解析犯罪手法：以低息貸款為誘餌，假冒銀行電話及銀行工作人員，通過解碼器竊取賬戶卡號、密碼。

犯罪手段

1 誘騙

2猜測

3病毒

關注：此案例由多個騙局銜接而成，第一個步驟是電信詐騙。

警示：來電號碼也可能被假冒。電話按鍵音也可被破解。

內鬼盜金

2011年上半年，全國各地銀行上報案件確認信息50件，發生在網銀、ATM機和銀行卡的案件有八件。這其中涉案金額最大的一起為某銀行太原分行網銀盜劃個人客戶資金案，涉案金額4377萬元。該案主要外部犯罪嫌疑人以高息為誘餌，要求客戶在銀行開立賬戶存入款項，并在約定期限內不查詢、不支取、不抵押、不擔保，然后利用“熟人”關系指使銀行員工違規操作，開通客戶網銀轉賬功能，最后通過網銀將客戶款項劃走。

解析犯罪手法：以高息存款為誘餌，利用“熟人”關系偷開網銀，從網銀轉賬盜劃資金。

關注：此案例涉及銀行員工違規操作。

警示：客戶切忌銀行賬戶脫離自己的控制。

傻瓜密碼

2010年，犯罪嫌疑人朱某等三人通過“百度貼吧”等網絡渠道，獲取大量車主身份信息，從中梳理出高檔汽車車主的身份證號碼信息。再將這些身份證號碼信息通過“QQ”聊天工具交給一名網友，由其幫助查出身份證號碼名下的所有銀行卡信息。而后朱某等人使用卡主的出生年月等信息測試出部分銀行卡密碼，再行登錄相關網銀系統，將銀行卡短信提醒的消費限額從200元修改為1000萬元。隨后朱某等人雇人在網上發布“超低價格代繳電信、移動等通訊費”的廣告，通過某付費平臺輸入銀行卡卡號和密碼，為客戶代繳電信、移動等公用事業費，再按事先約定的折扣向客戶收取費用，從而實現盜劃銀行卡資金的目的。該案中，由于犯罪嫌疑人修改了短信提醒限額條件，致使一名受害人銀行卡內230余萬元被盜劃都未能及時發現。

解析犯罪手法：從車主信息獲取身份證號碼，通過網上中間人查詢受害人銀行賬號，利用個人信息測出賬號密碼，通過公共付費平臺套取巨額資金。

關注：1.公共網絡平臺也為犯罪分子傳播犯罪手法，買賣作案工具、公民身份信息、銀行賬號信息等，提供了便利。2.銀行客戶信息安全管理可能存在漏洞。

警示：1.客戶切忌使用生日等簡單關聯信息作為銀行賬戶密碼。2.銀行應從源頭切實做好客戶信息的保護工作。

木馬吸金

2006年9月，國內某商業銀行發生客戶銀行卡存款被盜事件，涉案金額9萬多元。上海公安機關經過調查發現，這是一個利用互聯網犯罪的犯罪集團所為。該犯罪集團涉及中國臺灣和中國大陸多名犯罪分子，其中臺灣犯罪分子是核心人員。他們將“木馬”計算機病毒程序植入受害人計算機，竊取受害人銀行卡和身份信息等資料。大陸犯罪分子在福建等地利用假身份證件開立二百八十多張銀行卡賬戶。臺灣犯罪分子利用網上銀行將受害人資金劃到開好的銀行卡賬戶上。兩地犯罪分子在福建和臺灣的商貿邊境完成分贓。

解析犯罪手法：犯罪集團跨境合作，利用“木馬”竊取銀行賬戶信息盜取資金，假身份證開戶巧妙銷贓。

關注：犯罪集團作案，跨境分工合作。

警示：1.客戶要做好電腦的殺毒防毒操作。2.銀行應嚴格做好賬戶開戶時的身份驗證工作。

肉雞中招

2007年3月，上海市民蔡某在某銀行開戶的兩張信用卡內的16.6萬余元人民幣不翼而飛，蔡某隨后報案。銀行轉賬記錄顯示，被害人兩張信用卡內的16.6萬余元資金被分11次轉入云南昆明一銀行活期存折內。在掌握關鍵證據后，上海公安機關民警前往昆明，在一居民小區內抓獲犯罪嫌疑人白某和葛某。在審訊中，犯罪嫌疑人白某交代了作案手法。首先，他通過自己在淘寶網站的店鋪向顧客以發送照片的名義，將自己已經編寫好的“木馬”病毒附帶在照片上發送至被害人的電腦里，被害人在點擊圖片后，“木馬”病毒自動運行。犯罪分子通過遠程控制被害人的電腦（俗稱“肉雞”），獲取被害人電腦內網上銀行的數字證書。當被害人輸入卡號及密碼進入網上銀行時，犯罪分子就可以利用“木馬”病毒看到持卡人的卡號和密碼，之后以被害人的名義通過網上銀行劃轉銀行卡內資金。在犯罪嫌疑人的電腦里，偵查人員還發現了其他銀行的數字證書二十多個，只是犯罪分還未使用其實施犯罪行為。

