金融網(wǎng)絡(luò)欺詐大調(diào)查：銀行無一不撇清責(zé)任

　　數(shù)月以來，假冒網(wǎng)銀、釣魚網(wǎng)站竊取客戶資料及密碼導(dǎo)致儲蓄賬戶資金被盜案件時有發(fā)生。

　　商業(yè)銀行對存款人賬戶資金安全的保護能力受質(zhì)疑。

　　“釣魚網(wǎng)站等欺詐交易的發(fā)生，雖不能說明銀行的系統(tǒng)安全機制已被犯罪分子攻破，但這反映出國內(nèi)銀行在欺詐交易風(fēng)險管理上，存在著一定的真空地帶?！蹦彻煞葜沏y行電子銀行部一位人士受訪時指出，任何銀行業(yè)務(wù)的風(fēng)險管理均分為事前、事中、事后階段，至少在事前監(jiān)測階段，我們做得是不夠的。

　　國外的銀行可以運用一些技術(shù)手段做到事前發(fā)現(xiàn)可疑，事中進行阻斷。

　　而我們的有些銀行是靠事后，大多數(shù)都是客戶報案了才知道。這是一個問題。

　　1.“欺詐交易”案發(fā)

　　近年來，國內(nèi)銀行卡、特別是信用卡業(yè)務(wù)的發(fā)展非常迅速。目前信用卡總量已達到2.1億張，2010年信用卡交易量達5.1萬億元，其中消費金額2.7萬億元。

　　業(yè)務(wù)雖高歌猛進，有些銀行卡欺詐交易的風(fēng)險防范意識卻甚為薄弱。銀行卡欺詐交易的威脅日益嚴峻。

　　2009年，國內(nèi)信用卡產(chǎn)業(yè)已形成損失的欺詐交易金額1.74億元，同比增長5.10%，而據(jù)業(yè)內(nèi)人士估計，2010年比2009年至少翻了一番。

　　隨著信用卡的普及、受理環(huán)境的改善，信用卡的欺詐時有涌現(xiàn)。

　　費埃哲信息技術(shù)(北京)有限公司副總裁陳建分析稱，一方面，隨著卡市場的發(fā)展，這種欺詐變得非常有利可圖，另一方面，欺詐總是傾向于攻擊薄弱的環(huán)節(jié)。

　　“在欺詐防范的技術(shù)手段上初級，風(fēng)險防范的意識薄弱。

　　因而欺詐非常容易得逞，欺詐的規(guī)?；l(fā)展成為一個趨勢?！彼f。

　　欺詐風(fēng)險屬操作風(fēng)險范疇。縱觀已發(fā)生的欺詐行為，如信用卡套現(xiàn)、盜卡、偽造卡、釣魚網(wǎng)站等網(wǎng)上支付詐騙等，欺詐犯罪手段并不高明，受害者之中也不乏高學(xué)歷、高智商的人群。當欺詐交易發(fā)生時，指責(zé)客戶風(fēng)險防范意識的不足多有失公允，更需銀行反省自身，其反欺詐管理是否在意識、技術(shù)和機制上存在漏洞和不足。

　　陳建表示，近來各種欺詐案件頻發(fā)，中國的商業(yè)銀行對欺詐交易風(fēng)險管理已經(jīng)有所認識，但在具體操作上還需強化。

　　通常欺詐交易風(fēng)險管理體系只有最基本的解決方案，即在案件發(fā)生后，經(jīng)客戶舉報、投訴方才進行案件跟蹤以及客戶關(guān)系處理。

　　“但是，欺詐交易風(fēng)險管理最重要的環(huán)節(jié)是事前的監(jiān)測和識別，因為案件發(fā)生時，損失已經(jīng)造成，并且對資金的追索、案件的偵破不僅成本巨大，而且難以完成?！标惤ㄕf。

　　銀行可以事先有更多作為。比如通過建立模型來分析和發(fā)現(xiàn)欺詐行為，從而在不增加存款持有量的情況下改善客戶關(guān)系，而不僅僅只是對客戶做風(fēng)險教育及提示。

　　一位接受訪問的國有銀行電子銀行部負責(zé)人指出，銀行有責(zé)任主動發(fā)現(xiàn)釣魚網(wǎng)站的存在，然后及時提醒客戶去防范，并協(xié)調(diào)相關(guān)部門關(guān)閉這個釣魚網(wǎng)站，“這方面銀行還是有很多改進空間”。

