數(shù)月以來(lái),假冒網(wǎng)銀、釣魚網(wǎng)站竊取客戶資料及密碼導(dǎo)致儲(chǔ)蓄賬戶資金被盜案件時(shí)有發(fā)生。
商業(yè)銀行對(duì)存款人賬戶資金安全的保護(hù)能力受質(zhì)疑。
“釣魚網(wǎng)站等欺詐交易的發(fā)生,雖不能說(shuō)明銀行的系統(tǒng)安全機(jī)制已被犯罪分子攻破,但這反映出國(guó)內(nèi)銀行在欺詐交易風(fēng)險(xiǎn)管理上,存在著一定的真空地帶?!蹦彻煞葜沏y行電子銀行部一位人士受訪時(shí)指出,任何銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理均分為事前、事中、事后階段,至少在事前監(jiān)測(cè)階段,我們做得是不夠的。
國(guó)外的銀行可以運(yùn)用一些技術(shù)手段做到事前發(fā)現(xiàn)可疑,事中進(jìn)行阻斷。
而我們的有些銀行是靠事后,大多數(shù)都是客戶報(bào)案了才知道。這是一個(gè)問(wèn)題。
1.“欺詐交易”案發(fā)
近年來(lái),國(guó)內(nèi)銀行卡、特別是信用卡業(yè)務(wù)的發(fā)展非常迅速。目前信用卡總量已達(dá)到2.1億張,2010年信用卡交易量達(dá)5.1萬(wàn)億元,其中消費(fèi)金額2.7萬(wàn)億元。
業(yè)務(wù)雖高歌猛進(jìn),有些銀行卡欺詐交易的風(fēng)險(xiǎn)防范意識(shí)卻甚為薄弱。銀行卡欺詐交易的威脅日益嚴(yán)峻。
2009年,國(guó)內(nèi)信用卡產(chǎn)業(yè)已形成損失的欺詐交易金額1.74億元,同比增長(zhǎng)5.10%,而據(jù)業(yè)內(nèi)人士估計(jì),2010年比2009年至少翻了一番。
隨著信用卡的普及、受理環(huán)境的改善,信用卡的欺詐時(shí)有涌現(xiàn)。
費(fèi)埃哲信息技術(shù)(北京)有限公司副總裁陳建分析稱,一方面,隨著卡市場(chǎng)的發(fā)展,這種欺詐變得非常有利可圖,另一方面,欺詐總是傾向于攻擊薄弱的環(huán)節(jié)。
“在欺詐防范的技術(shù)手段上初級(jí),風(fēng)險(xiǎn)防范的意識(shí)薄弱。
因而欺詐非常容易得逞,欺詐的規(guī)?;l(fā)展成為一個(gè)趨勢(shì)?!彼f(shuō)。
欺詐風(fēng)險(xiǎn)屬操作風(fēng)險(xiǎn)范疇??v觀已發(fā)生的欺詐行為,如信用卡套現(xiàn)、盜卡、偽造卡、釣魚網(wǎng)站等網(wǎng)上支付詐騙等,欺詐犯罪手段并不高明,受害者之中也不乏高學(xué)歷、高智商的人群。當(dāng)欺詐交易發(fā)生時(shí),指責(zé)客戶風(fēng)險(xiǎn)防范意識(shí)的不足多有失公允,更需銀行反省自身,其反欺詐管理是否在意識(shí)、技術(shù)和機(jī)制上存在漏洞和不足。
陳建表示,近來(lái)各種欺詐案件頻發(fā),中國(guó)的商業(yè)銀行對(duì)欺詐交易風(fēng)險(xiǎn)管理已經(jīng)有所認(rèn)識(shí),但在具體操作上還需強(qiáng)化。
通常欺詐交易風(fēng)險(xiǎn)管理體系只有最基本的解決方案,即在案件發(fā)生后,經(jīng)客戶舉報(bào)、投訴方才進(jìn)行案件跟蹤以及客戶關(guān)系處理。
