商業(yè)銀行科技風(fēng)險(xiǎn)案例63條

./商業(yè)銀行科技風(fēng)險(xiǎn)案例63條中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)信息中心二○一○年八月序言當(dāng)前,信息技術(shù)已經(jīng)滲透到商業(yè)銀行經(jīng)營(yíng)管理的各個(gè)領(lǐng)域,銀行業(yè)已成為信息技術(shù)高度密集、高度依賴的行業(yè),同時(shí)也是受信息科技風(fēng)險(xiǎn)影響最大的行業(yè)之一。信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個(gè)銀行業(yè)的安全和國(guó)家金融體系的穩(wěn)定。根據(jù)近幾年國(guó)際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時(shí),將直接影響該行的基本支付業(yè)務(wù)；中斷1天,將對(duì)其聲譽(yù)和市值造成極大傷害；中斷2～3天以上不能恢復(fù),將直接危及銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定。同時(shí),隨著網(wǎng)上銀行、電子商務(wù)等網(wǎng)絡(luò)金融服務(wù)的快速發(fā)展,利用網(wǎng)絡(luò)信息技術(shù)的犯罪活動(dòng)也日益增加,威脅銀行業(yè)信息安全、針對(duì)網(wǎng)上銀行的案件呈上升趨勢(shì),對(duì)客戶利益和對(duì)銀行聲譽(yù)帶來的危害不容忽視。2004年,巴塞爾新資本協(xié)議將信息科技風(fēng)險(xiǎn)明確劃歸操作風(fēng)險(xiǎn)的范疇,使得信息科技風(fēng)險(xiǎn)管理成為了銀行全面風(fēng)險(xiǎn)管理體系中的重要組成部分。近年來,銀監(jiān)會(huì)對(duì)銀行信息科技風(fēng)險(xiǎn)管理高度重視,對(duì)銀行信息科技風(fēng)險(xiǎn)管理提出了明確要求。各商業(yè)銀行也普遍提高了對(duì)信息科技風(fēng)險(xiǎn)管理的關(guān)注程度,銀行業(yè)的信息科技風(fēng)險(xiǎn)管理水平不斷提高。在取得成績(jī)的同時(shí),必須清醒地意識(shí)到存在的問題與不足。近年來國(guó)內(nèi)外信息科技風(fēng)險(xiǎn)事件時(shí)有發(fā)生,系統(tǒng)重大停機(jī)宕機(jī)、核心業(yè)務(wù)系統(tǒng)中斷、網(wǎng)站安全漏洞、網(wǎng)上銀行虛假交易、客戶資金被竊取等。后果嚴(yán)重,教訓(xùn)深刻,網(wǎng)絡(luò)與信息安全形勢(shì)不容忽視。這些事件的發(fā)生再次向我們敲響警鐘：信息科技工作一旦發(fā)生問題就是重大問題。信息科技風(fēng)險(xiǎn)就在身邊,強(qiáng)化風(fēng)險(xiǎn)監(jiān)管刻不容緩。以史為鏡知興替,以案為鑒明得失?；诖?銀監(jiān)會(huì)組織專人對(duì)銀行業(yè)金融機(jī)構(gòu)計(jì)算機(jī)犯罪案件和信息安全事件進(jìn)行了認(rèn)真梳理,從中選擇有代表性和借鑒意義的典型案例,開創(chuàng)性地編寫了《銀行業(yè)科技風(fēng)險(xiǎn)警示錄》。該書匯編刊印工作非常適時(shí),非常必要,在銀行業(yè)計(jì)算機(jī)犯罪與信息安全事件研究方面邁出了可喜的一步。入選案例都具有較高的借鑒價(jià)值,為銀監(jiān)會(huì)系統(tǒng)的IT風(fēng)險(xiǎn)監(jiān)管工作提供了有效資料,為各銀行業(yè)金融機(jī)構(gòu)和廣大員工提供了警示教材。這些素材新、內(nèi)容全、深入淺出、富有新意的案例分析無論對(duì)銀行風(fēng)險(xiǎn)管理部門、信息科技部門繼續(xù)深入研究相關(guān)案例,還是對(duì)銀行高管人員、審計(jì)人員以及從事相關(guān)業(yè)務(wù)的廣大員工,都具有實(shí)踐的借鑒價(jià)值和指導(dǎo)作用?！躲y行業(yè)科技風(fēng)險(xiǎn)警示錄》匯編教材意義重大,值得肯定。"前事昭昭,足為明戒"。銀監(jiān)會(huì)系統(tǒng)一定要高度重視信息科技風(fēng)險(xiǎn)管控工作。切實(shí)分析好、利用好這些案例,認(rèn)真查找銀行業(yè)金融機(jī)構(gòu)在內(nèi)控管理、安全防范、信息技術(shù)等方面存在的差距與不足,清醒把握當(dāng)前防范計(jì)算機(jī)犯罪與信息安全面臨的形勢(shì)。