网银漏洞样本解剖
2013-07-12舒同
文/舒同
网银漏洞样本解剖
文/舒同
自 20世纪末网上银行业务诞生以来,我国网上银行用户的数量一直保持快速增长,尤其是上海这类金融发达城市,网银业务已经具有较高的普及率。据中国金融认证中心《2009年中国网上银行调查报告》显示:个人方面,全国城镇人口中,个人网银用户的比率已达20.9%;企业方面,网银用户所占比例为40.5%。
一方面,网银为人们的金融活动提供了便利;另一方面,在银行业务不断创新的同时,一些新型漏洞也成了犯罪分子闻风而至的掘金点。据上海市人民检察院2013年5月8日发布的首部《年度上海金融检察白皮书》称,上海检察机关2012年共受理金融犯罪审查逮捕案件849件,涉案1188人,审查起诉案件2490件,涉案3381人。金融犯罪案件数量同比2011年迅速增长近八成。
随着网络科技的飞速发展,金融犯罪中涉及网络银行的犯罪已成为一个备受关注的高危领域,以下是上海检察机关金融处近期提起公诉并发出检察建议的两起典型案例。
案件一:手机验证成了摆设
2012年2月至6月,上海。从事信用卡办理业务的“圈里人”丁某,通过网络论坛、QQ群潜水,用钱购买到了大量他人银行征信报告。拥有了这份征信报告,在外人看来铜墙铁壁的网银平台,顿时成了一个充满诱惑和机会的聚宝盆。
“足智多谋”的丁某开始揣摩起这份纸面上没有太多秘密的征信报告,很快从中摸出了一些道道。他伙同田某,凭借征信报告上的信息,冒充信用卡持卡人,打电话到相关银行客服,通过身份验证后,迅速获得了持卡人名下信用卡卡号,随后将卡主预留的手机号改为其控制的手机号。预留手机被非法更改,此时不但素未谋面的电话客服不知中计,连卡主本人也被蒙在鼓里。丁某接着利用快捷支付功能,在淘宝网上开始进行虚假交易、购买游戏积分,疯狂盗刷他人信用卡资金。仅仅四个月,林某和田某就通过这个方式分别盗刷资金94万余元人民币、9万余元人民币。
这还不算,丁某利用职务之便还和康某联手,利用为被害人办理信用卡过程中,留存办卡人网银U盾及个人身份信息资料的机会,“巧妙”利用银行信用卡核发日与卡主收到信用卡的时间差,冒充卡主致电银行客服,开通信用卡并更改预留的手机号。继而,又通过网上虚假交易,盗取李某信用卡资金近5万元。近期,丁某以信用卡诈骗罪被判处有期徒刑12年。
案件二:工作电子邮箱被盗导致泄密
2011年,喜欢上网的李某,在某银行网上商城上拿到了某用户的账户名和密码。于是他登录邮箱,发现此人竟是某银行人力资源部员工,并且在邮件内收录了该行部分员工的身份证号码、借记卡卡号等信息。有点小聪明的李某,通过其信息资料,测试出了一部分人的相关密码。随后通过网上银行系统,从蔡某等七人信用卡账户划转5.5万余人民币。所有过程,都在网上操作,犯罪隐蔽性很强。
2013年3月,上海市人民检察机关就近期发生的相关案件,向中国银行监督管理委员会上海监管局发出了有关预警通报。通报指出,近期上海市检察机关先后办理的多起犯罪分子冒用他人名义,使用非法获得的银行征信报告或持卡人信息,通过银行电话客服验证,获取或变更他人信用卡信息资料,进而通过网络等渠道实施的诈骗犯罪,反映出部分银行电话客服身份验证流程、客户信息资料保管及人员管理等方面存在金融犯罪风险。
由此,检察机关认为:
在当前存在银行客户资料大量泄露的状况下,银行电话客服不能仅以持卡人预留身份证号和电话号码等静态基本信息为身份验证的条件,还应当设置动态的身份验证程序,防止犯罪分子利用银行外泄的客户资料实施诈骗犯罪。
切实保护客户信息,切断犯罪源头。面对大量金融诈骗、电信诈骗犯罪,都源于客户信息、公民信息泄露,金融机构应当重视客户信息的保护,增强保护意识、完善保护措施、提高保护能力。要进一步加强员工对客户信息的保密教育;建立完善客户信息的保密制度;采取各种措施确保内部网络安全。
加强对员工的管理和教育,杜绝内部人员犯罪。金融行业,特别是银行机构,如果每个环节上的操作人员,都能严格按照程序和制度办事,不法分子就难以得逞。内外勾结的案件,不仅容易得逞,而且危害远大于外部人员作案。
中国银监会上海监管局在收到检察机关金融检察处相关风险提示后,迅速拟定了相关措施方案:
首先,提升身份验证安全系数。对于不法分子利用掌握的人行征信报告,通过银行电话客服身份验证,获取卡号,并修改预留手机号码问题。目前,大部分商业银行在客户要求修改信用卡重要信息时,通过检验客户交易(查询)密码,或回拨客户预留电话等方式进行核实。
其次,严控涉密区域。对于某银行内部人员作案的问题,目前其部门已禁止接待手机、笔、纸进入涉及客户信息的办公区域。
再次,防范征信报告泄露。目前可批量查询人行征信报告的机构处人民银行外,主要为商业银行和融资行担保公司、保险公司等机构。从目前向在沪各持牌信用卡中心了解的情况看,各卡中心对查询人行征信报告的电脑设备实行严格的内外网分离机制,关闭U盘等移动存储设备的使用功能,并建立了相应的监控机制,防范数据泄露。银监会指出,目前无法确认,征信报告泄露系银行端造成,但相关部门依旧不能掉以轻心。
综合上述,在防范网络银行犯罪体系中,司法机关、银监会、银行乃至第三方支付平台和客户个人,在网银犯罪阻击战中,都有相应的角色分配。