釣魚欺詐

2010年11月至2011年1月，國內某大型銀行發現犯罪分子假冒其網站即通過釣魚網站進行網銀欺詐的案件。經核實假冒網站達二百四十多個，發生由假冒網站致客戶損失的網銀欺詐案件超過200起，涉案累計金額超過3000萬元。作案手法大多為：犯罪分子使用軟件自動復制該銀行門戶網站及網銀首頁頁面，并在境內外（境外占90%）注冊拼寫類似的域名，然后通過普通手機號假冒中國銀行名義群發短信，以網銀系統升級或動態口令牌過期需要更換為由，誘騙客戶登錄假冒的網站和網銀，在盜取客戶網銀用戶名、密碼和動態口令后，隨即立刻盜取客戶資金。

解析犯罪手法：境外注冊假冒網站，即通過釣魚網站進行網銀欺詐。

關注：此類案件的作案成本低、推出假冒網站的速度快、作案地區正由我國沿海省市逐步向中西部擴散。

警示：普通手機號以銀行名義發送業務提醒不可輕信，應第一時間通過官方渠道向銀行確認。

應對錦囊

銀行：武裝到牙齒

通過上述典型案例，我們可以看出，在銀行服務渠道尤其是各種電子渠道蓬勃興起的情況下，犯罪分子竊取賬戶資金的手段也是五花八門，盜取客戶資金的一個個環節設計精巧、銜接緊密，可謂“足智多謀”。

為了確保網銀安全，我們不得不武裝到牙齒。我們看到，一方面，銀行為拓展自己的業務，往往對新業務的優點進行廣泛宣傳，而對其存在的潛在風險做淡化處理；另一方面，銀行在為客戶開通網上銀行業務時，未能較好地提醒客戶采取相關的安全保護措施以避免或降低網銀安全風險。上述原因致使持卡人缺乏必要的金融知識，對相關風險缺乏心理準備，對犯罪分子設下的陷阱和其中的漏洞不能察覺，甚至越陷越深，最終遭受嚴重的財產損失。因此，銀行在提供金融服務時，也需要給予專業的安全防范知識普及與宣傳。

此外，完善身份驗證機制、完善客戶信息管理、完善密碼復雜度的檢測與提示機制、建立有效的監測與報警機制及加強報告意識，都是銀行亟待提升和解決的問題。在互聯網環境下，不法分子攻擊范圍廣泛，攻擊手法翻新很快，因此各銀行業金融機構有必要及時了解風險趨勢并采取防范措施。

客戶：自我升級

環節一、密碼設置不當。使用自己的生日或者QQ號碼、MSN賬號、電子郵件ID等作為自己網上銀行的登錄密碼和交易密碼，這些都極易被他人破解。今天的生活，電腦和網絡已經普及，科學技術已經給我們的生活帶來質的改變。在我們順應科技潮流趨勢的同時，如何設計并記住那么多的用戶名、密碼，是一件需要動點腦筋的事情。犯罪分子尚且不怕周折，我們自身更要對自己的賬戶負起責任。

環節二、安全常識不足。如未及時更新個人電腦的防毒、殺毒軟件等，或不重視使用USB-KEY等安全認證方式，或在網吧等公共場合登錄網上銀行，這都是風險極大的。

環節三、操作不規范。一些客戶未能記住銀行的正確網址，不通過手動輸入銀行網址而是隨意相信網上的超鏈接，通過點擊非法超鏈接來登錄網上銀行，從而誤入“釣魚網站”被不法分子利用。

環節四、疏于關注安全提示。對來自銀行、公安機關等方面的安全提示沒有引起足夠的重視，隨意相信陌生電話、短信和郵件所傳播的虛假信息，甚至部分受害者因貪圖便宜或輕信虛假中獎信息而誤入虛假網站，導致信息泄漏、資金損失。

網絡：降低隱行風險

根據國家互聯網應急中心（CNCERT）于2011年3月9日發布的“2010年互聯網網絡安全態勢報告”，2010年全年共發現近500萬個境內主機IP地址感染了木馬和僵尸程序，較2009年大幅增加。該報告同時指出，網絡安全事件的跨境化特點日益突出，2010年在我國實施網站掛馬、網絡釣魚等不法行為所利用的惡意域名半數以上在境外注冊，跨境網絡安全事件呈現快速增長趨勢。