采取有針對(duì)性的監(jiān)管措施,指導(dǎo)銀行業(yè)金融機(jī)構(gòu)落實(shí)內(nèi)控、提高信息安全管理能力,遏制計(jì)算機(jī)犯罪快速上升勢(shì)頭。各銀行業(yè)金融機(jī)構(gòu)要能夠吸取這些案例的教訓(xùn),警鐘長(zhǎng)鳴,積極開展多種形式的信息科技風(fēng)險(xiǎn)警示教育,做好計(jì)算機(jī)案件與信息安全事件防范工作,促進(jìn)在更大范圍和更高層次上提升信息科技風(fēng)險(xiǎn)防范水平。我們堅(jiān)信：通過提高信息科技風(fēng)險(xiǎn)防范意識(shí),完善信息科技風(fēng)險(xiǎn)管理機(jī)制,計(jì)算機(jī)案件和信息安全事件的發(fā)生概率就會(huì)大大降低,所造成的影響和損失也將會(huì)大大減輕。是為序。郭利根二Ｏ一Ｏ年八月前言隨著信息科技在銀行業(yè)金融機(jī)構(gòu)客戶服務(wù)、營(yíng)銷、內(nèi)控、經(jīng)營(yíng)管理等工作中應(yīng)用的不斷深入,涉及信息技術(shù)的犯罪案件與信息安全事件不斷發(fā)生,且呈現(xiàn)快速上升趨勢(shì)。近年來出現(xiàn)的一些重大金融信息科技風(fēng)險(xiǎn)案例表明,信息系統(tǒng)為金融機(jī)構(gòu)日常運(yùn)營(yíng)提供了重要的基礎(chǔ)支持,銀行業(yè)的穩(wěn)健經(jīng)營(yíng)離不開對(duì)信息科技風(fēng)險(xiǎn)的有效管理。國(guó)外兩大事件將科技風(fēng)險(xiǎn)管控重要性昭示天下。2001年9月11日恐怖分子劫持飛機(jī)撞擊美國(guó)紐約世貿(mào)中心。該恐怖襲擊事件瞬間徹底毀滅了數(shù)百家公司所擁有的重要數(shù)據(jù),令近九百家機(jī)構(gòu)因此倒閉,美洲銀行、德國(guó)銀行、國(guó)際信托銀行、帝國(guó)人壽保險(xiǎn)公司、摩根斯坦利金融公司、美國(guó)商品期貨交易所等數(shù)十家世界金融巨頭遭受了重大損失。2009年11月8日黑客集團(tuán)成功入侵蘇格蘭皇家銀行<RBS>旗下信用卡公司的計(jì)算機(jī)網(wǎng)絡(luò),偽造假卡,在不足12小時(shí)內(nèi)從全球至少280個(gè)城市的2100部提款機(jī)提取逾900萬美元現(xiàn)金,使RBS集團(tuán)短時(shí)間內(nèi)損失慘重。如果不能對(duì)信息科技風(fēng)險(xiǎn)進(jìn)行有效管控,一些信息科技案件或事件必將對(duì)銀行業(yè)持續(xù)穩(wěn)健運(yùn)行帶來重大威脅。鑒于此,銀監(jiān)會(huì)信息中心組織專人對(duì)銀行業(yè)金融機(jī)構(gòu)計(jì)算機(jī)犯罪和信息安全事件進(jìn)行認(rèn)真梳理,從中選擇部分有代表性和一定借鑒意義的典型案例,編寫了《銀行業(yè)科技風(fēng)險(xiǎn)警示錄》?！躲y行業(yè)科技風(fēng)險(xiǎn)警示錄》收集了中國(guó)銀行業(yè)金融機(jī)構(gòu)2004～2010年初所發(fā)生的具有代表性的98個(gè)計(jì)算機(jī)犯罪案件和信息安全事件。入選案例通常在多家銀行發(fā)生,且具有銀行機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理工作中普遍存在的薄弱環(huán)節(jié)、共性缺陷。匯編此書,意欲舉一反三,警示昭告,引發(fā)銀行機(jī)構(gòu)高管人員、風(fēng)險(xiǎn)管理部門、信息科技部門、審計(jì)部門以及各相關(guān)業(yè)務(wù)部門的高度重視,以認(rèn)真汲取事故教訓(xùn),采取措施,堵塞漏洞?！躲y行業(yè)科技風(fēng)險(xiǎn)警示錄》中各案例內(nèi)容分別包括"案例描述"、"案例分析"兩個(gè)部分。"案例描述"部分主要是以有關(guān)銀行提供的事件分析報(bào)告為依據(jù),簡(jiǎn)要介紹案例概況；"案例分析"部分深入淺出地對(duì)案件內(nèi)部深層次原因進(jìn)行剖析,以反映銀行機(jī)構(gòu)信息安全面臨的嚴(yán)峻形勢(shì)。在每節(jié)后附"防范對(duì)策與建議",通過各家銀行的實(shí)際防范經(jīng)驗(yàn)總結(jié)為銀行建立解決方案提供借鑒?！