網銀漏洞樣本解剖

文/舒同

網銀漏洞樣本解剖

文/舒同

自 20世紀末網上銀行業務誕生以來，我國網上銀行用戶的數量一直保持快速增長，尤其是上海這類金融發達城市，網銀業務已經具有較高的普及率。據中國金融認證中心《2009年中國網上銀行調查報告》顯示：個人方面，全國城鎮人口中，個人網銀用戶的比率已達20.9%；企業方面，網銀用戶所占比例為40.5%。

一方面，網銀為人們的金融活動提供了便利；另一方面，在銀行業務不斷創新的同時，一些新型漏洞也成了犯罪分子聞風而至的掘金點。據上海市人民檢察院2013年5月8日發布的首部《年度上海金融檢察白皮書》稱，上海檢察機關2012年共受理金融犯罪審查逮捕案件849件，涉案1188人，審查起訴案件2490件，涉案3381人。金融犯罪案件數量同比2011年迅速增長近八成。

隨著網絡科技的飛速發展，金融犯罪中涉及網絡銀行的犯罪已成為一個備受關注的高危領域，以下是上海檢察機關金融處近期提起公訴并發出檢察建議的兩起典型案例。

案件一：手機驗證成了擺設

2012年2月至6月，上海。從事信用卡辦理業務的“圈里人”丁某，通過網絡論壇、QQ群潛水，用錢購買到了大量他人銀行征信報告。擁有了這份征信報告，在外人看來銅墻鐵壁的網銀平臺，頓時成了一個充滿誘惑和機會的聚寶盆。

“足智多謀”的丁某開始揣摩起這份紙面上沒有太多秘密的征信報告，很快從中摸出了一些道道。他伙同田某，憑借征信報告上的信息，冒充信用卡持卡人，打電話到相關銀行客服，通過身份驗證后，迅速獲得了持卡人名下信用卡卡號，隨后將卡主預留的手機號改為其控制的手機號。預留手機被非法更改，此時不但素未謀面的電話客服不知中計，連卡主本人也被蒙在鼓里。丁某接著利用快捷支付功能，在淘寶網上開始進行虛假交易、購買游戲積分，瘋狂盜刷他人信用卡資金。僅僅四個月，林某和田某就通過這個方式分別盜刷資金94萬余元人民幣、9萬余元人民幣。

這還不算，丁某利用職務之便還和康某聯手，利用為被害人辦理信用卡過程中，留存辦卡人網銀U盾及個人身份信息資料的機會，“巧妙”利用銀行信用卡核發日與卡主收到信用卡的時間差，冒充卡主致電銀行客服，開通信用卡并更改預留的手機號。繼而，又通過網上虛假交易，盜取李某信用卡資金近5萬元。近期，丁某以信用卡詐騙罪被判處有期徒刑12年。

案件二：工作電子郵箱被盜導致泄密

2011年，喜歡上網的李某，在某銀行網上商城上拿到了某用戶的賬戶名和密碼。于是他登錄郵箱，發現此人竟是某銀行人力資源部員工，并且在郵件內收錄了該行部分員工的身份證號碼、借記卡卡號等信息。有點小聰明的李某，通過其信息資料，測試出了一部分人的相關密碼。隨后通過網上銀行系統，從蔡某等七人信用卡賬戶劃轉5.5萬余人民幣。所有過程，都在網上操作，犯罪隱蔽性很強。

2013年3月，上海市人民檢察機關就近期發生的相關案件，向中國銀行監督管理委員會上海監管局發出了有關預警通報。通報指出，近期上海市檢察機關先后辦理的多起犯罪分子冒用他人名義，使用非法獲得的銀行征信報告或持卡人信息，通過銀行電話客服驗證，獲取或變更他人信用卡信息資料，進而通過網絡等渠道實施的詐騙犯罪，反映出部分銀行電話客服身份驗證流程、客戶信息資料保管及人員管理等方面存在金融犯罪風險。

由此，檢察機關認為：

在當前存在銀行客戶資料大量泄露的狀況下，銀行電話客服不能僅以持卡人預留身份證號和電話號碼等靜態基本信息為身份驗證的條件，還應當設置動態的身份驗證程序，防止犯罪分子利用銀行外泄的客戶資料實施詐騙犯罪。

切實保護客戶信息，切斷犯罪源頭。面對大量金融詐騙、電信詐騙犯罪，都源于客戶信息、公民信息泄露，金融機構應當重視客戶信息的保護，增強保護意識、完善保護措施、提高保護能力。要進一步加強員工對客戶信息的保密教育；建立完善客戶信息的保密制度；采取各種措施確保內部網絡安全。

加強對員工的管理和教育，杜絕內部人員犯罪。金融行業，特別是銀行機構，如果每個環節上的操作人員，都能嚴格按照程序和制度辦事，不法分子就難以得逞。內外勾結的案件，不僅容易得逞，而且危害遠大于外部人員作案。

中國銀監會上海監管局在收到檢察機關金融檢察處相關風險提示后，迅速擬定了相關措施方案：

首先，提升身份驗證安全系數。對于不法分子利用掌握的人行征信報告，通過銀行電話客服身份驗證，獲取卡號，并修改預留手機號碼問題。目前，大部分商業銀行在客戶要求修改信用卡重要信息時，通過檢驗客戶交易（查詢）密碼，或回撥客戶預留電話等方式進行核實。

其次，嚴控涉密區域。對于某銀行內部人員作案的問題，目前其部門已禁止接待手機、筆、紙進入涉及客戶信息的辦公區域。

再次，防范征信報告泄露。目前可批量查詢人行征信報告的機構處人民銀行外，主要為商業銀行和融資行擔保公司、保險公司等機構。從目前向在滬各持牌信用卡中心了解的情況看，各卡中心對查詢人行征信報告的電腦設備實行嚴格的內外網分離機制，關閉U盤等移動存儲設備的使用功能，并建立了相應的監控機制，防范數據泄露。銀監會指出，目前無法確認，征信報告泄露系銀行端造成，但相關部門依舊不能掉以輕心。

綜合上述，在防范網絡銀行犯罪體系中，司法機關、銀監會、銀行乃至第三方支付平臺和客戶個人，在網銀犯罪阻擊戰中，都有相應的角色分配。