域外:全球加紧应对网银犯罪
2013-07-12华东政法大学夏草
文/华东政法大学 夏草
域外:全球加紧应对网银犯罪
文/华东政法大学 夏草
早在1999年的美国统计资料就表明:平均每起计算机犯罪造成的损失高达45万美元,而传统的银行欺诈与侵占案平均损失只有119万美元,银行抢劫案的平均损失不过4900美元,一般抢劫案的平均损失仅为370美元。据美国联邦调查局统计测算,一起刑事案件的平均损失仅为2000美元,而一起计算机犯罪案件的平均损失高达50万美元。据计算机安全专家估算,近年因计算机犯罪给总部在美国的公司带来的损失为2500亿美元。
全球范围内,每秒就有18位网民遭受网络犯罪的侵害,平均每位受害者蒙受的直接经济损失总额为197美元。据估计,全球遭受过网络犯罪侵害的网民已超过了欧盟的人口总额。
巴西银行业联合会登记的数据显示,2011-2012年利用银行网络服务系统实施的犯罪活动比前一年增长了60%,导致银行和客户经济损失15亿雷亚尔(约合7.5亿美元)。而据美国顶级风险管控公司FICO(费埃哲)于2013年5月20日发布的2012年欧盟信用卡诈骗数据显示,法国以29%的损失增长率取代英国(27%)位居欧盟受信用卡诈骗犯罪损失最大的国家。2011年欧盟各国受信用卡诈骗犯罪总额较去年增长6%。而法国受信用卡诈骗的损失从2007年至2012年增长了65%,共计损失增长额为1.74亿欧元。英国官方2013年5月调查数据显示,网络欺诈型犯罪导致小企业每年损失近7.85亿英镑的损失。根据2013年4月诺顿网络安全报告中所述,2012年全球恶意钓鱼网站较前一年增加了123%,犯罪分子通过钓鱼网站获取被害人的账号、密码以及其他网络银行账号的信息。使用SSL安全协议证书(Secure socket layer)令受害者在访问时误以为仍在安全上网的恶意钓鱼网站数量较2011年增加了46%。同时2012年韩国的钓鱼网站数量上升明显,其他的钓鱼网站较为活跃的非英语国家有法国、意大利、葡萄牙、中国和西班牙。
犯罪暗潮
跨国团伙线上线下联合犯罪洗劫银行
据路透社今年5月9日报道,美国司法部联邦检察机关对一个据点设在纽约的跨国网络犯罪集团的八名多米尼加裔美国籍成员提出指控(其中一名头目于4月底在多米尼加共和国遇害身亡),该犯罪团伙涉嫌利用黑客手段入侵银行信用卡交易公司的数据系统,提高了阿曼马斯喀特银行(Bank of Muscat of Oma)和阿拉伯联合酋长国哈伊马角国家银行(RAKBANK)发行的万事达预付费借记卡(MasterCard)可用额度和取现额度,并盗取银行卡号,然后利用工具将银行卡信息输入废旧的酒店钥匙卡、过期或作废的信用卡等任何只要是带有磁条的卡片中,完成银行卡的伪造。再从27个国家的自动取款机中盗走4500万美元,约合人民币2.8亿元。
没有枪支和面具,取而代之的是笔记本和互联网。该团伙共作案两起。去年12月,该团伙犯罪人员入侵印度一个银行卡处理器,在两个半小时的时间内从20个国家的自动取款机非法提取500万美元;今年2月,该团伙再次作案,入侵一个美国处理器,在10个小时的时间内从24个国家的自动取款机实施了3.6万次交易,窃取4000万美元,其中在纽约的八人小组从2904台取款机中非法提取了240万美元。涉案两家银行尚未回应这一案件。据马斯喀特银行2月披露,12张预付费旅行卡遭境外欺诈,银行将计提3900万美元减值损失,这一数额超过马斯喀特银行2013年第一季度利润的50%。如此快的速度洗劫全球多家金融机构,美国纽约州东区联邦检察官洛蕾塔·林奇(Loretta Lynch))称这起案件“为21世纪银行大劫案” 。
“所幸”该案的最终受害者并非个人,而是上述两个中东的银行。专家分析,该团伙之所以会选择中东的银行实施犯罪很可能是因为这两家银行允许信用卡客户提款的额度较其他地区银行更高,且并不如其他银行一样对信用卡使用情况进行密切监视。目前,这些受害银行是否能向银行卡处理器公司寻求被盗损失还不确定,根据美国法律规定,银行必须与相关银行卡处理器公司签订有关安全证书方面的协议,如果处理器公司没有遵循合约提供安全防护,则处理器公司将对银行的损失负责。当然受害银行还可以根据保险政策,向银行的保险公司或银行卡处理器的保险公司寻求赔偿。据悉,美方调查人员已与日本、加拿大、德国、罗马尼亚、阿联酋、多米尼加共和国、墨西哥、意大利、西班牙、比利时、法国、英国、拉脱维亚、爱沙尼亚、泰国、马来西亚等多国执法人员展开合作。类似的案件已现于2009年,犯罪分子用伪造的苏格兰皇家银行预付费借记卡,在12小时内取走九百多万美元。