躲y行業(yè)科技風(fēng)險(xiǎn)警示錄》著重突出了以下特點(diǎn)：一是素材新。入選的98個(gè)計(jì)算機(jī)犯罪案件和信息安全事件具有普遍典型意義,部分案例為國(guó)內(nèi)首次披露。二是內(nèi)容全。通過向全國(guó)銀行業(yè)金融機(jī)構(gòu)廣泛征集案例,保證了內(nèi)容的覆蓋面和信息量,基本做到了案件與事件、歷史與現(xiàn)狀、中資銀行與外資銀行、不同規(guī)模銀行業(yè)機(jī)構(gòu)等的兼收并蓄。三是富有新意?！躲y行業(yè)科技風(fēng)險(xiǎn)警示錄》對(duì)案例內(nèi)容嘗試性引入了危害指數(shù)、影響指數(shù)和頻度指數(shù)進(jìn)行風(fēng)險(xiǎn)分級(jí)。其中,危害指數(shù)主要側(cè)重從案件對(duì)行業(yè)的沖擊力及對(duì)銀行客戶的影響面進(jìn)行分析；影響指數(shù)主要側(cè)重從事件對(duì)銀行持續(xù)經(jīng)營(yíng)的影響度進(jìn)行分析；而頻度指數(shù)主要從發(fā)生概率〔案件和事件或作案難易度〔僅針對(duì)案件進(jìn)行定性分析。案例的風(fēng)險(xiǎn)類型與發(fā)生根源分析則借鑒了巴塞爾新資本協(xié)議的要求和分類方式。四是深入淺出。注重技術(shù)深度和通俗易懂的結(jié)合,每個(gè)案例做到了情況描述全面細(xì)致、原因分析切中要害、對(duì)策建議切實(shí)可行,具有較好的完整性、前瞻性和實(shí)用性。同時(shí),力避生硬技術(shù)性論述,數(shù)據(jù)主要以圖、表形式進(jìn)行羅列和分析,使讀者一目了然。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)信息中心二〇一〇年八月目錄第一章信息科技相關(guān)案件11第一節(jié)網(wǎng)上銀行類案件21案例1：篡改網(wǎng)銀交易數(shù)據(jù)盜取客戶資金21案例2：利用內(nèi)嵌病毒郵件盜取客戶資金22案例3：通過木馬盜取客戶資金之一23案例4：通過木馬盜取客戶資金之二24案例5：遠(yuǎn)程操縱客戶計(jì)算機(jī)盜取資金25案例6：攻擊網(wǎng)站獲取客戶信息盜取資金26案例7：竊取客戶網(wǎng)銀證書作案27案例8：盜取同事賬戶作案28案例9：利用假證件開通網(wǎng)上銀行作案29案例10：嗅探網(wǎng)銀系統(tǒng)作案30案例11：非法破解用戶密碼作案31第二節(jié)內(nèi)控缺陷類案件34案例12：非法辦理存折配卡作案34案例13：篡改系統(tǒng)數(shù)據(jù)虛開存單作案35案例14：篡改賬戶狀態(tài)非法結(jié)息作案36案例15：篡改賬務(wù)數(shù)據(jù)盜取資金38案例16：利用綜合業(yè)務(wù)系統(tǒng)漏洞作案之一39案例17：利用綜合業(yè)務(wù)系統(tǒng)漏洞作案之二40案例18：利用貸款業(yè)務(wù)系統(tǒng)缺陷作案41案例19：利用儲(chǔ)蓄業(yè)務(wù)系統(tǒng)漏洞作案42案例20：盜用他人柜員密碼掛失存單作案43案例21：盜取他人柜員密碼空存資金作案44案例22：盜用他人柜員密碼虛列利息支出作案45案例23：盜用系統(tǒng)權(quán)限冒名貸款作案46案例24：偽裝外包人員混入銀行營(yíng)業(yè)室作案47案例25：利用外包管理漏洞盜取客戶信息作案48案例26：編制非法程序竊取客戶信息作案49案例27：盜取客戶信息篡改數(shù)據(jù)庫作案50案例28：竊取數(shù)據(jù)倉庫客戶信息作案51第三節(jié)自助設(shè)備類案件54案例29：加裝特殊裝置盜取銀行卡信息作案54案例30：張貼虛假告示騙取客戶信任作案64案例31：利用自助設(shè)備的自動(dòng)保護(hù)功能作案72案例32：利用自助設(shè)備功能模塊缺陷作案74案例33：利用自助設(shè)備系統(tǒng)程序漏洞作案75案例34：通過砸撬ATM機(jī)等暴力手段進(jìn)行作案76案例35：一些其他銀行卡犯罪案件78第二章信息科技相關(guān)事件82第一節(jié)硬件設(shè)備故障93事例1：主機(jī)宕機(jī)處置不及時(shí)導(dǎo)致系統(tǒng)交易停止93事例2：存儲(chǔ)設(shè)備故障致重要應(yīng)用系統(tǒng)中斷94事例3：主機(jī)配件故障導(dǎo)致銀行對(duì)外服務(wù)中斷94事例4：備機(jī)電源模塊故障導(dǎo)致主機(jī)系統(tǒng)宕機(jī)95事