“但是,欺詐交易風(fēng)險(xiǎn)管理最重要的環(huán)節(jié)是事前的監(jiān)測(cè)和識(shí)別,因?yàn)榘讣l(fā)生時(shí),損失已經(jīng)造成,并且對(duì)資金的追索、案件的偵破不僅成本巨大,而且難以完成?!标惤ㄕf(shuō)。
銀行可以事先有更多作為。比如通過(guò)建立模型來(lái)分析和發(fā)現(xiàn)欺詐行為,從而在不增加存款持有量的情況下改善客戶關(guān)系,而不僅僅只是對(duì)客戶做風(fēng)險(xiǎn)教育及提示。
一位接受訪問(wèn)的國(guó)有銀行電子銀行部負(fù)責(zé)人指出,銀行有責(zé)任主動(dòng)發(fā)現(xiàn)釣魚網(wǎng)站的存在,然后及時(shí)提醒客戶去防范,并協(xié)調(diào)相關(guān)部門關(guān)閉這個(gè)釣魚網(wǎng)站,“這方面銀行還是有很多改進(jìn)空間”。
簡(jiǎn)而言之,即建立一種預(yù)測(cè)模型,通過(guò)對(duì)歷史交易數(shù)據(jù)、欺詐活動(dòng)、持卡人信息的技術(shù)分析,來(lái)說(shuō)明賬戶存在欺詐交易行為的可能性。
此外,具體交易中,銀行也可以通過(guò)一些輔助手段來(lái)幫助客戶控制風(fēng)險(xiǎn)。
“比如對(duì)網(wǎng)銀交易設(shè)置更靈活的額度或降低單筆轉(zhuǎn)賬金額;比如一筆交易操作完成后,銀行在資金轉(zhuǎn)移出去之前,通過(guò)客服短信告知客戶;針對(duì)金額較大、或者較可疑的轉(zhuǎn)賬行為,還可以讓客服中心人工進(jìn)行交易確認(rèn)?!痹撊耸勘硎?。
欺詐交易事前監(jiān)測(cè)與識(shí)別十分必要。
從國(guó)際上的經(jīng)驗(yàn)來(lái)講,幾乎主要的發(fā)卡銀行,都采用基于神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)以及大批量實(shí)時(shí)處理的IT手段,來(lái)進(jìn)行實(shí)時(shí)的精確的反欺詐,特別是反申請(qǐng)欺詐和交易欺詐。
2.銀行“無(wú)過(guò)錯(cuò)論”?
在已發(fā)生的多起欺詐交易中,銀行無(wú)一不撇清責(zé)任,如何看待銀行的“無(wú)過(guò)錯(cuò)論”?
接受采訪的一位股份制銀行電子銀行部人士認(rèn)為,通過(guò)釣魚網(wǎng)站等方式發(fā)生的欺詐交易,確實(shí)跟銀行的IT系統(tǒng)技術(shù)本身沒(méi)有關(guān)系,不過(guò),事件的蔓延與升級(jí),是銀行風(fēng)險(xiǎn)管理意識(shí)薄弱的體現(xiàn)。
他認(rèn)為,相對(duì)于銀行卡市場(chǎng)份額、交易規(guī)模的迅速擴(kuò)大,風(fēng)險(xiǎn)防范和服務(wù)手段卻并未跟上?!斑^(guò)于注重做功能,而比較忽視客戶服務(wù)和風(fēng)險(xiǎn)防范。”
一位國(guó)有銀行科技部人士透露,工、農(nóng)、中、建四大行目前在IT上的投入超過(guò)10億元,而一家資產(chǎn)規(guī)模在1萬(wàn)億以上的中小股份制商業(yè)銀行,其每年的IT資金投入也高達(dá)2億,且逐年遞增。
“IT投入不僅是在新項(xiàng)目建設(shè)上,更大的投入在于老系統(tǒng)的維護(hù)費(fèi)用,所以,每年的IT投入資金量都是大幅遞增的。”該人士指出。
只要在風(fēng)險(xiǎn)控制上多做一小步,就可以為客戶挽回大量損失,然有些銀行卻惜步于此。為何銀行不向前再邁出一步?
