1、 . . 商业银行科技风险案例63条中国银行业监督管理委员会信息中心二一年八月序 言当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉和市值造成极大伤害;中断23天以上不能恢复,将直接危与银行乃至整个金融系统的稳定。同时,随着网上银行、电子商务等网络金融服务的快速发展,
2、利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。2004年,巴塞尔新资本协议将信息科技风险明确划归操作风险的畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。近年来,银监会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。在取得成绩的同时,必须清醒地意识到存在的问题与不足。近年来国外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中断、安全漏洞、网上银行虚假交易、客户资金被窃取等
3、后果严重,教训深刻,网络与信息安全形势不容忽视。这些事件的发生再次向我们敲响警钟:信息科技工作一旦发生问题就是重大问题。信息科技风险就在身边,强化风险监管刻不容缓。以史为镜知兴替,以案为鉴明得失。基于此,银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了银行业科技风险警示录。该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。入选案例都具有较高的借鉴价值,为银监会系统的IT风险监管工作提供了有效资料,为各银行业金融机构和广大员工提供了警示教材。这些素材新、容全、深入浅出、富有
4、新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以与从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。银行业科技风险警示录汇编教材意义重大,值得肯定。“前事昭昭,足为明戒”。银监会系统一定要高度重视信息科技风险管控工作。切实分析好、利用好这些案例,认真查找银行业金融机构在控管理、安全防、信息技术等方面存在的差距与不足,清醒把握当前防计算机犯罪与信息安全面临的形势。采取有针对性的监管措施,指导银行业金融机构落实控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。各银行业金融机构要能够吸取这些案例的教训,警钟长鸣,积极开展多种形式的信息科
5、技风险警示教育,做好计算机案件与信息安全事件防工作,促进在更大围和更高层次上提升信息科技风险防水平。我们坚信:通过提高信息科技风险防意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。是为序。郭利根 二一年八月前 言随着信息科技在银行业金融机构客户服务、营销、控、经营管理等工作中应用的不断深入,涉与信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科技风险的有效管理。国外两大事件将科技风险管控重要性昭
6、示天下。2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。2009年11月8日黑客集团成功入侵格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时从全球至少280个城市的2100部提款机提取逾900万美元现金,使RBS集团短时间损失惨重。如果不能对信息科技风险进行有效管控,一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。鉴于此,银监会信息中心组织专人