　　簡而言之，即建立一種預(yù)測模型，通過對歷史交易數(shù)據(jù)、欺詐活動、持卡人信息的技術(shù)分析，來說明賬戶存在欺詐交易行為的可能性。

　　此外，具體交易中，銀行也可以通過一些輔助手段來幫助客戶控制風(fēng)險。

　　“比如對網(wǎng)銀交易設(shè)置更靈活的額度或降低單筆轉(zhuǎn)賬金額；比如一筆交易操作完成后，銀行在資金轉(zhuǎn)移出去之前，通過客服短信告知客戶；針對金額較大、或者較可疑的轉(zhuǎn)賬行為，還可以讓客服中心人工進行交易確認。”該人士表示。

　　欺詐交易事前監(jiān)測與識別十分必要。

　　從國際上的經(jīng)驗來講，幾乎主要的發(fā)卡銀行，都采用基于神經(jīng)網(wǎng)絡(luò)模型的預(yù)測以及大批量實時處理的IT手段，來進行實時的精確的反欺詐，特別是反申請欺詐和交易欺詐。

　　2.銀行“無過錯論”？ 

　　在已發(fā)生的多起欺詐交易中，銀行無一不撇清責(zé)任，如何看待銀行的“無過錯論”？

　　接受采訪的一位股份制銀行電子銀行部人士認為，通過釣魚網(wǎng)站等方式發(fā)生的欺詐交易，確實跟銀行的IT系統(tǒng)技術(shù)本身沒有關(guān)系，不過，事件的蔓延與升級，是銀行風(fēng)險管理意識薄弱的體現(xiàn)。

　　他認為，相對于銀行卡市場份額、交易規(guī)模的迅速擴大，風(fēng)險防范和服務(wù)手段卻并未跟上?！斑^于注重做功能，而比較忽視客戶服務(wù)和風(fēng)險防范?！?/p>

　　一位國有銀行科技部人士透露，工、農(nóng)、中、建四大行目前在IT上的投入超過10億元，而一家資產(chǎn)規(guī)模在1萬億以上的中小股份制商業(yè)銀行，其每年的IT資金投入也高達2億，且逐年遞增。

　　“IT投入不僅是在新項目建設(shè)上，更大的投入在于老系統(tǒng)的維護費用，所以，每年的IT投入資金量都是大幅遞增的?！痹撊耸恐赋觥?/p>

　　只要在風(fēng)險控制上多做一小步，就可以為客戶挽回大量損失，然有些銀行卻惜步于此。為何銀行不向前再邁出一步？

　　接受采訪的多名人士稱，根源在于當前靠規(guī)模發(fā)展模式下，銀行重增速輕風(fēng)險，重短期輕遠期，重大客戶輕普通儲蓄存款人的思維模式。

　　無論是技術(shù)還是服務(wù)層面，任何一項風(fēng)險管理措施都需要付出成本，而欺詐交易產(chǎn)生的直接損失對于銀行而言可能并不嚴重。上述國有銀行人士表示，“欺詐交易發(fā)生時造成的損失，對銀行而言主要是品牌聲譽受影響，也即間接損失，而資金的直接損失是客戶來承擔(dān)?！?/p>

　　不過，國內(nèi)銀行對品牌價值及聲譽的重視，在同質(zhì)化競爭中驅(qū)動力明顯不足。

　　陳建指出，在美國，通常盜卡、偽造卡等信用卡欺詐交易帶來的損失百分之百由銀行來承擔(dān)，而中國還沒有普遍采納這一規(guī)則，“僅僅只在一定時效內(nèi)承擔(dān)損失”。

　　在有些商業(yè)銀行的“無責(zé)論”下，客戶的被騙資金追索及賠付工作十分困難?！搬槍︶烎~網(wǎng)站等欺詐交易的客戶投訴，銀行一般是拒不賠付?！鄙鲜鰢秀y行人士指出，除非經(jīng)公安機關(guān)偵查破案后，從犯罪分子那取回被騙資金。