例5：主機(jī)電源故障導(dǎo)致核心業(yè)務(wù)長(zhǎng)時(shí)間停止96事例6：CPU主板硬件故障致系統(tǒng)中斷97事例7：存儲(chǔ)設(shè)備故障致系統(tǒng)中斷98事例8：交換機(jī)接觸不良致業(yè)務(wù)中斷98事例9：核心交換機(jī)故障致業(yè)務(wù)中斷99事例10：存儲(chǔ)光纖交換機(jī)宕機(jī)致系統(tǒng)中斷100事例11：機(jī)房地面震動(dòng)引起機(jī)房設(shè)備電源頻發(fā)故障101事例12：交換機(jī)協(xié)議不兼容導(dǎo)致網(wǎng)絡(luò)通信異常102事例13：光端機(jī)通訊板卡故障致業(yè)務(wù)中斷102事例14：網(wǎng)絡(luò)設(shè)備配置不當(dāng)致系統(tǒng)中斷103事例15：加密機(jī)故障導(dǎo)致銀行卡交易長(zhǎng)時(shí)間中斷104第二節(jié)軟件系統(tǒng)故障107事例16：加密平臺(tái)設(shè)計(jì)缺陷引發(fā)交易擁堵107事例17：壓力測(cè)試不充分導(dǎo)致系統(tǒng)服務(wù)中斷108事例18：需求交流不充分導(dǎo)致部分銀期轉(zhuǎn)賬無法正常處理109事例19：監(jiān)控系統(tǒng)缺陷導(dǎo)致業(yè)務(wù)癱瘓110事例20：主機(jī)系統(tǒng)缺陷導(dǎo)致業(yè)務(wù)系統(tǒng)運(yùn)行不暢111事例21：程序性能缺陷導(dǎo)致交易緩慢111事例22：應(yīng)用程序缺陷導(dǎo)致銀證交易異常112事例23：第三方存管系統(tǒng)運(yùn)行故障引發(fā)服務(wù)中斷113事例24：系統(tǒng)容量不足導(dǎo)致系統(tǒng)運(yùn)行意外終止115事例25：應(yīng)用系統(tǒng)故障影響客戶服務(wù)116事例26：對(duì)批量操作的管理不善引發(fā)系統(tǒng)停機(jī)117事例27：系統(tǒng)交易堵塞引發(fā)系統(tǒng)崩潰118事例28：ATM程序故障造成吞卡及交易失敗119事例29：系統(tǒng)變更缺陷導(dǎo)致ATM透支事故120事例30：光纖傳輸速率波動(dòng)引發(fā)業(yè)務(wù)系統(tǒng)故障121事例31：系統(tǒng)數(shù)據(jù)庫意外宕機(jī)造成業(yè)務(wù)數(shù)據(jù)丟失122事例32：數(shù)據(jù)庫軟件缺陷引發(fā)業(yè)務(wù)交易堵塞123事例33：數(shù)據(jù)庫升級(jí)異常引發(fā)系統(tǒng)故障124事例34：備份操作異常導(dǎo)致銀行卡交易中斷124事例35：疏于備份導(dǎo)致銀行客戶數(shù)據(jù)丟失125事例36：操作失誤引發(fā)綜合業(yè)務(wù)系統(tǒng)停止服務(wù)126事例37：操作不當(dāng)導(dǎo)致銀行現(xiàn)金業(yè)務(wù)中斷127事例38：系統(tǒng)設(shè)置錯(cuò)誤導(dǎo)致卡業(yè)務(wù)故障128第三節(jié)外圍保障設(shè)施故障131事例39：操作不慎導(dǎo)致核心系統(tǒng)服務(wù)中斷131事例40：UPS系統(tǒng)故障導(dǎo)致呼叫中心停止服務(wù)131事例41：外包服務(wù)商違規(guī)操作導(dǎo)致銀行服務(wù)中斷132事例42：雙回路切換器故障引發(fā)銀行供電隱患133事例43：供電系統(tǒng)老化及演練不到位導(dǎo)致服務(wù)中斷134事例44：電力轉(zhuǎn)換系統(tǒng)故障引發(fā)供電中斷136事例45：市變電站突發(fā)設(shè)備故障導(dǎo)致銀行業(yè)務(wù)中斷137事例46：光端機(jī)設(shè)備故障造成通訊中斷138事例47：電信運(yùn)營(yíng)商設(shè)備故障導(dǎo)致業(yè)務(wù)無法正常辦理138事例48：域名未及時(shí)備案導(dǎo)致網(wǎng)上銀行被封139事例49：與銀聯(lián)溝通不暢引起銀行卡業(yè)務(wù)異常140第四節(jié)網(wǎng)絡(luò)攻擊事件143事例50：遭受惡意攻擊門戶網(wǎng)站間歇性中斷143事例51：遭受惡意攻擊短暫影響網(wǎng)銀訪問144事例52：及時(shí)化解惡意攻擊確保網(wǎng)銀業(yè)務(wù)正常運(yùn)行145事例53：域名解析錯(cuò)誤引發(fā)網(wǎng)絡(luò)流量劇增147事例54：