7、对银行业金融机构计算机犯罪和信息安全事件进行认真梳理,从中选择部分有代表性和一定借鉴意义的典型案例,编写了银行业科技风险警示录。银行业科技风险警示录收集了中国银行业金融机构20042010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。入选案例通常在多家银行发生,且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。汇编此书,意欲举一反三,警示昭告,引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以与各相关业务部门的高度重视,以认真汲取事故教训,采取措施,堵塞漏洞。银行业科技风险警示录中各案例容分别包括“案例描述”、“案例分析”两个部分。 “案例描述”部分主要
8、是以有关银行提供的事件分析报告为依据,简要介绍案例概况;“案例分析”部分深入浅出地对案件部深层次原因进行剖析,以反映银行机构信息安全面临的严峻形势。在每节后附“防对策与建议”,通过各家银行的实际防经验总结为银行建立解决方案提供借鉴。银行业科技风险警示录着重突出了以下特点:一是素材新。入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义,部分案例为国首次披露。二是容全。通过向全国银行业金融机构广泛征集案例,保证了容的覆盖面和信息量,基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。三是富有新意。银行业科技风险警示录对案例容尝试性引入了危害指数、影响指数和频
9、度指数进行风险分级。其中,危害指数主要侧重从案件对行业的冲击力与对银行客户的影响面进行分析;影响指数主要侧重从事件对银行持续经营的影响度进行分析;而频度指数主要从发生概率(案件和事件)或作案难易度(仅针对案件)进行定性分析。案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。四是深入浅出。注重技术深度和通俗易懂的结合,每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行,具有较好的完整性、前瞻性和实用性。同时,力避生硬技术性论述,数据主要以图、表形式进行罗列和分析,使读者一目了然。 中国银行业监督管理委员会信息中心 二一年八月目 录第一章信息科技相关案件11第一
10、节网上银行类案件21案例1:篡改网银交易数据盗取客户资金21案例2:利用嵌病毒盗取客户资金22案例3:通过木马盗取客户资金之一23案例4:通过木马盗取客户资金之二24案例5:远程操纵客户计算机盗取资金25案例6:攻击获取客户信息盗取资金26案例7:窃取客户网银证书作案27案例8:盗取同事账户作案28案例9:利用假证件开通网上银行作案29案例10:嗅探网银系统作案30案例11:非法破解用户密码作案31第二节控缺陷类案件34案例12:非法办理存折配卡作案34案例13:篡改系统数据虚开存单作案35案例14:篡改账户状态非法结息作案36案例15:篡改账务数据盗取资金38案例16:利用综合业务系统漏洞作
11、案之一39案例17:利用综合业务系统漏洞作案之二40案例18:利用贷款业务系统缺陷作案41案例19:利用储蓄业务系统漏洞作案42案例20:盗用他人柜员密码挂失存单作案43案例21:盗取他人柜员密码空存资金作案44案例22:盗用他人柜员密码虚列利息支出作案45案例23:盗用系统权限冒名贷款作案46案例24:伪装外包人员混入银行营业室作案47案例25:利用外包管理漏洞盗取客户信息作案48案例26:编制非法程序窃取客户信息作案49案例27:盗取客户信息篡改数据库作案50案例28:窃取数据仓库客户信息作案51第三节自助设备类案件54案例29:加装特殊装置盗取银行卡信息作案54案例30:贴虚假告示骗取客