　　不過，一個普通的存款人，其重要性對于銀行而言，是不是就可以忽視？在利率市場化改革的進程中，商業(yè)銀行需要重新思考這一命題。

　　“國內(nèi)的銀行業(yè)如果現(xiàn)在不高度重視，并且采取果斷的措施建立行之有效的反欺詐手段，那么將來的風(fēng)險非常大?！标惤ū硎?。

　　然而，國際上成熟的反欺詐經(jīng)驗?zāi)芊襁m應(yīng)中國市場，卻值得商榷。

　　上述國有銀行人士稱，國際上一些反欺詐的IT技術(shù)確實對欺詐風(fēng)險控制有極大的促進作用。但任何模型建立的基礎(chǔ)是有大量歷史數(shù)據(jù)積累，通過海量數(shù)據(jù)及科學(xué)的模型才能得出結(jié)論。而中國信用卡市場的發(fā)展時間尚短，全行數(shù)據(jù)大集中也就最近幾年，有的銀行甚至數(shù)據(jù)大集中都未實現(xiàn)，模型的效果可想而知。

　　目前國內(nèi)銀行中，工行的數(shù)據(jù)大集中開始得最早，始于1999年9月1日，其它多數(shù)大中型商業(yè)銀行僅僅是從最近四五年才開始做數(shù)據(jù)集中。

　　另外，即使數(shù)據(jù)實現(xiàn)集中，如何進行有效的IT系統(tǒng)管理也會成為制約因素。

　　目前國內(nèi)銀行IT系統(tǒng)管理水平參差不齊?！氨热鐧C構(gòu)設(shè)置，有科技部、IT藍圖辦公室、開發(fā)中心、測試中心、信息中心等等，相互之間的隸屬關(guān)系、工作職責(zé)、匯報條線，都是不清晰，沒有一個總體的協(xié)調(diào)。”該人士指出。

　　不過，國際上經(jīng)二十年時間驗證、行之有效的反欺詐交易管理模型，也不能通過分析每筆授權(quán)交易，準確預(yù)測識別出每一筆欺詐交易行為，更加不能保證，每一筆被識別和阻斷的欺詐交易都沒有被誤判。

　　并且，有時候一筆“誤判”帶來的銀行信譽損失，甚至超過欺詐交易發(fā)生帶來的損失?？赡転榱俗プ∫还P欺詐交易，而妨礙上千個持卡人的使用體驗，這是銀行必須要考慮的隱性成本。

　　“技術(shù)模型對中國的銀行效果如何，一方面要看銀行的數(shù)據(jù)健全程度，另一方面要看這個銀行能承受多大的誤判。”陳建指出，“再精密、高端的技術(shù)模型也是有誤判的，誤判率就是欺詐交易風(fēng)險管理的成本?！?/p>

　　因而，國際反欺詐的模型在中國市場上推廣時，并非直接應(yīng)用成型的模型，而是將技術(shù)分析手段和經(jīng)驗引入國內(nèi)。更重要的是，國內(nèi)銀行反欺詐風(fēng)險管理的意識需要強化，主動發(fā)現(xiàn)更多欺詐交易。

　　3.反欺詐管理困境 

　　但商業(yè)銀行也有自己的苦衷。一方面“釣魚網(wǎng)站”較多，防不勝防，另一方面，即使事后及時采取措施，操作起來也面臨多方困境。

　　近年來的欺詐交易正向團體作案方向演變。犯罪團伙從通過釣魚網(wǎng)站盜取客戶賬號、密碼，轉(zhuǎn)賬，分賬到各地多個賬戶，取現(xiàn)，基本上幾分鐘，最多十幾分鐘內(nèi)就可完成。

　　為有效防范釣魚事件，網(wǎng)絡(luò)安全升級刻不容緩。至2010年11月底，中國反釣魚網(wǎng)站聯(lián)盟秘書處累計認定并處理的釣魚網(wǎng)站達32496個，其中，2010年1－11月，累計認定并處理釣魚網(wǎng)站20570個，較去年同期大幅上漲136%。

　　一家深受“釣魚網(wǎng)站”所擾的股份制銀行電子銀行部人士表示，假冒該行官網(wǎng)的網(wǎng)站已經(jīng)有接近100個，且“此關(guān)彼出，防不勝防”。

　　他們一旦發(fā)現(xiàn)就立刻與公安部門聯(lián)系，關(guān)閉釣魚網(wǎng)站。網(wǎng)站注冊地和服務(wù)器在國內(nèi)的一般當天即能關(guān)掉，若注冊地和服務(wù)器在國外，公安機關(guān)需要協(xié)調(diào)中國電信部門將其屏蔽，過程需要三四天?？煞缸锓肿油ㄟ^釣魚網(wǎng)站竊取賬戶信息只需要一分鐘時間，從釣魚到取現(xiàn)整個交易過程也不過十幾分鐘，此時損失已經(jīng)發(fā)生了。“關(guān)閉網(wǎng)站只能做到不讓后面更多的客戶受騙?！彼f。

