小伙用網(wǎng)銀漏洞套取1935萬余元 另超額透支769萬余元

通過銀行網(wǎng)銀系統(tǒng)，將一個銀行個人賬戶中的資金轉(zhuǎn)到另一個銀行個人信用卡綁定的虛擬卡賬戶時，該虛擬卡賬戶顯示的到賬金額比實際轉(zhuǎn)入金額增加了一倍。2014年，29歲小伙發(fā)現(xiàn)這一銀行系統(tǒng)漏洞后，以此方式從某銀行套取1935萬余元，另超額透支769萬余元。2016年6月22日，該案在市中院開庭審理，并將擇期宣判。

案件概述

發(fā)現(xiàn)銀行網(wǎng)銀漏洞，套取銀行千萬資金

2014年7月19日，小衛(wèi)（化名）發(fā)現(xiàn)，通過銀行網(wǎng)銀系統(tǒng)將其在某銀行個人賬戶中的資金轉(zhuǎn)至另一家銀行個人信用卡綁定的虛擬卡賬戶時，該虛擬卡賬戶顯示的到賬金額比實際轉(zhuǎn)入金額竟然增加了一倍。

一開始，小衛(wèi)以為只是偶然事件，但隨后他測試發(fā)現(xiàn)，確實是銀行系統(tǒng)有此漏洞。之后，小衛(wèi)用自己名下的儲蓄卡和4張銀行信用卡，及以父親姓名辦理的3張銀行信用卡，不斷進(jìn)行重復(fù)操作，將儲蓄卡賬戶的資金轉(zhuǎn)到個人信用卡綁定的虛擬卡賬戶上，待資金虛增一倍后，再將資金從虛擬卡賬戶通過綁定的個人信用卡刷卡轉(zhuǎn)回儲蓄卡賬戶，或?qū)①Y金從虛擬卡賬戶轉(zhuǎn)至自己控制的其他個人銀行賬戶再轉(zhuǎn)回儲蓄卡賬戶的方式，反復(fù)循環(huán)操作。11天的時間，小衛(wèi)操作248筆，賬戶上虛增資金共計3528萬余元。

由于部分虛增資金上賬滯后、銀行監(jiān)控系統(tǒng)沖正等原因，截至案發(fā)時，實際被套取的虛增資金有1935萬余元。同時，小衛(wèi)在操作過程中還超額透支了銀行資金769萬余元，兩項實際到手的資金共計2704萬余元。

2014年7月29日，被套取資金的某銀行湖北省分行發(fā)現(xiàn)小衛(wèi)操控的7張信用卡賬戶上密集發(fā)生大量資金頻繁進(jìn)出，且轉(zhuǎn)出資金遠(yuǎn)超轉(zhuǎn)入資金，不符合信用卡使用規(guī)則，造成超限額透支，遂通知發(fā)卡行江漢支行。次日，江漢支行向公安機關(guān)報案。公安機關(guān)經(jīng)偵查，于當(dāng)日23時許，在江岸區(qū)的一家酒店將小衛(wèi)抓獲。

案發(fā)后，公安機關(guān)對小衛(wèi)轉(zhuǎn)出和使用的部分資金循跡查獲，追回金額677萬余元。被套取資金的銀行分別通過打電話、上門等方式多次讓小衛(wèi)還錢。2015年4月前，小衛(wèi)歸還了102萬余元，至今仍有1925萬余元無法償還。2015年6月22日法庭開庭審理了此案，并宣布擇日宣判。

風(fēng)險分析

商業(yè)銀行信息科技風(fēng)險防范不足

目前，隨著科技高速發(fā)展，銀行電子產(chǎn)品業(yè)務(wù)越來越多，網(wǎng)上銀行，手機銀行的功能也不斷推陳出新，競爭也越發(fā)激烈。而由于各項軟件的漏洞而引發(fā)的風(fēng)險加速暴露。本案例中銀行網(wǎng)銀存在漏洞使得被告有機可乘，套取銀行資金，使得銀行蒙受損失。本案例中銀行面臨此風(fēng)險應(yīng)歸類為信息科技風(fēng)險。信息科技風(fēng)險是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及推出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。