SQL注入篡改信托公司網(wǎng)站數(shù)據(jù)庫148事例55：架構(gòu)漏洞導(dǎo)致銀行網(wǎng)站被植入惡意鏈接148事例56：設(shè)置釣魚網(wǎng)站,假冒網(wǎng)上銀行系統(tǒng)149第五節(jié)有害程序事件153事例57：辦公電腦感染病毒導(dǎo)致網(wǎng)絡(luò)阻塞153事例58：防病毒軟件更新不及時(shí)導(dǎo)致全行網(wǎng)絡(luò)流量異常153事例59：數(shù)據(jù)庫補(bǔ)丁更新不及時(shí)引發(fā)業(yè)務(wù)中斷154事例60：前置程序感染病毒導(dǎo)致自助設(shè)備無法使用155第六節(jié)災(zāi)害性事件158事例61：臺(tái)風(fēng)破壞通訊設(shè)施導(dǎo)致銀行網(wǎng)點(diǎn)停業(yè)158事例62：火災(zāi)導(dǎo)致銀行供電中斷158事例63：雷擊損壞網(wǎng)絡(luò)設(shè)備導(dǎo)致銀行呼叫中心通訊中斷159后記162第一章信息科技相關(guān)案件一、案防形勢(shì)當(dāng)今社會(huì)經(jīng)濟(jì)發(fā)展對(duì)信息科技的依賴程度愈來愈高,金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)安全對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公眾權(quán)益的影響逐漸增強(qiáng)。在全球范圍內(nèi),網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)攻擊等利用計(jì)算機(jī)技術(shù)進(jìn)行網(wǎng)絡(luò)違法犯罪活動(dòng)呈上升趨勢(shì)。近年來,我國(guó)銀行業(yè)信息科技相關(guān)案件頻發(fā),銀行網(wǎng)絡(luò)、信息系統(tǒng)已成為境內(nèi)外敵對(duì)勢(shì)力和不法分子攻擊破壞的重要目標(biāo)之一。攻擊手段層出不窮,作案手法不斷翻新,信息安全形勢(shì)日益嚴(yán)峻。二、案件類型及作案手段按照案發(fā)區(qū)域,銀行業(yè)信息科技相關(guān)案件可分為以下三類：一是網(wǎng)上銀行類案件。犯罪嫌疑人主要通過國(guó)際互聯(lián)網(wǎng)等載體,以木馬病毒、程序破解密碼等多種技術(shù)手段獲取銀行客戶賬號(hào)和密碼,再以非法轉(zhuǎn)賬或網(wǎng)上支付等方式,盜取客戶資金。二是內(nèi)控缺陷類案件。犯罪嫌疑人借內(nèi)部工作人員的身份和工作之便,利用銀行管理制度、業(yè)務(wù)流程、交易系統(tǒng)等方面存在的漏洞作案,盜取客戶或銀行資金。內(nèi)部控制作案又可細(xì)分為兩類：其一是業(yè)務(wù)人員盜取其他員工的柜員號(hào)和密碼,通過對(duì)客戶定期存款進(jìn)行密碼掛失、虛假存款、虛列利息支出、冒名虛假貸款等方式作案,盜取銀行或客戶資金。其二是科技人員利用職務(wù)便利,非法進(jìn)入系統(tǒng),通過編制非法程序竊取銀行客戶密碼、篡改數(shù)據(jù)庫數(shù)據(jù)、篡改賬戶狀態(tài)、竊取數(shù)據(jù)倉庫客戶信息和利用綜合業(yè)務(wù)系統(tǒng)功能缺陷等方式作案,盜取銀行或客戶資金。三是自助設(shè)備類案件。犯罪嫌疑人在銀行自助設(shè)備上做手腳,利用讀卡器、微型攝像機(jī)、假冒銀行服務(wù)電話等各種手段盜取客戶賬號(hào)及密碼,進(jìn)而盜取客戶資金。上述三種類型案件在案發(fā)區(qū)域、損失度及防范難度等方面存在不同,作案手段也有所差異。見表1、表2。表1三種類型案件發(fā)案差異序號(hào)類型名稱案發(fā)區(qū)域危害指數(shù)頻度指數(shù)1網(wǎng)上銀行類案件國(guó)際互聯(lián)網(wǎng)中較高2內(nèi)控缺陷類案件銀行內(nèi)部高較低3自助設(shè)備類案件ATM、CDM、POS中高表2三種類型案件的作案手段序號(hào)作案手段網(wǎng)上銀行類案件內(nèi)控缺陷類案件自助設(shè)備類案件1從外部入侵銀行系統(tǒng),更改數(shù)據(jù)√2網(wǎng)上竊聽或截獲客戶銀行卡賬號(hào)及密碼√3從外部竊取客戶銀行卡賬號(hào)、密碼√√4從外部破解客戶網(wǎng)銀密碼√5從外部竊取客戶網(wǎng)銀證書√6內(nèi)部人非法使用業(yè)務(wù)系統(tǒng)√7內(nèi)部人非法訪問系統(tǒng)或數(shù)據(jù)庫,但不涉及篡改系統(tǒng)數(shù)據(jù)√8內(nèi)部人非法篡改系統(tǒng)數(shù)據(jù)√9內(nèi)部人使用或拷貝惡意軟件√三、案件特點(diǎn)分析據(jù)2004～2010年銀行業(yè)信息科技相關(guān)案件統(tǒng)計(jì)數(shù)據(jù)顯示,當(dāng)前我國(guó)銀行業(yè)信息科技案件中,最受關(guān)注的是利用網(wǎng)上銀行作案；利用銀行內(nèi)部控制漏洞作案發(fā)案數(shù)相對(duì)較少但涉案金額較高；發(fā)案率最高的是利用自助設(shè)備作案。