非法SIM卡调换致网银失窃案暴增
随着南非许多国家上网费用的降低,南非正遭受移动和互联网银行犯罪的逆袭,造成数百万美元的损失。据报告显示,南非的手机移动银行犯罪案件同比增长8%,网络银行犯罪案件增长3%。据南非银行风险信息中心(Sabric)商业犯罪办公室总经理苏珊(Susan Potgieter)介绍,南非在2011年发生此类案件的总量不到100起,但在2012年案发量跃至一千多起。去年南非《华侨新闻报》就报道了一起SIM卡调换致受害者网银被盗案件。受害者陈先生于案发当日上午收到一封手机短信,其内容为:您已申请一张新手机卡,目前使用的SIM卡即将停用,请确认。当事人看到该信息后,并不以为然。但是,大约上午10点左右,陈先生的手机果然不能使用。由于外出办事,当事人不能及时到VODACOM公司营业厅询问。当日下午一点半左右,被害人从妻子处获知,其使用的南非联合银行账上被转走了两笔款项。下午3点多,陈先生查询自己的网络银行信息时发现其无法登录网银客户端,自己的用户名、密码等信息已被人删改了。
今年5月南非联合银行集团(ABSA)向其用户发布警告,解释SIM卡调换欺诈的流程:首先,受害者将收到一个由罪犯假冒银行发出的短信,声明受害者的银行账户出现问题,稍后将有专员与其取得电话联系。第二步,几分钟后,受害者果真会收到一个电话,要求受害者回答几个问题来确认一些账户信息,比如受害者的银行卡号,使用的手机型号,最近呼叫的几个电话号码等。第三步,罪犯向受害者的手机运营商申请SIM卡更换,这将令罪犯接收由受害者银行发出的手机确认信息,从而方便将受害者银行卡中的钱款通过网络银行划出。第四步,一旦受害者发现自己的电话无法使用,其银行卡中的钱款已经被犯罪分子划出。
南非联合银行数字银行主管艾德里安(Adrian Vermooten)在接受电台采访时称,这些案件90%以上是由于受害者在不经意间向钓鱼网站或他人透露了自己的网银信息,只有很少的几个案子是因为罪犯使用间谍软件或键盘记录软件获取被害人的网银登录信息。同时非洲信息和通信技术发展中心(Africa Center for ICT Development)分析师说,如今钓鱼工具包在网上可以很容易地被不法分子获得,使得网络犯罪不再需要训练有素的黑客即可实施。
是银行内控失职还是电信商换卡失职
根据马来西亚银行协会公布的电子银行犯罪统计中,最常见的犯罪手段为钓鱼网站,紧接着是短消息和电话诈骗。
当然银行内控失职也常为网络银行犯罪提供温床。2005年6月我国的《经济参考报》曾报道一名为彭博的年轻人,为了证明自己的实力而参加黑客大赛,利用网络破译银行银信用账号,涉嫌盗窃近2万人民币。在庭审时,其为自己辩解,并不想通过这种手段盈利,持卡人姓名是其胡乱填写,目的就是考虑到银行不会收单,就不会让自己的行为给他人带来财产损失。殊不知银行还是无视了银行持卡人姓名的错误信息,将钱款划拨了出去。事实上,很多网络银行犯罪之所以能够成功问题就出在银行内部人员工作疏忽。
在27国特大万事达预付费借记卡诈骗案中(该案的案件名称为U.S. v. Lajud-Pena et al.),有一个名为维尔维斯(Elvis Rodriguez)的嫌疑犯曾在今年1月时计划去罗马尼亚旅行,其向该旅游组织方支付了30万美元。但是美国航空公司取消了维尔维斯的预订,因为航空公司怀疑该笔预订欠款可能系使用偷来的信用卡支付的。虽然预订被取消,但最终维尔维斯还是用现金支付了旅行费用。在这段小花絮中美国航空公司对信用卡支付的警觉与中东两大受害银行形成鲜明对比。侧面印证北京大学金融法研究中心副主任白建军教授早在2006年就在媒体上指出针对愈演愈烈的网络金融犯罪,最根本的解决办法是提高银行内控力度。
依法治网
全球加紧应对网络金融犯罪
2001年11月23日,欧洲理事会在匈牙利布达佩斯召开的网络犯罪大会上举行了《关于网络犯罪的公约》(Convention on Cyber-crime)的开放签署仪式。这就是布达佩斯网络犯罪公约(the Budapest Convention on Cybercrime)。该公约由欧洲理事会的26个欧盟成员以及美国、加拿大、日本和南非等30个国家的政府官员共同签署。2004年3月18日立陶宛国正式批准,满足了其生效要件,这个由欧洲理事会(Council of Europe,COE)主导的网络犯罪公约于2004年7月1日正式生效,成为全球第一个针对网络犯罪而成立的国际公约。该公约制定的目标之一是期望使国际间对于网络犯罪的立法有一致共同的参考标的。公约也创建了一个全天候的“协作网络”,可以在缔约国间进行24小时不间断的情报交流及相关协助。