12、户信任作案64案例31:利用自助设备的自动保护功能作案72案例32:利用自助设备功能模块缺陷作案74案例33:利用自助设备系统程序漏洞作案75案例34:通过砸撬ATM机等暴力手段进行作案76案例35:一些其他银行卡犯罪案件78第二章信息科技相关事件82第一节硬件设备故障93事例1:主机宕机处置不与时导致系统交易停止93事例2:存储设备故障致重要应用系统中断94事例3:主机配件故障导致银行对外服务中断94事例4:备机电源模块故障导致主机系统宕机95事例5:主机电源故障导致核心业务长时间停止96事例6:CPU主板硬件故障致系统中断97事例7:存储设备故障致系统中断98事例8:交换机接触不良致业务中
13、断98事例9:核心交换机故障致业务中断99事例10:存储光纤交换机宕机致系统中断100事例11:机房地面震动引起机房设备电源频发故障101事例12:交换机协议不兼容导致网络通信异常102事例13:光端机通讯板卡故障致业务中断102事例14:网络设备配置不当致系统中断103事例15:加密机故障导致银行卡交易长时间中断104第二节软件系统故障107事例16:加密平台设计缺陷引发交易拥堵107事例17:压力测试不充分导致系统服务中断108事例18:需求交流不充分导致部分银期转账无常处理109事例19:监控系统缺陷导致业务瘫痪110事例20:主机系统缺陷导致业务系统运行不畅111事例21:程序性能缺陷
14、导致交易缓慢111事例22:应用程序缺陷导致银证交易异常112事例23:第三方存管系统运行故障引发服务中断113事例24:系统容量不足导致系统运行意外终止115事例25:应用系统故障影响客户服务116事例26:对批量操作的管理不善引发系统停机117事例27:系统交易堵塞引发系统崩溃118事例28:ATM程序故障造成吞卡与交易失败119事例29:系统变更缺陷导致ATM透支事故120事例30:光纤传输速率波动引发业务系统故障121事例31:系统数据库意外宕机造成业务数据丢失122事例32:数据库软件缺陷引发业务交易堵塞123事例33:数据库升级异常引发系统故障124事例34:备份操作异常导致银行卡
15、交易中断124事例35:疏于备份导致银行客户数据丢失125事例36:操作失误引发综合业务系统停止服务126事例37:操作不当导致银行现金业务中断127事例38:系统设置错误导致卡业务故障128第三节外围保障设施故障131事例39:操作不慎导致核心系统服务中断131事例40:UPS系统故障导致呼叫中心停止服务131事例41:外包服务商违规操作导致银行服务中断132事例42:双回路切换器故障引发银行供电隐患133事例43:供电系统老化与演练不到位导致服务中断134事例44:电力转换系统故障引发供电中断136事例45:市变电站突发设备故障导致银行业务中断137事例46:光端机设备故障造成通讯中断13
16、8事例47:电信运营商设备故障导致业务无常办理138事例48:域名未与时备案导致网上银行被封139事例49:与银联沟通不畅引起银行卡业务异常140第四节网络攻击事件143事例50:遭受恶意攻击门户间歇性中断143事例51:遭受恶意攻击短暂影响网银访问144事例52:与时化解恶意攻击确保网银业务正常运行145事例53:域名解析错误引发网络流量剧增147事例54:SQL注入篡改信托公司数据库148事例55:架构漏洞导致银行被植入恶意148事例56:设置钓鱼,假冒网上银行系统149第五节有害程序事件153事例57:办公电脑感染病毒导致网络阻塞153事例58:防病毒软件更新不与时导致全行网络流量异常1
17、53事例59:数据库补丁更新不与时引发业务中断154事例60:前置程序感染病毒导致自助设备无法使用155第六节灾害性事件158事例61:台风破坏通讯设施导致银行网点停业158事例62:火灾导致银行供电中断158事例63:雷击损坏网络设备导致银行呼叫中心通讯中断159后记162第一章 信息科技相关案件一、案防形势当今社会经济发展对信息科技的依赖程度愈来愈高,金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。在全球围,网络窃密、网络攻击等利用计算机技术进行网络犯罪活动呈上升趋势。近年来,我国银行业信息科技相关案件频发,银行网络、信息系统已成为境外敌对势力和不法分子攻击破坏的重要