信息科技風(fēng)險產(chǎn)生的原因主要包括：（一）系統(tǒng)災(zāi)備機制不健全，應(yīng)急預(yù)案不完善。（二）商業(yè)銀行信息系統(tǒng)建設(shè)實行外包機制，潛在風(fēng)險較為突出。（三）日益增多的應(yīng)用信息系統(tǒng)未實現(xiàn)有效整合，系統(tǒng)安全風(fēng)險加大。（四）科技軟硬件基礎(chǔ)設(shè)施薄弱。（五）信息系統(tǒng)運行保障能力不足，存在數(shù)據(jù)備份損毀的風(fēng)險。（六）信息系統(tǒng)安全存在風(fēng)險隱患。（七）預(yù)警監(jiān)測體系亟待完善。（八）科技信息衍生品風(fēng)險管理不到位。

風(fēng)險啟示

防范信息系統(tǒng)風(fēng)險建立信息科技風(fēng)險管控體系是關(guān)鍵

商業(yè)銀行應(yīng)借鑒先進(jìn)金融機構(gòu)的良好做法和國際標(biāo)準(zhǔn)，從業(yè)務(wù)需求出發(fā)，在組織機構(gòu)、人員、技術(shù)和流程四個方面加強信息科技風(fēng)險管控，研究建立信息科技風(fēng)險管控體系，做到事前有預(yù)防、事中有控制和事后有檢查，將技術(shù)防范為主的被動信息安全工作，轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動信息科技風(fēng)險管控。

（一）加強對商業(yè)銀行業(yè)信息科技風(fēng)險管控工作的組織領(lǐng)導(dǎo)。建立全系統(tǒng)自上而下的信息科技風(fēng)險管控體系，落實信息科技風(fēng)險管理和防范責(zé)任，內(nèi)外合力，齊抓共管，處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險防范之間的關(guān)系，加大對信息科技的投入，積極采取措施消除信息科技風(fēng)險重大隱患。高度重視科技隊伍建設(shè)，打造一支穩(wěn)定、團結(jié)、高效的科技隊伍，要加強復(fù)合型人才培養(yǎng)，有針對性地組織對信息科技人員培訓(xùn)，加大人才引進(jìn)力度，有效集成人力資源，建立與信息科技風(fēng)險防范相關(guān)的激勵和獎懲機制，形成信息科技風(fēng)險防控合力，為商業(yè)銀行業(yè)務(wù)發(fā)展和科技風(fēng)險的管控提供強有力的人力保障。

（二）加強對信息科技重點環(huán)節(jié)的風(fēng)險防范。一是要提高信息系統(tǒng)運行保障能力。加大科技軟硬件設(shè)施投入，消除單點故障隱患。完善各項管理制度，制定應(yīng)急預(yù)案并組織演練，提高抗風(fēng)險能力和突發(fā)事件應(yīng)對能力。二是完善信息系統(tǒng)安全運行體系。對機房、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、網(wǎng)絡(luò)及數(shù)據(jù)訪問、科技人員操作風(fēng)險等方面進(jìn)行全面安全評估。設(shè)立信息科技風(fēng)險管理部門及崗位，嚴(yán)格執(zhí)行開發(fā)、運行、維護等崗位分離及關(guān)鍵崗位的 AB 角配備，完善相關(guān)管理制度。三是加強項目外包風(fēng)險管理。對外包公司的規(guī)模、技術(shù)水平、業(yè)務(wù)保障能力、保密等進(jìn)行全面評估，在外包合同中明確要求外包公司提供系統(tǒng)核心源代碼及相關(guān)信息。盡快提高銀行科技人員核心業(yè)務(wù)系統(tǒng)自主開發(fā)能力和系統(tǒng)安全策略自主配置能力。四是加強業(yè)務(wù)系統(tǒng)風(fēng)險管控。對由于IT系統(tǒng)的缺陷和不足引發(fā)的案件，要總結(jié)教訓(xùn)并認(rèn)真整改，做到人員控制、制度控制、系統(tǒng)控制三到位。

（三）健全災(zāi)備機制，確保業(yè)務(wù)連續(xù)運行。商業(yè)銀行在數(shù)據(jù)大集中后，仍應(yīng)注重保證本地使用數(shù)據(jù)的安全性，對一些數(shù)據(jù)要求相對高的交易數(shù)據(jù)，應(yīng)采用硬件雙機備份或者應(yīng)用程序備份方式。獨立法人機構(gòu)應(yīng)加快異地災(zāi)難備份中心的建設(shè)，確保數(shù)據(jù)的安全性、完整性；在網(wǎng)絡(luò)災(zāi)備方面，暫時沒有條件啟用主網(wǎng)和輔網(wǎng)雙路并行的機構(gòu)，可選擇在同一區(qū)域不同網(wǎng)點分散租用不同網(wǎng)絡(luò)供應(yīng)商線路的方式，緩解突發(fā)故障造成的影響。

