小伙用網(wǎng)銀漏洞套取1935萬(wàn)余元 另超額透支769萬(wàn)余元

通過(guò)銀行網(wǎng)銀系統(tǒng)，將一個(gè)銀行個(gè)人賬戶中的資金轉(zhuǎn)到另一個(gè)銀行個(gè)人信用卡綁定的虛擬卡賬戶時(shí)，該虛擬卡賬戶顯示的到賬金額比實(shí)際轉(zhuǎn)入金額增加了一倍。2014年，29歲小伙發(fā)現(xiàn)這一銀行系統(tǒng)漏洞后，以此方式從某銀行套取1935萬(wàn)余元，另超額透支769萬(wàn)余元。2016年6月22日，該案在市中院開庭審理，并將擇期宣判。

案件概述

發(fā)現(xiàn)銀行網(wǎng)銀漏洞，套取銀行千萬(wàn)資金

2014年7月19日，小衛(wèi)（化名）發(fā)現(xiàn)，通過(guò)銀行網(wǎng)銀系統(tǒng)將其在某銀行個(gè)人賬戶中的資金轉(zhuǎn)至另一家銀行個(gè)人信用卡綁定的虛擬卡賬戶時(shí)，該虛擬卡賬戶顯示的到賬金額比實(shí)際轉(zhuǎn)入金額竟然增加了一倍。

一開始，小衛(wèi)以為只是偶然事件，但隨后他測(cè)試發(fā)現(xiàn)，確實(shí)是銀行系統(tǒng)有此漏洞。之后，小衛(wèi)用自己名下的儲(chǔ)蓄卡和4張銀行信用卡，及以父親姓名辦理的3張銀行信用卡，不斷進(jìn)行重復(fù)操作，將儲(chǔ)蓄卡賬戶的資金轉(zhuǎn)到個(gè)人信用卡綁定的虛擬卡賬戶上，待資金虛增一倍后，再將資金從虛擬卡賬戶通過(guò)綁定的個(gè)人信用卡刷卡轉(zhuǎn)回儲(chǔ)蓄卡賬戶，或?qū)①Y金從虛擬卡賬戶轉(zhuǎn)至自己控制的其他個(gè)人銀行賬戶再轉(zhuǎn)回儲(chǔ)蓄卡賬戶的方式，反復(fù)循環(huán)操作。11天的時(shí)間，小衛(wèi)操作248筆，賬戶上虛增資金共計(jì)3528萬(wàn)余元。

由于部分虛增資金上賬滯后、銀行監(jiān)控系統(tǒng)沖正等原因，截至案發(fā)時(shí)，實(shí)際被套取的虛增資金有1935萬(wàn)余元。同時(shí)，小衛(wèi)在操作過(guò)程中還超額透支了銀行資金769萬(wàn)余元，兩項(xiàng)實(shí)際到手的資金共計(jì)2704萬(wàn)余元。

2014年7月29日，被套取資金的某銀行湖北省分行發(fā)現(xiàn)小衛(wèi)操控的7張信用卡賬戶上密集發(fā)生大量資金頻繁進(jìn)出，且轉(zhuǎn)出資金遠(yuǎn)超轉(zhuǎn)入資金，不符合信用卡使用規(guī)則，造成超限額透支，遂通知發(fā)卡行江漢支行。次日，江漢支行向公安機(jī)關(guān)報(bào)案。公安機(jī)關(guān)經(jīng)偵查，于當(dāng)日23時(shí)許，在江岸區(qū)的一家酒店將小衛(wèi)抓獲。

案發(fā)后，公安機(jī)關(guān)對(duì)小衛(wèi)轉(zhuǎn)出和使用的部分資金循跡查獲，追回金額677萬(wàn)余元。被套取資金的銀行分別通過(guò)打電話、上門等方式多次讓小衛(wèi)還錢。2015年4月前，小衛(wèi)歸還了102萬(wàn)余元，至今仍有1925萬(wàn)余元無(wú)法償還。2015年6月22日法庭開庭審理了此案，并宣布擇日宣判。

風(fēng)險(xiǎn)分析

商業(yè)銀行信息科技風(fēng)險(xiǎn)防范不足

目前，隨著科技高速發(fā)展，銀行電子產(chǎn)品業(yè)務(wù)越來(lái)越多，網(wǎng)上銀行，手機(jī)銀行的功能也不斷推陳出新，競(jìng)爭(zhēng)也越發(fā)激烈。而由于各項(xiàng)軟件的漏洞而引發(fā)的風(fēng)險(xiǎn)加速暴露。本案例中銀行網(wǎng)銀存在漏洞使得被告有機(jī)可乘，套取銀行資金，使得銀行蒙受損失。本案例中銀行面臨此風(fēng)險(xiǎn)應(yīng)歸類為信息科技風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及推出過(guò)程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