18、目标之一。攻击手段层出不穷,作案手法不断翻新,信息安全形势日益严峻。二、案件类型与作案手段按照案发区域,银行业信息科技相关案件可分为以下三类:一是网上银行类案件。犯罪嫌疑人主要通过国际互联网等载体,以木马病毒、程序破解密码等多种技术手段获取银行客户账号和密码,再以非法转账或网上支付等方式,盗取客户资金。二是控缺陷类案件。犯罪嫌疑人借部工作人员的身份和工作之便,利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案,盗取客户或银行资金。部控制作案又可细分为两类:其一是业务人员盗取其他员工的柜员号和密码,通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案,盗取银行或客
19、户资金。其二是科技人员利用职务便利,非法进入系统,通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案,盗取银行或客户资金。三是自助设备类案件。犯罪嫌疑人在银行自助设备上做手脚,利用读卡器、微型摄像机、假冒银行服务等各种手段盗取客户账号与密码,进而盗取客户资金。上述三种类型案件在案发区域、损失度与防难度等方面存在不同,作案手段也有所差异。见表1、表2。表1三种类型案件发案差异序号类型名称案发区域危害指数频度指数1网上银行类案件国际互联网中较高2控缺陷类案件银行部高较低3自助设备类案件ATM、CDM、POS中高表2三种类型案件的
20、作案手段序号作案手段网上银行类案件控缺陷类案件自助设备类案件1从外部入侵银行系统,更改数据2网上窃听或截获客户银行卡账号与密码3从外部窃取客户银行卡账号、密码4从外部破解客户网银密码5从外部窃取客户网银证书6部人非法使用业务系统7部人非法访问系统或数据库,但不涉与篡改系统数据8部人非法篡改系统数据9部人使用或拷贝恶意软件三、案件特点分析据20042010年银行业信息科技相关案件统计数据显示,当前我国银行业信息科技案件中,最受关注的是利用网上银行作案;利用银行部控制漏洞作案发案数相对较少但涉案金额较高;发案率最高的是利用自助设备作案。见图1所示。上述三类案件近年来呈以下变化趋势。(一)利用网上银
21、行作案发案率逐年递增1.利用网上银行作案具有任意时间、任意地点之特点,犯罪分子实施犯罪不容易受到事件时点的限制。2.由于技术的开放性,犯罪分子容易掌握一些技术含量较高的作案手法,且攻击手段不断翻新,犯罪行为更不易被察觉。3.银行为适应市场竞争的需要,网银产品开发周期缩短,相应控手段难以适应业务快速发展的需要,风险敞口逐步累积。(二)利用银行部控制漏洞作案发案率逐年递减,但涉案金额较高1.银行控体系逐步完善。随着对信息科技风险认识的不断提高,银行业金融机构逐步将信息科技风险纳入银行整体风险防体系,促使银行控机制日渐增强,风险管控能力和水平不断提升。例如银行通过实施关键业务岗位隔离、信息科技生产和
22、测试环境隔离、指纹识别仪取代柜员卡等制度和措施,堵塞了部分漏洞。2.外部环境对银行部控制的合规要求日益严格。例如近年来银监会相继出台了商业银行信息科技风险管理指引、银行业重要信息系统突发事件应急管理规、电子银行业务管理办法等规性文件,对银行部控制合规提出了更为明确的要求。3.由于部人员作案,熟悉银行控制体系,导致此类案件具有作案时间长、败露周期长、单笔涉案资金高的特点,危害性较高。(三)利用自助设备作案案件呈高发趋势1.近几年,基于企业竞争策略,中小银行纷纷加大了借记卡、信用卡等客户市场的开拓力度,但由于其科技部门整体技术水平不高、对信息安全的风险防意识和能力不足,导致相关犯罪案件高发。2.该
23、类案件有向农村、乡镇蔓延转移之趋势。犯罪分子利用不发达地区银行客户风险意识薄弱的特点,专门选择针对银行县级支行或者农村中小金融机构ATM作案。3.该类案件对技术要求相对较低,目前我国仍大量使用安全级别较低的磁条卡,涉与相关案件较多。四、危害与根源分析(一)危害分析各类信息科技犯罪案件会使银行面临多方面的风险,主要集中在以下三个方面。1.欺诈风险,例如敏感信息被盗取,包括银行卡号与密码、网银账号与密码等,导致银行或客户资金被盗。2银行资产设施与信息系统受损,影响其正常对外提供服务。3信誉风险和法律风险。具体分析见表3。表3三种类型案件危害分析序号危害类型网上银行类案件控缺陷类案件自助设备类案件1
