调查国内钓鱼网站等网络欺诈 银行系统安全机制和保护力受质疑

　　数月以来，假冒网银、钓鱼网站窃取客户资料及密码导致储蓄账户资金被盗案件时有发生。

　　商业银行对存款人账户资金安全的保护能力受质疑。

　　“钓鱼网站等欺诈交易的发生，虽不能说明银行的系统安全机制已被犯罪分子攻破，但这反映出国内银行在欺诈交易风险管理上，存在着一定的真空地带。”某股份制银行电子银行部一位人士受访时指出，任何银行业务的风险管理均分为?

　　此外，具体交易中，银行也可以通过一些辅助手段来帮助客户控制风险。

　　“比如对网银交易设置更灵活的额度或降低单笔转账金额；比如一笔交易操作完成后，银行在资金转移出去之前，通过客服短信告知客户；针对金额较大、或者较可疑的转账行为，还可以让客服中心人工进行交易确认。”该人士表示。

　　欺诈交易事前监测与识别十分必要。

　　从国际上的经验来讲，几乎主要的发卡银行，都采用基于神经网络模型的预测以及大批量实时处理的IT手段，来进行实时的精确的反欺诈，特别是反申请欺诈和交易欺诈。

　　2.银行“无过错论”？

　　在已发生的多起欺诈交易中，银行无一不撇清责任，如何看待银行的“无过错论”？

　　接受采访的一位股份制银行电子银行部人士认为，通过钓鱼网站等方式发生的欺诈交易，确实跟银行的IT系统技术本身没有关系，不过，事件的蔓延与升级，是银行风险管理意识薄弱的体现。

　　他认为，相对于银行卡市场份额、交易规模的迅速扩大，风险防范和服务手段却并未跟上。“过于注重做功能，而比较忽视客户服务和风险防范。”

　　一位国有银行科技部人士透露，工、农、中、建四大行目前在IT上的投入超过10亿元，而一家资产规模在1万亿以上的中小股份制商业银行，其每年的IT资金投入也高达2亿，且逐年递增。

　　“IT投入不仅是在新项目建设上，更大的投入在于老系统的维护费用，所以，每年的IT投入资金量都是大幅递增的。”该人士指出。

　　只要在风险控制上多做一小步，就可以为客户挽回大量损失，然有些银行却惜步于此。为何银行不向前再迈出一步？

　　接受采访的多名人士称，根源在于当前靠规模发展模式下，银行重增速轻风险，重短期轻远期，重大客户轻普通储蓄存款人的思维模式。

　　无论是技术还是服务层面，任何一项风险管理措施都需要付出成本，而欺诈交易产生的直接损失对于银行而言可能并不严重。上述国有银行人士表示，“欺诈交易发生时造成的损失，对银行而言主要是品牌声誉受影响，也即间接损失，而资金的直接损失是客户来承担。”

　　不过，国内银行对品牌价值及声誉的重视，在同质化竞争中驱动力明显不足。

　　陈建指出，在美国，通常盗卡、伪造卡等信用卡欺诈交易带来的损失百分之百由银行来承担，而中国还没有普遍采纳这一规则，“仅仅只在一定时效内承担损失”。

　　在有些商业银行的“无责论”下，客户的被骗资金追索及赔付工作十分困难。“针对钓鱼网站等欺诈交易的客户投诉，银行一般是拒不赔付。”上述国有银行人士指出，除非经公安机关侦查破案后，从犯罪分子那取回被骗资金。

　　不过，一个普通的存款人，其重要性对于银行而言，是不是就可以忽视？在利率市场化改革的进程中，商业银行需要重新思考这一命题。

　　“国内的银行业如果现在不高度重视，并且采取果断的措施建立行之有效的反欺诈手段，那么将来的风险非常大。”陈建表示。

　　然而，国际上成熟的反欺诈经验能否适应中国市场，却值得商榷。

　　上述国有银行人士称，国际上一些反欺诈的IT技术确实对欺诈风险控制有极大的促进作用。但任何模型建立的基础是有大量历史数据积累，通过海量数据及科学的模型才能得出结论。而中国信用卡市场的发展时间尚短，全行数据大集中也就最近几年，有的银行甚至数据大集中都未实现，模型的效果可想而知。

　　目前国内银行中，工行的数据大集中开始得最早，始于1999年9月1日，其它多数大中型商业银行仅仅是从最近四五年才开始做数据集中。

　　另外，即使数据实现集中，如何进行有效的IT系统管理也会成为制约因素。

　　目前国内银行IT系统管理水平参差不齐。“比如机构设置，有科技部、IT蓝图办公室、开发中心、测试中心、信息中心等等，相互之间的隶属关系、工作职责、汇报条线，都是不清晰，没有一个总体的协调。”该人士指出。

　　不过，国际上经二十年时间验证、行之有效的反欺诈交易管理模型，也不能通过分析每笔授权交易，准确预测识别出每一笔欺诈交易行为，更加不能保证，每一笔被识别和阻断的欺诈交易都没有被误判。

　　并且，有时候一笔“误判”带来的银行信誉损失，甚至超过欺诈交易发生带来的损失。可能为了抓住一笔欺诈交易，而妨碍上千个持卡人的使用体验，这是银行必须要考虑的隐性成本。