見圖1所示。上述三類案件近年來呈以下變化趨勢(shì)。〔一利用網(wǎng)上銀行作案發(fā)案率逐年遞增1.利用網(wǎng)上銀行作案具有任意時(shí)間、任意地點(diǎn)之特點(diǎn),犯罪分子實(shí)施犯罪不容易受到事件時(shí)點(diǎn)的限制。2.由于技術(shù)的開放性,犯罪分子容易掌握一些技術(shù)含量較高的作案手法,且攻擊手段不斷翻新,犯罪行為更不易被察覺。3.銀行為適應(yīng)市場(chǎng)競(jìng)爭(zhēng)的需要,網(wǎng)銀產(chǎn)品開發(fā)周期縮短,相應(yīng)內(nèi)控手段難以適應(yīng)業(yè)務(wù)快速發(fā)展的需要,風(fēng)險(xiǎn)敞口逐步累積?！捕勉y行內(nèi)部控制漏洞作案發(fā)案率逐年遞減,但涉案金額較高1.銀行內(nèi)控體系逐步完善。隨著對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)的不斷提高,銀行業(yè)金融機(jī)構(gòu)逐步將信息科技風(fēng)險(xiǎn)納入銀行整體風(fēng)險(xiǎn)防范體系,促使銀行內(nèi)控機(jī)制日漸增強(qiáng),風(fēng)險(xiǎn)管控能力和水平不斷提升。例如銀行通過實(shí)施關(guān)鍵業(yè)務(wù)崗位隔離、信息科技生產(chǎn)和測(cè)試環(huán)境隔離、指紋識(shí)別儀取代柜員卡等制度和措施,堵塞了部分漏洞。2.外部環(huán)境對(duì)銀行內(nèi)部控制的合規(guī)要求日益嚴(yán)格。例如近年來銀監(jiān)會(huì)相繼出臺(tái)了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范》、《電子銀行業(yè)務(wù)管理辦法》等規(guī)范性文件,對(duì)銀行內(nèi)部控制合規(guī)提出了更為明確的要求。3.由于內(nèi)部人員作案,熟悉銀行控制體系,導(dǎo)致此類案件具有作案時(shí)間長(zhǎng)、敗露周期長(zhǎng)、單筆涉案資金高的特點(diǎn),危害性較高?！踩米灾O(shè)備作案案件呈高發(fā)趨勢(shì)1.近幾年,基于企業(yè)競(jìng)爭(zhēng)策略,中小銀行紛紛加大了借記卡、信用卡等客戶市場(chǎng)的開拓力度,但由于其科技部門整體技術(shù)水平不高、對(duì)信息安全的風(fēng)險(xiǎn)防范意識(shí)和能力不足,導(dǎo)致相關(guān)犯罪案件高發(fā)。2.該類案件有向農(nóng)村、鄉(xiāng)鎮(zhèn)蔓延轉(zhuǎn)移之趨勢(shì)。犯罪分子利用不發(fā)達(dá)地區(qū)銀行客戶風(fēng)險(xiǎn)意識(shí)薄弱的特點(diǎn),專門選擇針對(duì)銀行縣級(jí)支行或者農(nóng)村中小金融機(jī)構(gòu)ATM作案。3.該類案件對(duì)技術(shù)要求相對(duì)較低,目前我國(guó)仍大量使用安全級(jí)別較低的磁條卡,涉及相關(guān)案件較多。四、危害及根源分析〔一危害分析各類信息科技犯罪案件會(huì)使銀行面臨多方面的風(fēng)險(xiǎn),主要集中在以下三個(gè)方面。1.欺詐風(fēng)險(xiǎn),例如敏感信息被盜取,包括銀行卡號(hào)及密碼、網(wǎng)銀賬號(hào)及密碼等,導(dǎo)致銀行或客戶資金被盜。2．銀行資產(chǎn)設(shè)施及信息系統(tǒng)受損,影響其正常對(duì)外提供服務(wù)。3．信譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。具體分析見表3。表3三種類型案件危害分析序號(hào)危害類型網(wǎng)上銀行類案件內(nèi)控缺陷類案件自助設(shè)備類案件1銀行資產(chǎn)設(shè)施遭到破壞√2銀行資金遭受損失√√√3客戶資金遭受損失√√√4銀行遭受法律訴訟√√√5銀行信譽(yù)受損√√√〔二根源分析導(dǎo)致各類信息科技犯罪案件發(fā)生的原因來自多個(gè)方面。