24、银行资产设施遭到破坏2银行资金遭受损失3客户资金遭受损失4银行遭受法律诉讼5银行信誉受损(二)根源分析导致各类信息科技犯罪案件发生的原因来自多个方面。1.银行的系统安全机制存在缺陷。例如银行卡防伪能力弱、客户认证机制存在漏洞等。2.银行的部控制存在漏洞。例如对敏感信息保护不周全,对生产环境控制不严,外包管理存在缺失,对自助设备区域的巡查不力等等。3.银行业与其客户的科技风险防意识整体偏低。体现在银行的风险防意识普遍不足,客户的安全意识更为薄弱。具体分析见表4。表4三种类型案件根源分析序号案件发生的根源网上银行类案件控缺陷类案件自助设备类案件1银行卡防伪能力弱2系统安全机制存在漏洞3业务系统控制
25、存在漏洞4控制度执行不到位5柜员号密码与授权卡保护不力6对客户账号与密码保护不力7对重要系统源代码管理不严8未有效隔离生产和开发环境9生产环境变更控制不严10外包管理存在缺失11对异常事件的监测与预警不足12业务操作事后监督不力13业务处理重地安防措施不充分14对自助设备监控与巡查不力15银行职员缺乏风险防意识16客户安全意识薄弱五、防要点银行业金融机构采取以下对策,防相应风险:(一)网上银行类案件1. 加强对客户信息安全教育,培养客户的安全意识和良好的计算机使用习惯。客户在申请网银业务时,银行应充分告知相关风险。向客户提示不法分子盗窃客户资金的惯用手段和方法,引导客户设置安全的用户密码,避免
26、设置过于简单的密码,给犯罪分子以可乘之机。同时,引导客户采取与时升级计算机操作系统补丁,安装防病毒、防木马软件等多种方式,有效防病毒和木马的侵袭,保护客户账户信息与网上资金交易的安全。2. 严格执行业务办理中的客户件核查制度。对开户、业务功能注册、大额取款等重要业务,必须严格按照与客户签订的有关协议办理。3. 强化网银客户身份认证,比如采取网银硬件证书、动态令牌、手机短信等更加安全的客户认证方式。应充分评估和防网银文件证书存在的安全隐患,文件网银数字证书尽管不容易被破解,但可以导出,存在被冒用和窃取的风险。在风险可控的前提下,应防文件证书客户办理转账、网上支付等资金划转类业务的风险。4. 加强
27、针对门户、网上银行等面向互联网应用的信息系统的安全防护措施,提高安全防护水平。5. 完善网银交易验证流程,修补网银安全漏洞。6. 完善客户对账业务和余额变动提醒等功能。以电子、 、纸质对账单等形式,向客户提供每笔或每月的账户对账单,让客户随时掌握账户资金流向。通过短信提醒等方式将客户银行卡存取现金、网上支付、POS消费等情况与时通知客户。7. 建立有效的入侵监控和报警机制。应对网银业务流程进行风险分析,采取技术手段强化系统安全控制,如增加附加码图片噪点,提高附加码图片破解复杂度等;在网上银行后台加入攻击监控和锁定机制,对同一IP地址多次登录网银失败的行为进行预警,并对IP地址锁定,禁止其再次登
28、录网上银行;对锁定固定密码,更换卡号尝试登录的攻击方式进行控制等。定时对网上银行交易、网络访问日志与对外服务进行检查和监控,提高对网银系统异常登陆行为的检测和分析力度,对任何可疑或异常行为要进行与时处置。(二)控缺陷类案件1. 建立和完善各项部规章制度,加强各项规章制度的执行力度。要加强对重要业务凭证的管理,加强对应用系统操作密码的管理,特别要加强对业务操作层面(特别是柜员号和密码等)重要风险环节制度落实情况的检查,特别是定期和不定期对员工授权卡的使用情况进行检查,严肃处理不严格执行规章制度的员工。2. 积极排查应用系统漏洞,完善系统的控制功能。要认真梳理各业务和管理系统的业务流程,针对存在的