接受采訪的多名人士稱,根源在于當(dāng)前靠規(guī)模發(fā)展模式下,銀行重增速輕風(fēng)險(xiǎn),重短期輕遠(yuǎn)期,重大客戶輕普通儲(chǔ)蓄存款人的思維模式。
無(wú)論是技術(shù)還是服務(wù)層面,任何一項(xiàng)風(fēng)險(xiǎn)管理措施都需要付出成本,而欺詐交易產(chǎn)生的直接損失對(duì)于銀行而言可能并不嚴(yán)重。上述國(guó)有銀行人士表示,“欺詐交易發(fā)生時(shí)造成的損失,對(duì)銀行而言主要是品牌聲譽(yù)受影響,也即間接損失,而資金的直接損失是客戶來(lái)承擔(dān)?!?/p>
不過(guò),國(guó)內(nèi)銀行對(duì)品牌價(jià)值及聲譽(yù)的重視,在同質(zhì)化競(jìng)爭(zhēng)中驅(qū)動(dòng)力明顯不足。
陳建指出,在美國(guó),通常盜卡、偽造卡等信用卡欺詐交易帶來(lái)的損失百分之百由銀行來(lái)承擔(dān),而中國(guó)還沒(méi)有普遍采納這一規(guī)則,“僅僅只在一定時(shí)效內(nèi)承擔(dān)損失”。
在有些商業(yè)銀行的“無(wú)責(zé)論”下,客戶的被騙資金追索及賠付工作十分困難?!搬槍?duì)釣魚網(wǎng)站等欺詐交易的客戶投訴,銀行一般是拒不賠付?!鄙鲜鰢?guó)有銀行人士指出,除非經(jīng)公安機(jī)關(guān)偵查破案后,從犯罪分子那取回被騙資金。
不過(guò),一個(gè)普通的存款人,其重要性對(duì)于銀行而言,是不是就可以忽視?在利率市場(chǎng)化改革的進(jìn)程中,商業(yè)銀行需要重新思考這一命題。
“國(guó)內(nèi)的銀行業(yè)如果現(xiàn)在不高度重視,并且采取果斷的措施建立行之有效的反欺詐手段,那么將來(lái)的風(fēng)險(xiǎn)非常大。”陳建表示。
然而,國(guó)際上成熟的反欺詐經(jīng)驗(yàn)?zāi)芊襁m應(yīng)中國(guó)市場(chǎng),卻值得商榷。
上述國(guó)有銀行人士稱,國(guó)際上一些反欺詐的IT技術(shù)確實(shí)對(duì)欺詐風(fēng)險(xiǎn)控制有極大的促進(jìn)作用。但任何模型建立的基礎(chǔ)是有大量歷史數(shù)據(jù)積累,通過(guò)海量數(shù)據(jù)及科學(xué)的模型才能得出結(jié)論。而中國(guó)信用卡市場(chǎng)的發(fā)展時(shí)間尚短,全行數(shù)據(jù)大集中也就最近幾年,有的銀行甚至數(shù)據(jù)大集中都未實(shí)現(xiàn),模型的效果可想而知。
目前國(guó)內(nèi)銀行中,工行的數(shù)據(jù)大集中開始得最早,始于1999年9月1日,其它多數(shù)大中型商業(yè)銀行僅僅是從最近四五年才開始做數(shù)據(jù)集中。
另外,即使數(shù)據(jù)實(shí)現(xiàn)集中,如何進(jìn)行有效的IT系統(tǒng)管理也會(huì)成為制約因素。
目前國(guó)內(nèi)銀行IT系統(tǒng)管理水平參差不齊?!氨热鐧C(jī)構(gòu)設(shè)置,有科技部、IT藍(lán)圖辦公室、開發(fā)中心、測(cè)試中心、信息中心等等,相互之間的隸屬關(guān)系、工作職責(zé)、匯報(bào)條線,都是不清晰,沒(méi)有一個(gè)總體的協(xié)調(diào)。”該人士指出。
不過(guò),國(guó)際上經(jīng)二十年時(shí)間驗(yàn)證、行之有效的反欺詐交易管理模型,也不能通過(guò)分析每筆授權(quán)交易,準(zhǔn)確預(yù)測(cè)識(shí)別出每一筆欺詐交易行為,更加不能保證,每一筆被識(shí)別和阻斷的欺詐交易都沒(méi)有被誤判。