信息科技風(fēng)險(xiǎn)產(chǎn)生的原因主要包括：（一）系統(tǒng)災(zāi)備機(jī)制不健全，應(yīng)急預(yù)案不完善。（二）商業(yè)銀行信息系統(tǒng)建設(shè)實(shí)行外包機(jī)制，潛在風(fēng)險(xiǎn)較為突出。（三）日益增多的應(yīng)用信息系統(tǒng)未實(shí)現(xiàn)有效整合，系統(tǒng)安全風(fēng)險(xiǎn)加大。（四）科技軟硬件基礎(chǔ)設(shè)施薄弱。（五）信息系統(tǒng)運(yùn)行保障能力不足，存在數(shù)據(jù)備份損毀的風(fēng)險(xiǎn)。（六）信息系統(tǒng)安全存在風(fēng)險(xiǎn)隱患。（七）預(yù)警監(jiān)測(cè)體系亟待完善。（八）科技信息衍生品風(fēng)險(xiǎn)管理不到位。

風(fēng)險(xiǎn)啟示

防范信息系統(tǒng)風(fēng)險(xiǎn)建立信息科技風(fēng)險(xiǎn)管控體系是關(guān)鍵

商業(yè)銀行應(yīng)借鑒先進(jìn)金融機(jī)構(gòu)的良好做法和國(guó)際標(biāo)準(zhǔn)，從業(yè)務(wù)需求出發(fā)，在組織機(jī)構(gòu)、人員、技術(shù)和流程四個(gè)方面加強(qiáng)信息科技風(fēng)險(xiǎn)管控，研究建立信息科技風(fēng)險(xiǎn)管控體系，做到事前有預(yù)防、事中有控制和事后有檢查，將技術(shù)防范為主的被動(dòng)信息安全工作，轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動(dòng)信息科技風(fēng)險(xiǎn)管控。

（一）加強(qiáng)對(duì)商業(yè)銀行業(yè)信息科技風(fēng)險(xiǎn)管控工作的組織領(lǐng)導(dǎo)。建立全系統(tǒng)自上而下的信息科技風(fēng)險(xiǎn)管控體系，落實(shí)信息科技風(fēng)險(xiǎn)管理和防范責(zé)任，內(nèi)外合力，齊抓共管，處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險(xiǎn)防范之間的關(guān)系，加大對(duì)信息科技的投入，積極采取措施消除信息科技風(fēng)險(xiǎn)重大隱患。高度重視科技隊(duì)伍建設(shè)，打造一支穩(wěn)定、團(tuán)結(jié)、高效的科技隊(duì)伍，要加強(qiáng)復(fù)合型人才培養(yǎng)，有針對(duì)性地組織對(duì)信息科技人員培訓(xùn)，加大人才引進(jìn)力度，有效集成人力資源，建立與信息科技風(fēng)險(xiǎn)防范相關(guān)的激勵(lì)和獎(jiǎng)懲機(jī)制，形成信息科技風(fēng)險(xiǎn)防控合力，為商業(yè)銀行業(yè)務(wù)發(fā)展和科技風(fēng)險(xiǎn)的管控提供強(qiáng)有力的人力保障。

（二）加強(qiáng)對(duì)信息科技重點(diǎn)環(huán)節(jié)的風(fēng)險(xiǎn)防范。一是要提高信息系統(tǒng)運(yùn)行保障能力。加大科技軟硬件設(shè)施投入，消除單點(diǎn)故障隱患。完善各項(xiàng)管理制度，制定應(yīng)急預(yù)案并組織演練，提高抗風(fēng)險(xiǎn)能力和突發(fā)事件應(yīng)對(duì)能力。二是完善信息系統(tǒng)安全運(yùn)行體系。對(duì)機(jī)房、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)及數(shù)據(jù)訪問(wèn)、科技人員操作風(fēng)險(xiǎn)等方面進(jìn)行全面安全評(píng)估。設(shè)立信息科技風(fēng)險(xiǎn)管理部門及崗位，嚴(yán)格執(zhí)行開發(fā)、運(yùn)行、維護(hù)等崗位分離及關(guān)鍵崗位的 AB 角配備，完善相關(guān)管理制度。三是加強(qiáng)項(xiàng)目外包風(fēng)險(xiǎn)管理。對(duì)外包公司的規(guī)模、技術(shù)水平、業(yè)務(wù)保障能力、保密等進(jìn)行全面評(píng)估，在外包合同中明確要求外包公司提供系統(tǒng)核心源代碼及相關(guān)信息。盡快提高銀行科技人員核心業(yè)務(wù)系統(tǒng)自主開發(fā)能力和系統(tǒng)安全策略自主配置能力。四是加強(qiáng)業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管控。對(duì)由于IT系統(tǒng)的缺陷和不足引發(fā)的案件，要總結(jié)教訓(xùn)并認(rèn)真整改，做到人員控制、制度控制、系統(tǒng)控制三到位。