29、业务授权等漏洞,从系统设计方面进行完善,在程序中强化权限控制,落实职责分离原则,加强异常大额业务操作监控,防操作风险。3. 加强对科技人员的管理。一是加强对科技人员登录、修改和删除数据的权限管理,防止非授权访问;二是完善系统监控和行为审计功能,做好系统维护行为的监控和记录;三是严格落实关键岗位职责中分离、重要操作双人完成等制度的建立和执行;四是加强生产重地的视频监控,与时发现可疑行为;五是加强外包管理,建立完整的业务外包风险评估与监测程序,在外包合同中制订有关客户信息安全的条款;对外包人员进出与操作实施有效的监督与控制。4. 加强对员工的法治和职业操守教育,增强员工法治观念和风险意识。密切关注
30、员工的思想动态,加强对关键岗位员工的管理、观察和监督,与时发现和处理不良思想苗头和行动。5. 加强事后监督工作,确保对业务的有效监控和管理,堵塞风险漏洞。(三)自助设备类案件1. 加强对自助设备安全管理。定期对自助设备与自助银行进行安全巡查,尤其要加大重点时段的巡查力度,检查ATM与自助区是否被安装微型摄像机、读卡器等异物,出钞口是否正常,是否有虚假告示。完善自助设备监控设施,做到24小时实时视频监控,确保监控围不留死角,监控画面清晰可辨。2. 完善技术防措施。对落后的自助设备进行改造。充分评估以下措施的实际功效,根据自身实际情况选用,以保障客户使用银行卡的安全。比如,增加读卡机防侧录装置,取
31、消自助服务区门禁刷卡,减少犯罪嫌疑人盗取客户银行卡信息的机会;对密码键盘进行改造,增加密码键盘遮挡装置,防止犯罪嫌疑人窥探密码;积极开展银行卡技术研发,增强银行卡的防伪和加密功能,加快推进加密水平较高的带芯片银行卡的推广和使用等。3. 加强自助设备采购选型管理,对自助设备各项功能进行全面测试,选择质量可靠,功能完善的自助设备产品。同时,加强与自助设备厂商的沟通与协作,与时对自助设备进行升级和改造,堵塞风险漏洞。4. 加大自助设备宣传和培训力度。通过组织自助设备管理人员对该类案件的学习,提高防控能力。通过营业网点、自助设备屏幕、手机短信等多种方式对持卡人进行宣传和培训,使客户不仅熟悉自助设备操作
32、还要熟悉自助设备“外形”,一旦发现可疑情况,与时报告。建议客户办理存款短信提醒业务,一旦发现自己银行卡发生可疑业务,在第一时间和银行取得联系,以便与时处置。5. 加强客户安全教育和风险提示,积极帮助客户培养良好的密码设置习惯和密码保护意识。持卡人要妥善保管好个人的银行卡与密码;对来历不明的短信或提高警惕,任何情形下都不要轻易向他人透露账户信息,更不能通过ATM机向不明账户转账;记住银行客户服务,如果接到可疑、短信、通知,可直接通过发卡银行统一的客户服务进行确认。6. 加强与当地公安部门和相关部门的协调,建立快速通报联动机制,发现异常情况和投诉与时报告,积极配合有关部门做好案件调查等工作。第一
33、节 网上银行类案件案例1: 篡改网银交易数据盗取客户资金危害指数 频度指数 案例描述:2008年12月30日2009年1月3日,犯罪嫌疑人通过本人与雇佣他人,在某银行办理借记卡并开通个人网银业务,以合法身份进入该银行大众版网银系统,然后利用网络下载的黑客软件,对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。犯罪嫌疑人首先通过所掌握的银行卡卡号规律,猜测出一些银行卡卡号,然后不断尝试对本地计算机终端浏览器上运行的个人网银(大众版)服务端送来的网页代码进行数据篡改,将网页代码中“转出账号”数据改成所猜测的银行卡卡号;当篡改的客户端数据发回网银服务端后,由于该行服务端设计缺陷,没有对“转出账号
34、进行客户银行卡归属校验,导致犯罪嫌疑人成功将猜出的银行卡资金转入其指定的银行账号。据统计,犯罪嫌疑人发案期间尝试攻击次数171笔,通过转账盗取资金共计59笔,涉与客户11名,累计金额12万元。案例分析:分析上述案件,其关键因素如下。一是由于WEB浏览器存在安全缺陷,犯罪嫌疑人通过网上下载的黑客软件,将个人网银(大众版)服务端送来的网页代码进行了数据篡改,为其修改“转入账号”、“转出账号”、“转账金额”与“产品使用权限”等个人网银客户端交易数据提供了基础环境;二是个人网银(大众版)服务端缺乏对客户端数据进行安全校验的措施,该银行为了提高服务端的系统服务效率,甚至将有关认证校验功能前置到不可信的