特別需要指出的是，網絡違法犯罪行為的趨利化特征非常明顯，金融行業網站、知名購物網站等成為不法分子騙取錢財、竊取隱私的重點目標。和其他地區相比，信息、商業活動頻繁、經濟發達的地區，互聯網掛馬狀況尤其嚴重，全國掛馬情況最嚴重的三個地區是北京、廣東和上海。這也是網絡犯罪趨利化特征的另一表現。

此外，公共網絡平臺為犯罪分子傳播犯罪手法，買賣作案工具、公民身份信息、銀行賬號信息等，提供了便利。第三方支付平臺為套現、洗錢等非法交易活動提供了可乘之機。

綜治：合圍打擊網銀犯罪

網上銀行犯罪既涉及法律問題，也涉及網上銀行相關業務和技術問題。網銀業務涉及的三個主要實體即銀行、監管機構和客戶，在其中起著至關重要的作用。三個實體之間三對關系，即銀行與客戶、監管機構與銀行，監管機構與客戶，厘清這三對關系，許多問題便迎刃而解。

關系一、銀行與客戶：權利與義務是否對等？

任何網上銀行業務的開展，都是基于銀行與客戶所簽訂的合同基礎之上的，這就意味著銀行和客戶必須嚴格遵守相關的要求，在享受相應的權利的同時，承擔相應的義務。然而，在銀行和客戶這一對關系中，客戶明顯屬于弱勢的一方。銀行和客戶之間明顯存在信息不對稱的情況，銀行系統存在的一些缺陷，如網上銀行系統設計缺陷，內控不嚴所導致的操作風險，新支付方式可能帶來的漏洞，甚至客戶信息的人為泄露等，客戶又究竟能知曉多少？相關法律法規自然應當做出相應調整，以盡可能維護和保障客戶的權利。

關系二、監管機構與銀行：如何判斷監管力度？

作為銀行業監管機關的銀監會系統，在維護銀行業健康、公平發展過程中，負有嚴格的法律責任。而防范網上銀行的風險，維護客戶的正當權益，本身就是其應有的職責，而且也應當作為評判其監管力度是否合適的重要尺度。由于銀行自身系統設計缺陷和采用新技術可能帶來的風險，由于銀行工作人員道德風險可能帶來的客戶資金損失，由于采用不正當競爭而造成的銀行業之間的混亂秩序等，應當成為銀監會系統關注的重點。從這個意義上說，對網上銀行的監管，包括網上銀行的準入、日常監管，以及退出等，亟待有一個統一清晰的標準。對網上銀行監管的技術手段亟待及時地更新和完善。

關系三、監管機構與客戶：如何落實維權責任？

相關法律實際上已經明確，維護金融消費者權益應當是監管機構的重要職責，這是毫無疑問的。在現實生活中，銀行監管機構主要通過糾正銀行業金融機構的不正當競爭，以維護金融業的穩定與公平；通過防范和化解銀行業金融機構的信用風險、操作風險、市場風險等各類風險，以維護社會穩定，保護金融消費者的權益，包括網上銀行客戶的權益。那么，監管機構與客戶之間是否存在什么直接的關聯呢？現在常見的有兩種情形，一是當客戶與銀行發生沖突時，有時會直接向銀監會（銀監局）直接反映情況，以求解決問題。另一種情形則是，我們經常看到每年都有若干個時段，在當地銀監機構的統一安排部署下，銀行業金融機構會組織一些金融知識的宣傳教育活動。不少銀監局還在辦公地點設立了公眾教育服務區，起到了一定的教育效果。問題在于：是否應當借鑒國外的經驗，通過相關的立法，真正把對公眾的金融意識教育，包括網上銀行的風險提示等，作為銀行監管機構落實維權責任的內在規定？

立足于這三對關系，在它們之上，法規體系究竟應當發揮怎樣的作用，以及目前存在的缺失，在它們之下，網銀業務的第三方這一基礎層面應當承擔怎樣的責任，都亟待確認。

打擊網銀犯罪法規體系模型

綜合立體式模型：網上銀行犯罪處置模式的抽象與升華

任何一件網上銀行犯罪的案件，都不是由一個因素造成的，應該更多地從系統工程的角度去分析和解決問題，而不是“頭痛醫頭、腳痛醫腳”。網上銀行犯罪應當是“綜合性”的。只有通過整合多方面資源，才能收到防范和打擊網上銀行犯罪的較好效果。在分析和研究防范和處置網上銀行犯罪的諸多措施時，如果不清楚內在層次，“胡子眉毛一把抓”，不僅會極大降低實施效果，而且很可能迷失解決問題的正確方向。從這一意義上說，網上銀行犯罪的法律防范和處置模式應該是“立體化”的。