并且,有時(shí)候一筆“誤判”帶來(lái)的銀行信譽(yù)損失,甚至超過(guò)欺詐交易發(fā)生帶來(lái)的損失??赡転榱俗プ∫还P欺詐交易,而妨礙上千個(gè)持卡人的使用體驗(yàn),這是銀行必須要考慮的隱性成本。
“技術(shù)模型對(duì)中國(guó)的銀行效果如何,一方面要看銀行的數(shù)據(jù)健全程度,另一方面要看這個(gè)銀行能承受多大的誤判?!标惤ㄖ赋?,“再精密、高端的技術(shù)模型也是有誤判的,誤判率就是欺詐交易風(fēng)險(xiǎn)管理的成本?!?/p>
因而,國(guó)際反欺詐的模型在中國(guó)市場(chǎng)上推廣時(shí),并非直接應(yīng)用成型的模型,而是將技術(shù)分析手段和經(jīng)驗(yàn)引入國(guó)內(nèi)。更重要的是,國(guó)內(nèi)銀行反欺詐風(fēng)險(xiǎn)管理的意識(shí)需要強(qiáng)化,主動(dòng)發(fā)現(xiàn)更多欺詐交易。
3.反欺詐管理困境
但商業(yè)銀行也有自己的苦衷。一方面“釣魚網(wǎng)站”較多,防不勝防,另一方面,即使事后及時(shí)采取措施,操作起來(lái)也面臨多方困境。
近年來(lái)的欺詐交易正向團(tuán)體作案方向演變。犯罪團(tuán)伙從通過(guò)釣魚網(wǎng)站盜取客戶賬號(hào)、密碼,轉(zhuǎn)賬,分賬到各地多個(gè)賬戶,取現(xiàn),基本上幾分鐘,最多十幾分鐘內(nèi)就可完成。
為有效防范釣魚事件,網(wǎng)絡(luò)安全升級(jí)刻不容緩。至2010年11月底,中國(guó)反釣魚網(wǎng)站聯(lián)盟秘書處累計(jì)認(rèn)定并處理的釣魚網(wǎng)站達(dá)32496個(gè),其中,2010年1-11月,累計(jì)認(rèn)定并處理釣魚網(wǎng)站20570個(gè),較去年同期大幅上漲136%。
一家深受“釣魚網(wǎng)站”所擾的股份制銀行電子銀行部人士表示,假冒該行官網(wǎng)的網(wǎng)站已經(jīng)有接近100個(gè),且“此關(guān)彼出,防不勝防”。
他們一旦發(fā)現(xiàn)就立刻與公安部門聯(lián)系,關(guān)閉釣魚網(wǎng)站。網(wǎng)站注冊(cè)地和服務(wù)器在國(guó)內(nèi)的一般當(dāng)天即能關(guān)掉,若注冊(cè)地和服務(wù)器在國(guó)外,公安機(jī)關(guān)需要協(xié)調(diào)中國(guó)電信部門將其屏蔽,過(guò)程需要三四天??煞缸锓肿油ㄟ^(guò)釣魚網(wǎng)站竊取賬戶信息只需要一分鐘時(shí)間,從釣魚到取現(xiàn)整個(gè)交易過(guò)程也不過(guò)十幾分鐘,此時(shí)損失已經(jīng)發(fā)生了?!瓣P(guān)閉網(wǎng)站只能做到不讓后面更多的客戶受騙?!彼f(shuō)。
“釣魚網(wǎng)站”的監(jiān)測(cè)治理,顯然不能單憑商業(yè)銀行一己之力可為。
上述人士認(rèn)為,網(wǎng)站的注冊(cè)成本極低,負(fù)責(zé)域名注冊(cè)的有關(guān)部門應(yīng)該提示注冊(cè)者提供身份驗(yàn)證、資質(zhì)證明及有無(wú)犯罪記錄證明。
“保護(hù)金融客戶的利益,維護(hù)網(wǎng)絡(luò)信息安全,是多個(gè)部門的共同職責(zé),不能只讓銀行去做,銀行也做不了。應(yīng)該調(diào)動(dòng)全社會(huì)各種資源的力量,來(lái)共同做這個(gè)事。”他說(shuō)。
此外,銀行面臨的尷尬還有,即使明知交易可疑,從法律層面而言,也無(wú)法在犯罪分子取現(xiàn)之前,將涉嫌欺詐交易的各個(gè)分賬戶凍結(jié)以保障存款人資金安全。