　　“釣魚網(wǎng)站”的監(jiān)測治理，顯然不能單憑商業(yè)銀行一己之力可為。

　　上述人士認為，網(wǎng)站的注冊成本極低，負責(zé)域名注冊的有關(guān)部門應(yīng)該提示注冊者提供身份驗證、資質(zhì)證明及有無犯罪記錄證明。

　　“保護金融客戶的利益，維護網(wǎng)絡(luò)信息安全，是多個部門的共同職責(zé)，不能只讓銀行去做，銀行也做不了。應(yīng)該調(diào)動全社會各種資源的力量，來共同做這個事?！彼f。

　　此外，銀行面臨的尷尬還有，即使明知交易可疑，從法律層面而言，也無法在犯罪分子取現(xiàn)之前，將涉嫌欺詐交易的各個分賬戶凍結(jié)以保障存款人資金安全。

　　一位國有銀行人士解釋說，凍結(jié)賬戶需要法院的凍結(jié)書，只要該筆業(yè)務(wù)程序合法，銀行并無權(quán)力私自凍結(jié)賬戶。

　　第三方支付公司也面臨同樣的困境。匯付天下有限公司合規(guī)部人士受訪時表示，由于騙子發(fā)起的是真實訂單，支付公司系統(tǒng)處理成功后，就需要給商戶付款；支付公司能做的是將這筆訂單的去向告知客戶，協(xié)助警方追查；但因為法律規(guī)定，系統(tǒng)處理成功即需付款，不能凍結(jié)該筆資金，否則支付公司就違反了商業(yè)合同。

　　匯付天下合規(guī)部人士認為，對于網(wǎng)上欺詐行為，公安部門應(yīng)加強介入，給予更多支持。

　　亡羊補牢，未為晚也。各種欺詐交易的集中爆發(fā)，促進了商業(yè)銀行風(fēng)險防范意識的增強。

　　中行釣魚事件后，在網(wǎng)銀交易安全上增設(shè)了一道保障機制，即推出手機交易碼認證，個人客戶通過中行網(wǎng)銀向他人轉(zhuǎn)賬或進行網(wǎng)上支付交易時，除要輸入動態(tài)口令外，還要輸入手機交易碼進行驗證，方可交易。手機交易碼由該行客服電話統(tǒng)一發(fā)送。

　　據(jù)了解，目前，各家銀行用戶端網(wǎng)銀安全工具除手機驗證外，主要有兩種方式，一是動態(tài)口令牌，二是數(shù)字證書U盾(Ukey)，相當于一個存儲了個人數(shù)字認證信息的U盤。

　　動態(tài)口令是每次隨機生成的一個數(shù)字組合，且每個口令只能使用一次。目前看來，“釣魚網(wǎng)站”大多發(fā)生在使用動態(tài)令牌的銀行中。這是否意味著動態(tài)令牌的安全性一定低于U盾？

　　網(wǎng)上交易采用單一的動態(tài)令牌保護顯然具有安全漏洞。雖然動態(tài)口令有時間限制，每隔60秒就會自動更新一次，但這個時間已足以讓不法分子在套取動態(tài)口令后迅速用來登錄用戶的網(wǎng)銀，從而盜取資金。而U盾因多了一個類似U盤的物理介質(zhì)，所以即使被破譯出U盾密碼，也不容易被竊取資金，除非，用戶的U盾與密碼同時丟失。

　　如此看來，U盾確實強于動態(tài)令牌的安全性。但是，U盾在使用便捷性及客戶體驗上存在一些弱勢，如初次使用時涉及安裝驅(qū)動程序、下載數(shù)字證書等，對電腦軟硬環(huán)境都有一定要求，對客戶電腦操作技能也有一定要求。

　　并且，隨著平板電腦、手機銀行等電子化及新型支付方式的發(fā)展，U盾在便捷性上可能面臨更多限制。

　　網(wǎng)銀安全始終是在安全性和便捷性上進行權(quán)衡。

　　“已經(jīng)有一些銀行意識到U盾的復(fù)雜性，正在考慮投入電子令牌，如工行、中信、建行等。不過，釣魚網(wǎng)站頻發(fā)事件之后，它們需要重新考慮一下了。”上述業(yè)內(nèi)人士告訴記者。

　　他還表示，“動態(tài)口令也并非毫無可取，比如增加了一道手機認證的步驟，便相當于多了一道安全把關(guān)?！?/p>