网络银行犯罪涉及两部分犯罪,这两部分可以是分开的行为,也可以是整合的:其一,信息系统攻击获取身份信息;其二,通过网络诈骗或偷盗被害人网上银行钱款。针对包括网络银行犯罪在内的网络犯罪,世界上大多数国家均在国内规定了计算机安全的单行法,或对刑法进行了修正。美国1984年通过的第一部关于计算机安全与犯罪的法案《欺诈存储装置与计算机欺诈、滥用法》在1996年10月11日修订后,改为美国联邦刑法第18篇第1030条,名为“与计算机相关的欺诈及其行为”。其他相关立法还有《与存取设备有关的欺诈及其他行为法》《联邦计算机安全处罚条例》以及《计算机欺骗与滥用法》等。英国1990通过了《计算机滥用法》。2000年印度通过《信息技术法案》。1986年8月1日德国刑法修正案也加入了若干涉及计算机安全与犯罪的条款。1987年日本修订刑法,增加了若干关于计算机安全与犯罪的条文,现行日本刑法关于电子商务领域刑事立法条文规定使用计算机诈骗的行为属于犯罪行为。
各国成立计算机犯罪专业侦查部门
为打击网络犯罪,许多国家建立了专门的计算机犯罪侦查部门。比如,2001年,墨西哥组建了拉美第一支网上警察部队;2003年,巴西联邦警察局设立专门机构,对网络犯罪实施监管和打击。2004年乌拉圭首支“网络巡逻警察”部队在首都蒙得维的亚成立;韩国国家警察局建立的黑客调查队是国家警察局国际刑警分局的一部分,其任务是搜查国际互联网和本国计算机系统,以发现潜在的系统入侵者留下的行踪。2012年韩国政府开始启动“白色黑客”(具有善意目的的黑客)培养计划,计划投入19亿韩元(约合167万美元),培养大约六名“白色黑客”,以加强韩国信息安全部门的力量。日本也存在专门的计算机警察,他们是从中年计算机专家中遴选而来;在德国,为了打击internet上的犯罪行为,特别设立了网络警察组织;在英国,伦敦有一家名叫CCV的伦敦警察局犯罪部,专门负责计算机高科技犯罪的侦探工作,除了应付计算机犯罪之外,还帮助开设计算机调查技术课程以培训警察,并帮助公众排除因计算机病毒而带来的麻烦,据说这是欧盟打击网络犯罪中心(EC3)的前身;在法国,巴黎警察分局的信息技术侦察处,有十多位计算机警察,他们都是计算机方面处理存储、传播信息的专家,他们专门对付电话线路盗用、互联网络上的计算机盗窃等犯罪。在中国大陆,公安部十一局(网监局)便是整体负责网络与计算机安全的警察机构。
更有国家在国内增加网络监管培训,并与相关国内外侦查组织合作。美国匹兹堡的国家网络取证培训联盟(National Cyber-Forensics & Training Alliance)就与欧盟打击网络犯罪中心EC3有合作。澳大利亚联邦警察局(AFP)和澳大利亚银行家协会(ABA)就联合起来为广大网民提供网络银行犯罪的警示。各国还有一些管理结构和协会,比如英国的“互联网监察基金会”、澳大利亚的“网络警示机构”、互联网从业者或ISP行业协会以及其他非政府组织在防治网络犯罪方面起到关键作用。
美国成立互联网欺诈投诉中心鼓励报案
美国联邦调查局(FBI)与国家白领犯罪中心(National White Collar Crime Center -NW3C)合作建立了互联网犯罪投诉中心(Internet Crime Complaint Center-IC3),专门负责调查和打击网络犯罪行为,受害者可以随时登陆该中心网站报案或投诉。因为网络金融犯罪受害者中企业和商家占多数,但他们在受害后,碍于担心社会公众可能会对其安全系统以及信誉产生怀疑,而选择对犯罪保持承诺,拒不报案。而多数遭受小额网络金融犯罪的个人受害者也会认为数额太小,而不进行举报,这样不利于政府及时发现和打击网络金融犯罪。因此除了像我国或美国部分地区规定强制报案制度外,还有不少国家的警察局或组织,如新加坡警察局、澳大利亚联邦警察局等国家或组织官方网站上就建立了网上报案系统,接受并鼓励网络金融犯罪受害者报案,让受害者可以迅速和有效地与执法部门分享有关信息。
编辑:黄灵 yeshzhwu@foxmail.com