　　“技术模型对中国的银行效果如何，一方面要看银行的数据健全程度，另一方面要看这个银行能承受多大的误判。”陈建指出，“再精密、高端的技术模型也是有误判的，误判率就是欺诈交易风险管理的成本。”

　　因而，国际反欺诈的模型在中国市场上推广时，并非直接应用成型的模型，而是将技术分析手段和经验引入国内。更重要的是，国内银行反欺诈风险管理的意识需要强化，主动发现更多欺诈交易。

　　3.反欺诈管理困境

　　但商业银行也有自己的苦衷。一方面“钓鱼网站”较多，防不胜防，另一方面，即使事后及时采取措施，操作起来也面临多方困境。

　　近年来的欺诈交易正向团体作案方向演变。犯罪团伙从通过钓鱼网站盗取客户账号、密码，转账，分账到各地多个账户，取现，基本上几分钟，最多十几分钟内就可完成。

　　为有效防范钓鱼事件，网络安全升级刻不容缓。至2010年11月底，中国反钓鱼网站联盟秘书处累计认定并处理的钓鱼网站达32496个，其中，2010年1－11月，累计认定并处理钓鱼网站20570个，较去年同期大幅上涨136%。

　　一家深受“钓鱼网站”所扰的股份制银行电子银行部人士表示，假冒该行官网的网站已经有接近100个，且“此关彼出，防不胜防”。

　　他们一旦发现就立刻与公安部门联系，关闭钓鱼网站。网站注册地和服务器在国内的一般当天即能关掉，若注册地和服务器在国外，公安机关需要协调中国电信部门将其屏蔽，过程需要三四天。可犯罪分子通过钓鱼网站窃取账户信息只需要一分钟时间，从钓鱼到取现整个交易过程也不过十几分钟，此时损失已经发生了。“关闭网站只能做到不让后面更多的客户受骗。”他说。

　　“钓鱼网站”的监测治理，显然不能单凭商业银行一己之力可为。

　　上述人士认为，网站的注册成本极低，负责域名注册的有关部门应该提示注册者提供身份验证、资质证明及有无犯罪记录证明。

　　“保护金融客户的利益，维护网络信息安全，是多个部门的共同职责，不能只让银行去做，银行也做不了。应该调动全社会各种资源的力量，来共同做这个事。”他说。

　　此外，银行面临的尴尬还有，即使明知交易可疑，从法律层面而言，也无法在犯罪分子取现之前，将涉嫌欺诈交易的各个分账户冻结以保障存款人资金安全。

　　一位国有银行人士解释说，冻结账户需要法院的冻结书，只要该笔业务程序合法，银行并无权力私自冻结账户。

　　第三方支付公司也面临同样的困境。汇付天下有限公司合规部人士受访时表示，由于骗子发起的是真实订单，支付公司系统处理成功后，就需要给商户付款；支付公司能做的是将这笔订单的去向告知客户，协助警方追查；但因为法律规定，系统处理成功即需付款，不能冻结该笔资金，否则支付公司就违反了商业合同。

　　汇付天下合规部人士认为，对于网上欺诈行为，公安部门应加强介入，给予更多支持。

　　亡羊补牢，未为晚也。各种欺诈交易的集中爆发，促进了商业银行风险防范意识的增强。

　　中行钓鱼事件后，在网银交易安全上增设了一道保障机制，即推出手机交易码认证，个人客户通过中行网银向他人转账或进行网上支付交易时，除要输入动态口令外，还要输入手机交易码进行验证，方可交易。手机交易码由该行客服电话统一发送。

　　据了解，目前，各家银行用户端网银安全工具除手机验证外，主要有两种方式，一是动态口令牌，二是数字证书U盾(Ukey)，相当于一个存储了个人数字认证信息的U盘。

　　动态口令是每次随机生成的一个数字组合，且每个口令只能使用一次。目前看来，“钓鱼网站”大多发生在使用动态令牌的银行中。这是否意味着动态令牌的安全性一定低于U盾？

　　网上交易采用单一的动态令牌保护显然具有安全漏洞。虽然动态口令有时间限制，每隔60秒就会自动更新一次，但这个时间已足以让不法分子在套取动态口令后迅速用来登录用户的网银，从而盗取资金。而U盾因多了一个类似U盘的物理介质，所以即使被破译出U盾密码，也不容易被窃取资金，除非，用户的U盾与密码同时丢失。

　　如此看来，U盾确实强于动态令牌的安全性。但是，U盾在使用便捷性及客户体验上存在一些弱势，如初次使用时涉及安装驱动程序、下载数字证书等，对电脑软硬环境都有一定要求，对客户电脑操作技能也有一定要求。

　　并且，随着平板电脑、手机银行等电子化及新型支付方式的发展，U盾在便捷性上可能面临更多限制。

　　网银安全始终是在安全性和便捷性上进行权衡。

　　“已经有一些银行意识到U盾的复杂性，正在考虑投入电子令牌，如工行、中信、建行等。不过，钓鱼网站频发事件之后，它们需要重新考虑一下了。”上述业内人士告诉记者。

　　他还表示，“动态口令也并非毫无可取，比如增加了一道手机认证的步骤，便相当于多了一道安全把关。”

（编辑：ZT）