一位國(guó)有銀行人士解釋說(shuō),凍結(jié)賬戶需要法院的凍結(jié)書,只要該筆業(yè)務(wù)程序合法,銀行并無(wú)權(quán)力私自凍結(jié)賬戶。
第三方支付公司也面臨同樣的困境。匯付天下有限公司合規(guī)部人士受訪時(shí)表示,由于騙子發(fā)起的是真實(shí)訂單,支付公司系統(tǒng)處理成功后,就需要給商戶付款;支付公司能做的是將這筆訂單的去向告知客戶,協(xié)助警方追查;但因?yàn)榉梢?guī)定,系統(tǒng)處理成功即需付款,不能凍結(jié)該筆資金,否則支付公司就違反了商業(yè)合同。
匯付天下合規(guī)部人士認(rèn)為,對(duì)于網(wǎng)上欺詐行為,公安部門應(yīng)加強(qiáng)介入,給予更多支持。
亡羊補(bǔ)牢,未為晚也。各種欺詐交易的集中爆發(fā),促進(jìn)了商業(yè)銀行風(fēng)險(xiǎn)防范意識(shí)的增強(qiáng)。
中行釣魚事件后,在網(wǎng)銀交易安全上增設(shè)了一道保障機(jī)制,即推出手機(jī)交易碼認(rèn)證,個(gè)人客戶通過(guò)中行網(wǎng)銀向他人轉(zhuǎn)賬或進(jìn)行網(wǎng)上支付交易時(shí),除要輸入動(dòng)態(tài)口令外,還要輸入手機(jī)交易碼進(jìn)行驗(yàn)證,方可交易。手機(jī)交易碼由該行客服電話統(tǒng)一發(fā)送。
據(jù)了解,目前,各家銀行用戶端網(wǎng)銀安全工具除手機(jī)驗(yàn)證外,主要有兩種方式,一是動(dòng)態(tài)口令牌,二是數(shù)字證書U盾(Ukey),相當(dāng)于一個(gè)存儲(chǔ)了個(gè)人數(shù)字認(rèn)證信息的U盤。
動(dòng)態(tài)口令是每次隨機(jī)生成的一個(gè)數(shù)字組合,且每個(gè)口令只能使用一次。目前看來(lái),“釣魚網(wǎng)站”大多發(fā)生在使用動(dòng)態(tài)令牌的銀行中。這是否意味著動(dòng)態(tài)令牌的安全性一定低于U盾?
網(wǎng)上交易采用單一的動(dòng)態(tài)令牌保護(hù)顯然具有安全漏洞。雖然動(dòng)態(tài)口令有時(shí)間限制,每隔60秒就會(huì)自動(dòng)更新一次,但這個(gè)時(shí)間已足以讓不法分子在套取動(dòng)態(tài)口令后迅速用來(lái)登錄用戶的網(wǎng)銀,從而盜取資金。而U盾因多了一個(gè)類似U盤的物理介質(zhì),所以即使被破譯出U盾密碼,也不容易被竊取資金,除非,用戶的U盾與密碼同時(shí)丟失。
如此看來(lái),U盾確實(shí)強(qiáng)于動(dòng)態(tài)令牌的安全性。但是,U盾在使用便捷性及客戶體驗(yàn)上存在一些弱勢(shì),如初次使用時(shí)涉及安裝驅(qū)動(dòng)程序、下載數(shù)字證書等,對(duì)電腦軟硬環(huán)境都有一定要求,對(duì)客戶電腦操作技能也有一定要求。
并且,隨著平板電腦、手機(jī)銀行等電子化及新型支付方式的發(fā)展,U盾在便捷性上可能面臨更多限制。
網(wǎng)銀安全始終是在安全性和便捷性上進(jìn)行權(quán)衡。
“已經(jīng)有一些銀行意識(shí)到U盾的復(fù)雜性,正在考慮投入電子令牌,如工行、中信、建行等。不過(guò),釣魚網(wǎng)站頻發(fā)事件之后,它們需要重新考慮一下了?!鄙鲜鰳I(yè)內(nèi)人士告訴記者。
他還表示,“動(dòng)態(tài)口令也并非毫無(wú)可取,比如增加了一道手機(jī)認(rèn)證的步驟,便相當(dāng)于多了一道安全把關(guān)?!?/p>