35、客户端,导致犯罪嫌疑人测试出个人网银服务器端在转账交易流程中的缺陷漏洞,实现其非法盗取客户资金的目的。案例2: 利用嵌病毒盗取客户资金危害指数 频度指数 案例描述:2004年2月29日,某银行接到一客户投诉,称其账户资金被非法盗取约5万元。该行通过查询网银系统打印出客户操作记录,发现被盗资金是通过该行网银系统普通版跨行转账到犯罪嫌疑人曾某名下账户。经查实,曾某承认自己利用“广外幽灵3.0”病毒程序盗用他人账户资料和密码,盗取他人账户资金的事实。案例分析:经查,犯罪嫌疑人利用病毒程序“广外幽灵3.0”作案,是通过群发功能将包含上述病毒程序的发送到受害者电子中,受害者只要点击该,病毒程序会自动下载
36、到受害者计算机并隐藏在系统文件里。当受害人计算机重启后,病毒程序会记录电脑键盘输入信息,然后通过电子将其传到指定的犯罪嫌疑人里,被盗取的信息通常包括客户用户名、密码、 号、谈话容等。案例3: 通过木马盗取客户资金之一危害指数 频度指数 案例描述:某银行客户蔡某,上网浏览了被犯罪嫌疑人白某植入木马的网页后,其电脑被自动植入“灰鸽子”病毒程序。2007年1月,客户蔡某账户资金被盗取16万余元。案例分析:经查,犯罪嫌疑人白某下载了“灰鸽子2006VIP破解版”(以下简称“灰鸽子”)远程控制软件后,用该软件攻击某,并在该网页植入木马。当被害人蔡某访问该,点击嵌木马的网页后,其电脑即自动下载并运行木马程
37、序。随后,犯罪嫌疑人白某通过“灰鸽子”程序远程控制被害人蔡某的电脑,窃取蔡某的银行账号、密码与文件证书等,通过登录网上银行的方式盗取蔡某资金。目前多家银行网银采用数字证书的身份认证方式,文件网银数字证书尽管不容易被破解,但可以导出,存在被冒用或窃取的风险。案例4: 通过木马盗取客户资金之二危害指数 频度指数 案例描述:某银行3位客户向银行投诉,反映其账户资金被非法转账或被他人用于网上购物消费造成损失。事情经过如下: 2008年1月24日25日,客户赖某账户资金被非法分笔转走6000余元; 2008年10月2009年6月,客户向某账户发生非本人网上消费59笔,累计约3万元;2009年9月16日2
38、0日,客户程某账户发生非本人网上消费15笔,累计7000余元。上述3位客户均已向公安部门报案。案例分析:上述案件尚未结案,在此只能分析其可能发生的原因。客户赖某、程某有网购经历。尤其是程某,在案件发生后3天,该行就发现其账户被其他曾经盗用客户网银资金的可疑IP地址进行了操作。因此这两个客户很可能是在网购时中了木马病毒或者登录了钓鱼等情况下,泄露了自己的账号和密码等信息。而客户向某提与有他人知道其账户密码,因此有可能是向某平时保管账户和密码不慎,造成泄密后发生账户资金被盗。案例5: 远程操纵客户计算机盗取资金危害指数 频度指数 案例描述:2005年12月,某银行客户上班后于8时30分开机,20分
39、钟后突然发现其计算机系统自动显示网银转账画面,鼠标显示被别人操纵,本人无法控制。该客户立即拨通了某银行服务,按照客服提示进行了关机处理。12分钟后,该客户重新进入系统查询,发现账户资金被转走近2万元,随即向公安部门报案。经查,该客户资金被转至犯罪嫌疑人账户,并于当日9时20分左右分两笔取出。案例分析:客户反映在案发的一个星期前操作计算机时曾有过异常现象,犯罪嫌疑人实际早已侵入其计算机系统,并盗取该客户的网银账号、密码与文件网银证书。随后犯罪嫌疑人通过远程控制该客户的计算机后使用网银转账,导致该客户账户资金被盗取。案例6: 攻击获取客户信息盗取资金危害指数 频度指数 案例描述:2004年11月1
40、2日,某银行客户某取款时发现银行卡密码不对,重新设定密码后发现银行卡近6000元被盗取。同年11月,客户罗某、王某相继向公安部门报案,反映其银行借记卡的密码被修改,并于2004年10月分别被转出人民币4000余元和近2000元。随后,公安部门陆续接到多起类似报案。经查,犯罪嫌疑某人非法盗取了85名银行卡客户信息,通过登录银行,开通其中30银行卡的网上银行,以不同IP地址登录网银,修改银行卡密码。随后利用盗用的客户信息伪造,开立借记卡,并将上述30卡中部分资金转移至该借记卡,盗取现金近2万元。案例分析:犯罪嫌疑人某系某网吧的网络管理员。2004年6月,某使用黑客软件窃取某系统管理员用户名和密码,
