网络金融业务漏洞成为电信诈骗的新路径
添加时间:2014-07-21
网络金融业务在设计方面存在的漏洞,为电信诈骗犯罪分子提供了可乘之机,成为其屡屡得逞的“绝杀秘笈”.这些金融漏洞涉及网上银行、手机银行、第三方支付平台等业务,与百姓日常生活息息相关。
漏洞1:常规网络金融业务。
1996年,中国银行在国内开创提供网上银行服务的先河。2004年,交通银行率先在国内利用无线上网技术提供手机银行服务。国内各大商业银行也纷纷追随其步伐,在不长的时间内陆续开通各自的网上银行、手机银行业务。经过这些年的发展,网上银行、手机银行已经得到较为广泛的接受,故称其为常规网络金融业务。
网上银行业务漏洞:动态密码。
网上银行业务的漏洞主要与银行电子密码器有关。早期的网上银行业务,用户需要在电脑的USB接口上插入外接的U盾,方能正常操作。为方便广大用户,银行推出了电子密码器,取代传统的外接式U盾。用户无需连接电脑等设备,无需安装驱动程序,只需在网上银行界面相应栏目输入密码器显示的动态密码,便可完成相关操作的最后确认。电子密码器的确为用户带来了方便,但是问题也随之而来。
2011年5月的一天,深圳市民黄先生接到冒充公安机关民警打来的电话,称其“涉嫌洗钱犯罪,需要接受资金审查”,于是黄先生按犯罪分子要求到当地工商银行开办一张银行卡,开通网上银行功能,并将其所有存款23.5万元转入该卡。随后,黄先生接受所谓的“资金审查”,按照犯罪分子指示,将银行卡号、密码、动态密码如实相报,结果其卡内的23.5万元在几分钟内即被骗子转走,待其醒悟为时已晚。
随着公安机关、银行部门不断加大防骗反骗宣传力度,广大群众对动态密码保护意识大大增强,犯罪分子的手法也随之转变。2013年8月的一天,厦门市民杨小姐的手机接到冒充“中国银行客服”发来的短信称“银行电子密码器即将过期,需要立即登录网站升级”.杨小姐按照短信中的网址登录“中国银行”网站,在相应空格中输入银行卡号、密码、动态密码等相关信息。片刻之后,杨小姐收到其账户内的5万元被转走的提示短信,方才发觉被骗。原来犯罪分子在短信中提供了虚假网站的网址,杨小姐在输入相关信息时,隐藏在该网站后台的恶意程序同步将信息传送至犯罪分子,犯罪分子立即登录中国银行的网上银行,操作杨小姐的账户将存款转走。
显而易见,用户通过电子密码器获取的动态密码一旦被犯罪分子套取,就等于是将账户的操作权限拱手相让,任由犯罪分子摆布。
手机银行业务漏洞:独立密码。
相比网上银行,用户通过手机银行可以随时随地操作自己的账户,更加灵活,更加便捷。犯罪分子也乘虚而入,利用手机银行在密码设置方面的漏洞大肆行骗。
2013年10月的一天,泉州市民李先生在网上看到“无担保贷款”的广告,遂联系对方要求贷款200万元。对方在详细询问李先生的姓名、身份证号码等个人基本信息后,表示可以考虑放贷。但对方要求李先生必须到银行开卡作为“验资”账户并存入100万元,证明其有还贷能力。对方还以“便于查询验资款是否真实存在”为由,要求李先生在办卡时开通手机银行,将对方提供的手机号设为预留号码,并将原始密码告诉对方。为了让李先生“放心”,骗子还特意让李先生持银行卡到柜员机修改密码。李先生一一照办,觉得银行卡密码已改,应该没有什么问题,于是向朋友借款100万元转入“验资”账户。对方迟迟没有回音,李先生到银行查询,发现100万元已经被转走,方才发觉被骗。
原来,银行卡密码和手机银行密码是分开的,在柜员机修改银行卡密码并不能一并修改手机银行密码。犯罪分子正是利用手机银行的独立密码这个漏洞,用预留手机号上网,下载客户端,再利用掌握的李先生姓名、身份证号码完成绑定,成功获取李先生所办银行卡的手机银行操作权限实施犯罪。
漏洞2:新兴网络金融业务新兴网络金融业务即第三方支付业务。第三方支付平台是指与银行(通常是多家银行)签约,并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。2011年以来,国内已有101家公司获得第三方支付牌照。这些公司建立的第三方支付平台虽然业务模式和技术实现方法不尽相同,但在结构上都有一个相似点,即第三方支付平台前端直接面对网上客户,而平台后端连接各家商业银行,或通过人民银行支付系统连接各家商业银行,可以实现部分金融业务功能。第三方支付平台存在的漏洞,主要与其两大功能有关:一是接收、处理并向开户银行传递网上客户的支付指令;二是进行跨行之间的资金清算。
犯罪“金手指”:快捷支付。
快捷支付,是指用户无需开通网上银行功能,只需提供银行卡号、户名、手机号码等信息,在银行验证手机号码正确性后,由第三方支付平台发送动态口令码到用户手机号上,用户输入正确的动态口令码,即可完成支付。用户使用快捷支付功能,的确可以获得更多便利,但是其中也暗藏着“隐形炸弹”.