1.銀行的系統(tǒng)安全機(jī)制存在缺陷。例如銀行卡防偽能力弱、客戶認(rèn)證機(jī)制存在漏洞等。2.銀行的內(nèi)部控制存在漏洞。例如對(duì)敏感信息保護(hù)不周全,對(duì)生產(chǎn)環(huán)境控制不嚴(yán),外包管理存在缺失,對(duì)自助設(shè)備區(qū)域的巡查不力等等。3.銀行業(yè)及其客戶的科技風(fēng)險(xiǎn)防范意識(shí)整體偏低。體現(xiàn)在銀行的風(fēng)險(xiǎn)防范意識(shí)普遍不足,客戶的安全意識(shí)更為薄弱。具體分析見表4。表4三種類型案件根源分析序號(hào)案件發(fā)生的根源網(wǎng)上銀行類案件內(nèi)控缺陷類案件自助設(shè)備類案件1銀行卡防偽能力弱√2系統(tǒng)安全機(jī)制存在漏洞√√3業(yè)務(wù)系統(tǒng)控制存在漏洞√√4內(nèi)控制度執(zhí)行不到位√5柜員號(hào)密碼及授權(quán)卡保護(hù)不力√6對(duì)客戶賬號(hào)及密碼保護(hù)不力√√7對(duì)重要系統(tǒng)源代碼管理不嚴(yán)√8未有效隔離生產(chǎn)和開發(fā)環(huán)境√9生產(chǎn)環(huán)境變更控制不嚴(yán)√10外包管理存在缺失√√11對(duì)異常事件的監(jiān)測(cè)與預(yù)警不足√12業(yè)務(wù)操作事后監(jiān)督不力√13業(yè)務(wù)處理重地安防措施不充分√14對(duì)自助設(shè)備監(jiān)控與巡查不力√15銀行職員缺乏風(fēng)險(xiǎn)防范意識(shí)√16客戶安全意識(shí)薄弱√√五、防范要點(diǎn)銀行業(yè)金融機(jī)構(gòu)采取以下對(duì)策,防范相應(yīng)風(fēng)險(xiǎn)：〔一網(wǎng)上銀行類案件1.加強(qiáng)對(duì)客戶信息安全教育,培養(yǎng)客戶的安全意識(shí)和良好的計(jì)算機(jī)使用習(xí)慣?？蛻粼谏暾?qǐng)網(wǎng)銀業(yè)務(wù)時(shí),銀行應(yīng)充分告知相關(guān)風(fēng)險(xiǎn)。向客戶提示不法分子盜竊客戶資金的慣用手段和方法,引導(dǎo)客戶設(shè)置安全的用戶密碼,避免設(shè)置過于簡(jiǎn)單的密碼,給犯罪分子以可乘之機(jī)。同時(shí),引導(dǎo)客戶采取及時(shí)升級(jí)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁,安裝防病毒、防木馬軟件等多種方式,有效防范病毒和木馬的侵襲,保護(hù)客戶賬戶信息與網(wǎng)上資金交易的安全。2.嚴(yán)格執(zhí)行業(yè)務(wù)辦理中的客戶身份證件核查制度。對(duì)開戶、業(yè)務(wù)功能注冊(cè)、大額取款等重要業(yè)務(wù),必須嚴(yán)格按照與客戶簽訂的有關(guān)協(xié)議辦理。3.強(qiáng)化網(wǎng)銀客戶身份認(rèn)證,比如采取網(wǎng)銀硬件證書、動(dòng)態(tài)令牌、手機(jī)短信等更加安全的客戶認(rèn)證方式。應(yīng)充分評(píng)估和防范網(wǎng)銀文件證書存在的安全隱患,文件網(wǎng)銀數(shù)字證書盡管不容易被破解,但可以導(dǎo)出,存在被冒用和竊取的風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)可控的前提下,應(yīng)防范文件證書客戶辦理轉(zhuǎn)賬、網(wǎng)上支付等資金劃轉(zhuǎn)類業(yè)務(wù)的風(fēng)險(xiǎn)。4.加強(qiáng)針對(duì)門戶網(wǎng)站、網(wǎng)上銀行等面向互聯(lián)網(wǎng)應(yīng)用的信息系統(tǒng)的安全防護(hù)措施,提高安全防護(hù)水平。5.完善網(wǎng)銀交易驗(yàn)證流程,修補(bǔ)網(wǎng)銀安全漏洞。6.完善客戶對(duì)賬業(yè)務(wù)和余額變動(dòng)提醒等功能。以電子郵件、傳真、紙質(zhì)對(duì)賬單等形式,向客戶提供每筆或每月的賬戶對(duì)賬單,讓客戶隨時(shí)掌握賬戶內(nèi)資金流向。通過短信提醒等方式將客戶銀行卡存取現(xiàn)金、網(wǎng)上支付、POS消費(fèi)等情況及時(shí)通知客戶。7.