（四）提高信息系統(tǒng)整合度，優(yōu)化各類系統(tǒng)。隨著信息系統(tǒng)的增多，必然導(dǎo)致安全隱患的增加，因此商業(yè)銀行應(yīng)對已上線的、準(zhǔn)備上線的、計劃開發(fā)的各類信息系統(tǒng)進(jìn)行優(yōu)化整合，在全面完成業(yè)務(wù)數(shù)據(jù)大集中的基礎(chǔ)上，建立適應(yīng)客戶需求變化的信息資產(chǎn)風(fēng)險管理統(tǒng)一框架。要大力整合現(xiàn)有業(yè)務(wù)流程、數(shù)據(jù)信息、數(shù)據(jù)應(yīng)用和數(shù)據(jù)控管等，盡量合并功能重復(fù)的信息系統(tǒng)，減少內(nèi)部和外部的連接數(shù)量，優(yōu)化彼此關(guān)聯(lián)的信息系統(tǒng)，提高信息系統(tǒng)安全系數(shù)。

（五）加強科技信息風(fēng)險監(jiān)管，提升風(fēng)險管控能力。

一是監(jiān)管部門要迅速探索建立商業(yè)銀行信息資產(chǎn)風(fēng)險監(jiān)管標(biāo)準(zhǔn)體系，著重解決商業(yè)銀行信息資產(chǎn)風(fēng)險評估與定價標(biāo)準(zhǔn)，按業(yè)務(wù)系統(tǒng)性質(zhì)及其隱形資產(chǎn)價值、網(wǎng)絡(luò)運行特性以及運營商素質(zhì)等方面內(nèi)容，科學(xué)劃分信息資產(chǎn)風(fēng)險級別與管理要求。二是應(yīng)迅速建立商業(yè)銀行信息資產(chǎn)風(fēng)險監(jiān)管法規(guī)體系，從系統(tǒng)開發(fā)、使用、維護、管理以及網(wǎng)絡(luò)運營商與IT公司的資質(zhì)、素質(zhì)等各個層面提出相關(guān)指引，確保系統(tǒng)從研發(fā)到使用全過程合規(guī)合法。三是要進(jìn)一步加強科技信息風(fēng)險現(xiàn)場檢查?；鶎由虡I(yè)銀行由于自身風(fēng)險防范能力薄弱，是風(fēng)險隱患的多發(fā)部門，監(jiān)管部門應(yīng)定期檢查、評價銀行業(yè)機構(gòu)科技信息系統(tǒng)運行情況、風(fēng)險程度，發(fā)現(xiàn)問題及時督促整改。

（六）強化內(nèi)控，拾遺補缺。一是商業(yè)銀行要按照銀監(jiān)會《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》要求，對可能出現(xiàn)的管理漏洞和執(zhí)行不力等問題，查缺補漏，調(diào)整優(yōu)化，嚴(yán)格評估信息安全內(nèi)控體系的完整性和實施的有效性。加強內(nèi)外部審計監(jiān)督，對信息系統(tǒng)的研發(fā)、運行及退出的全過程進(jìn)行審計，對可能發(fā)生的信息科技安全事故進(jìn)行調(diào)查、分析和評估，及時識別、監(jiān)測和防范信息科技風(fēng)險。二是加強災(zāi)備演練，提高應(yīng)急處置能力。加強風(fēng)險應(yīng)急和處置機制建設(shè)，穩(wěn)步提高應(yīng)急管理水平。要定期進(jìn)行各類應(yīng)急預(yù)案的培訓(xùn)和演練，把應(yīng)急管理工作從技術(shù)管理層面提升到全方位、多部門齊抓共管、協(xié)調(diào)一致的工作層面，確保極端事件發(fā)生時，能夠在最短的時間內(nèi)按照既定方案有序有效處置。

更多內(nèi)容請關(guān)注專業(yè)金融服務(wù)平臺——卡寶寶網(wǎng)（http://m.readingspeakeasy.com〕 卡寶寶網(wǎng)同時為您提供更多銀行信用卡的優(yōu)惠信息、信用卡指南、信用卡攻略，讓您更好地使用信用卡。