（三）健全災(zāi)備機(jī)制，確保業(yè)務(wù)連續(xù)運(yùn)行。商業(yè)銀行在數(shù)據(jù)大集中后，仍應(yīng)注重保證本地使用數(shù)據(jù)的安全性，對(duì)一些數(shù)據(jù)要求相對(duì)高的交易數(shù)據(jù)，應(yīng)采用硬件雙機(jī)備份或者應(yīng)用程序備份方式。獨(dú)立法人機(jī)構(gòu)應(yīng)加快異地災(zāi)難備份中心的建設(shè)，確保數(shù)據(jù)的安全性、完整性；在網(wǎng)絡(luò)災(zāi)備方面，暫時(shí)沒(méi)有條件啟用主網(wǎng)和輔網(wǎng)雙路并行的機(jī)構(gòu)，可選擇在同一區(qū)域不同網(wǎng)點(diǎn)分散租用不同網(wǎng)絡(luò)供應(yīng)商線路的方式，緩解突發(fā)故障造成的影響。

（四）提高信息系統(tǒng)整合度，優(yōu)化各類系統(tǒng)。隨著信息系統(tǒng)的增多，必然導(dǎo)致安全隱患的增加，因此商業(yè)銀行應(yīng)對(duì)已上線的、準(zhǔn)備上線的、計(jì)劃開發(fā)的各類信息系統(tǒng)進(jìn)行優(yōu)化整合，在全面完成業(yè)務(wù)數(shù)據(jù)大集中的基礎(chǔ)上，建立適應(yīng)客戶需求變化的信息資產(chǎn)風(fēng)險(xiǎn)管理統(tǒng)一框架。要大力整合現(xiàn)有業(yè)務(wù)流程、數(shù)據(jù)信息、數(shù)據(jù)應(yīng)用和數(shù)據(jù)控管等，盡量合并功能重復(fù)的信息系統(tǒng)，減少內(nèi)部和外部的連接數(shù)量，優(yōu)化彼此關(guān)聯(lián)的信息系統(tǒng)，提高信息系統(tǒng)安全系數(shù)。

（五）加強(qiáng)科技信息風(fēng)險(xiǎn)監(jiān)管，提升風(fēng)險(xiǎn)管控能力。

一是監(jiān)管部門要迅速探索建立商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管標(biāo)準(zhǔn)體系，著重解決商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估與定價(jià)標(biāo)準(zhǔn)，按業(yè)務(wù)系統(tǒng)性質(zhì)及其隱形資產(chǎn)價(jià)值、網(wǎng)絡(luò)運(yùn)行特性以及運(yùn)營(yíng)商素質(zhì)等方面內(nèi)容，科學(xué)劃分信息資產(chǎn)風(fēng)險(xiǎn)級(jí)別與管理要求。二是應(yīng)迅速建立商業(yè)銀行信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管法規(guī)體系，從系統(tǒng)開發(fā)、使用、維護(hù)、管理以及網(wǎng)絡(luò)運(yùn)營(yíng)商與IT公司的資質(zhì)、素質(zhì)等各個(gè)層面提出相關(guān)指引，確保系統(tǒng)從研發(fā)到使用全過(guò)程合規(guī)合法。三是要進(jìn)一步加強(qiáng)科技信息風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查。基層商業(yè)銀行由于自身風(fēng)險(xiǎn)防范能力薄弱，是風(fēng)險(xiǎn)隱患的多發(fā)部門，監(jiān)管部門應(yīng)定期檢查、評(píng)價(jià)銀行業(yè)機(jī)構(gòu)科技信息系統(tǒng)運(yùn)行情況、風(fēng)險(xiǎn)程度，發(fā)現(xiàn)問(wèn)題及時(shí)督促整改。

（六）強(qiáng)化內(nèi)控，拾遺補(bǔ)缺。一是商業(yè)銀行要按照銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》要求，對(duì)可能出現(xiàn)的管理漏洞和執(zhí)行不力等問(wèn)題，查缺補(bǔ)漏，調(diào)整優(yōu)化，嚴(yán)格評(píng)估信息安全內(nèi)控體系的完整性和實(shí)施的有效性。加強(qiáng)內(nèi)外部審計(jì)監(jiān)督，對(duì)信息系統(tǒng)的研發(fā)、運(yùn)行及退出的全過(guò)程進(jìn)行審計(jì)，對(duì)可能發(fā)生的信息科技安全事故進(jìn)行調(diào)查、分析和評(píng)估，及時(shí)識(shí)別、監(jiān)測(cè)和防范信息科技風(fēng)險(xiǎn)。二是加強(qiáng)災(zāi)備演練，提高應(yīng)急處置能力。加強(qiáng)風(fēng)險(xiǎn)應(yīng)急和處置機(jī)制建設(shè)，穩(wěn)步提高應(yīng)急管理水平。要定期進(jìn)行各類應(yīng)急預(yù)案的培訓(xùn)和演練，把應(yīng)急管理工作從技術(shù)管理層面提升到全方位、多部門齊抓共管、協(xié)調(diào)一致的工作層面，確保極端事件發(fā)生時(shí)，能夠在最短的時(shí)間內(nèi)按照既定方案有序有效處置。

更多內(nèi)容請(qǐng)關(guān)注專業(yè)金融服務(wù)平臺(tái)——卡寶寶網(wǎng)（http://www.readingspeakeasy.com〕 卡寶寶網(wǎng)同時(shí)為您提供更多銀行信用卡的優(yōu)惠信息、信用卡指南、信用卡攻略，讓您更好地使用信用卡。