41、得以远程控制该。该是专业从事广告业务的,客户点击该可获得收入,但必须输入点击人的号、银行卡号等信息。某通过该获得2万多条包含、银行卡号和所属银行名称等信息的客户资料,并使用自制程序破解密码。案例7: 窃取客户网银证书作案危害指数 频度指数 案例描述:2008年1月25日24时,某银行客户叶某称其个人银行卡中的10万余元,在20分钟被人通过网银分5次转走,怀疑被盗。经查,犯罪嫌疑人在异地通过两台ATM将资金盗取。案例分析:受害人叶某使用文件电子证书登录网上银行,并将该证书存贮于电脑中。半年前曾将电脑送修,犯罪嫌疑人在维修电脑时导出电子证书后,在其电脑安装木马程序盗取网银密码并作案。案例8: 盗取
42、同事账户作案危害指数 频度指数 案例描述:2008年3月5月,某银行10位客户向该行与公安部门反映,其账户在网上多次被他人用于购物消费,累计共187笔,涉与资金7万余元。案例分析:经调查,上述10名客户均是同一公司员工,该公司某财务人员利用职务之便,收集上述人员的号、银行账号等个人资料。由于上述人员的账户密码均由其出生日期组成,该财务人员轻易破解了10名受害客户的密码,并利用网上消费盗取他人资金。案例9: 利用假证件开通网上银行作案危害指数频度指数 案例描述:2006年2月上旬,犯罪嫌疑人梁某利用假申请开通某银行网上银行,盗取一客户账户资金15万余元。经查梁某作案手段与过程如下。2006年2月
43、9日,梁某假冒客户毛某在A支行开立银行卡,并注册个人网银证书版;同日,梁某假冒客户毛某在B支行开立银行卡。2006年2月10日,梁某登录某银行网银系统,并将客户毛某的账户下挂在其用假开通的网银证书版下,然后分两笔分别转入在A、B支行新开通的银行卡中。同日梁某分别在其他支行ATM上将上述15万余元取走。梁某通过以上操作,造成客户毛某账户资金损失15万余元。案例分析:据犯罪嫌疑人交待,获取银行客户资料有两种途径:一是利用银行借记卡在各地区发卡卡段规律,上网查找各地区卡段的卡号,通过登录银行或银行自助注册等手段,通常使用123456、888888等简易密码进行测试,发现有吻合的卡号便开始作案;二是在
44、网上购买客户资料与密码。通过上述办法取得客户银行卡号与密码后,在外地自助终端进行异地汇款操作,套取出客户,然后上网购买该客户的,逐一核对确定客户。犯罪嫌疑人利用上述两种方式取得客户、卡号、密码、之后,再制作假,并持假到银行网点开卡与开通网银证书版。随后登录银行,通过网上银行自助下挂卡功能,将被盗客户借记卡添加到网上银行,同时进行同名账户转账,成功后到异地提取现金。案例10: 嗅探网银系统作案危害指数 频度指数 案例描述:2009年3月28日,某银行计算机监控系统发出告警信息,经现场值守人员分析,发现有人嗅探其网银系统。该行立即启动相关应急预案,采取积极有效的措施,与时阻止该不法行为。随后,公安
45、部门介入迅速将犯罪嫌疑人缉拿。该事件没有给该行和客户造成损失。案例分析:犯罪嫌疑人利用网上银行提供给普通用户查询账户余额的界面,通过假想的卡号和简单密码,如111111、222222、333333、123456,不断嗅探网银系统。但由于网上银行在安全设计时已考虑普通用户版可能存在的恶意使用情况,采取较为严格的防手段,成功阻止了该不法行为,确保客户资金安全。案例11: 非法破解用户密码作案危害指数 频度指数 案例描述:2009年4月,非法攻击者通过自己编写的附加码自动识别程序,采用锁定某一固定密码反复轮询卡号的方式,对某银行网上银行个人普通版进行尝试登录,并获取了该行网上银行个人普通版200多个客户银行卡登录信息。但该行银行卡设置了磁道加密控制,攻击者无法制造克隆卡,加之通过网上银行进行网银转账须到柜台签约,故未对客户造成资金损失。案例分析:此次攻击采用了自动程序识别网银图片附加码和固定密码反复轮询卡号手段。各银行网上银行一般对同一卡账号连续多次登录密码错误进行了控制