2014年2月的一天,厦门市民何女士接到冒充“国税局”的来电,称其新购置的轿车可以享受“国家环保补贴”,要求何女士提供姓名、身份证号码、手机号码等个人基本信息,并提供银行卡号用于接收补贴款。稍后,何女士手机接到一条验证短信,对方告诉何女士需要提供验证码证明其系车主本人,何女士照办,后发现其银行卡内存款被转走4.9万余元。
原来,犯罪分子事先在第三方支付平台“支付宝”上注册账户,利用何女士的姓名、身份证号码、手机号码、银行卡号等信息开通快捷支付功能,再骗取何女士收到的验证码,完成了支付过程,成功地将何女士的存款转入诈骗用的支付宝账户中,之后再辗转提现。
赃款“中转站”:第三方支付账号。
以往的电信诈骗犯罪中,犯罪分子为了能在短时间内快速分流、转移、提取赃款,往往需要购买大量“人头户”银行卡。随着银行开户实名制的推广,以及公安机关对非法买卖银行卡行为打击力度的不断加大,“人头户”银行卡价格节节攀高。一张普通的“人头户”银行卡价格由前几年的50至100元上涨为现在的200至300元,而一张开通了网上银行、手机银行功能并附带开户人身份证、电子密码器、绑定手机号的SIM卡等“全套配件”的“人头户”银行卡价格甚至突破了1000元。
第三方支付账户推出后,由于其注册无需任何成本,且数量不受限制,成为犯罪分子的得力工具。目前,犯罪分子主要采取两种方式:第一种是诱骗被害人直接将赃款转入第三方支付账户,再利用提现功能将赃款转入作案银行卡,进而取现;第二种是诱骗被害人将赃款转入作案银行卡,之后利用第三方支付平台的充值、提现功能,将赃款转移至其他作案银行卡,进而取现。无论采用何种方式,犯罪分子作案所需的“人头户”银行卡数量都将大大减少,不仅可以节省购买银行卡的犯罪成本,而且可以利用第三方支付平台查询、反馈周期长的现实问题,迟滞公安机关的侦查步伐,降低犯罪风险。
网络金融漏洞的防范对策。
蓬勃发展的网络金融,也是电信诈骗犯罪分子觊觎的热门目标。做好网络金融漏洞的防范工作因此有着重大的意义。
加强业务推广说明,让用户“用得明白,用得放心”.
网络金融业务在产品设计、技术要求、运行环境等方面均与传统金融业务存在较大区别,普通用户往往“只知其一,不知其二”,尤其对网络金融业务可能出现的漏洞和潜在的风险缺乏充分的认识。各银行、第三方支付企业一方面应当与公安机关保持密切联系,在推出新的网络金融业务之前与公安机关充分互动,详细介绍业务的设计构想、技术原理、功能效用等,听取公安机关有关部门的专业指导意见,及早发现可能存在的漏洞,未雨绸缪。
另一方面,公安机关在办案中发现网络金融漏洞问题时,应当及时指出,由有关银行、第三方支付企业采取有效措施迅速封堵。此外,各银行、第三方支付企业在推广网络金融业务时应当高度重视用户的权益保障,加强解释说明工作,针对电信诈骗犯罪分子可能利用之处进行重点提示,提升用户的安全防范意识。广大用户也应当培养良好的使用习惯,主动了解网络金融业务的有关内容,做到“用得明白,用得放心”.
加强技术升级改造,及时发现并堵塞漏洞。
日前爆出的携程安全漏洞事件和网络安全协议OpenSSL漏洞事件,都在互联网领域引起轩然大波,业内人士甚至以“心脏出血”来形容网络安全协议OpenSSL漏洞事件,足以说明此事件的危害程度。当今,全国网络金融用户数以亿计,各银行、第三方支付企业应当充分利用当今各种先进技术手段,通过日常监测、定期检查、重点调试等方式,不断加强业务系统的技术升级改造,积极主动发现可能导致漏洞的各种潜在风险,及时予以排除。
加强监管体系建设,规范行业运行标准。
目前,我国新兴网络金融业务的突出问题可以概括为“三无”,即无机构监管、无准入门槛、无行业标准。加强针对第三方支付企业的监管体系建设刻不容缓。一是在国家行政层面确立监管主体单位,明确监管部门的权利和职责;二是科学设立行业准入和淘汰制度,将第三方支付企业与普通企业进行有效区分,避免一拥而上、良莠不齐;三是充分借鉴国外先进经验,如德国对Paypal第三方支付系统客户信息的保护、澳大利亚对第三方支付账户的“实名制”要求等,结合我国实际制定规范的行业标准,引导第三方支付企业加强行业自律,共同创造良好的经营环境。
用法律义务倒逼网络金融单位积极作为。
现阶段,我国在网络金融业务方面的配套法律建设仍显薄弱,有关新兴网络金融业务方面的法律规范几乎处于空白状态。虽然国务院办公厅于2014年1月印发了第107号文《关于加强影子银行监管有关问题的通知》,把新型网络金融公司作为影子银行的第一类,明确由央行牵头,统一各部门协调监管,但目前还只是一个宏观框架,并没有出台具体细则。下一步,应当着力加强配套法律建设工作,考虑以“举证责任倒置”等方式,突出对普通用户财产权、信息权、隐私权、公平交易权、诉讼权等权益的保护,用法律义务倒逼网络金融单位积极作为,全力消除可供电信诈骗犯罪分子利用的漏洞隐患。