建立有效的入侵監(jiān)控和報(bào)警機(jī)制。應(yīng)對(duì)網(wǎng)銀業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)分析,采取技術(shù)手段強(qiáng)化系統(tǒng)安全控制,如增加附加碼圖片噪點(diǎn),提高附加碼圖片破解復(fù)雜度等；在網(wǎng)上銀行后臺(tái)加入攻擊監(jiān)控和鎖定機(jī)制,對(duì)同一IP地址多次登錄網(wǎng)銀失敗的行為進(jìn)行預(yù)警,并對(duì)IP地址鎖定,禁止其再次登錄網(wǎng)上銀行；對(duì)鎖定固定密碼,更換卡號(hào)嘗試登錄的攻擊方式進(jìn)行控制等。定時(shí)對(duì)網(wǎng)上銀行交易、網(wǎng)絡(luò)訪問日志及對(duì)外服務(wù)網(wǎng)站進(jìn)行檢查和監(jiān)控,提高對(duì)網(wǎng)銀系統(tǒng)異常登陸行為的檢測(cè)和分析力度,對(duì)任何可疑或異常行為要進(jìn)行及時(shí)處置?！捕?nèi)控缺陷類案件1.建立和完善各項(xiàng)內(nèi)部規(guī)章制度,加強(qiáng)各項(xiàng)規(guī)章制度的執(zhí)行力度。要加強(qiáng)對(duì)重要業(yè)務(wù)憑證的管理,加強(qiáng)對(duì)應(yīng)用系統(tǒng)操作密碼的管理,特別要加強(qiáng)對(duì)業(yè)務(wù)操作層面〔特別是柜員號(hào)和密碼等重要風(fēng)險(xiǎn)環(huán)節(jié)制度落實(shí)情況的檢查,特別是定期和不定期對(duì)員工授權(quán)卡的使用情況進(jìn)行檢查,嚴(yán)肅處理不嚴(yán)格執(zhí)行規(guī)章制度的員工。2.積極排查應(yīng)用系統(tǒng)漏洞,完善系統(tǒng)的控制功能。要認(rèn)真梳理各業(yè)務(wù)和管理系統(tǒng)的業(yè)務(wù)流程,針對(duì)存在的業(yè)務(wù)授權(quán)等漏洞,從系統(tǒng)設(shè)計(jì)方面進(jìn)行完善,在程序中強(qiáng)化權(quán)限控制,落實(shí)職責(zé)分離原則,加強(qiáng)異常大額業(yè)務(wù)操作監(jiān)控,防范操作風(fēng)險(xiǎn)。3.加強(qiáng)對(duì)科技人員的管理。一是加強(qiáng)對(duì)科技人員登錄、修改和刪除數(shù)據(jù)的權(quán)限管理,防止非授權(quán)訪問；二是完善系統(tǒng)監(jiān)控和行為審計(jì)功能,做好系統(tǒng)維護(hù)行為的監(jiān)控和記錄；三是嚴(yán)格落實(shí)關(guān)鍵崗位職責(zé)中分離、重要操作雙人完成等制度的建立和執(zhí)行；四是加強(qiáng)生產(chǎn)重地的視頻監(jiān)控,及時(shí)發(fā)現(xiàn)可疑行為；五是加強(qiáng)外包管理,建立完整的業(yè)務(wù)外包風(fēng)險(xiǎn)評(píng)估與監(jiān)測(cè)程序,在外包合同中制訂有關(guān)客戶信息安全的保密條款；對(duì)外包人員進(jìn)出及操作實(shí)施有效的監(jiān)督與控制。4.加強(qiáng)對(duì)員工的法治和職業(yè)操守教育,增強(qiáng)員工法治觀念和風(fēng)險(xiǎn)意識(shí)。密切關(guān)注員工的思想動(dòng)態(tài),加強(qiáng)對(duì)關(guān)鍵崗位員工的管理、觀察和監(jiān)督,及時(shí)發(fā)現(xiàn)和處理不良思想苗頭和行動(dòng)。5.加強(qiáng)事后監(jiān)督工作,確保對(duì)業(yè)務(wù)的有效監(jiān)控和管理,堵塞風(fēng)險(xiǎn)漏洞?！踩灾O(shè)備類案件1.加強(qiáng)對(duì)自助設(shè)備安全管理。定期對(duì)自助設(shè)備及自助銀行進(jìn)行安全巡查,尤其要加大重點(diǎn)時(shí)段的巡查力度,檢查ATM及自助區(qū)是否被安裝微型攝像機(jī)、讀卡器等異物,出鈔口是否正常,是否有虛假告示。完善自助設(shè)備監(jiān)控設(shè)施,做到24小時(shí)實(shí)時(shí)視頻監(jiān)控,確保監(jiān)控范圍不留死角,監(jiān)控畫面清晰可辨。2.完善技術(shù)防范措施。對(duì)落后的自助設(shè)備進(jìn)行改造。充分評(píng)估以下措施的實(shí)際功效,根據(jù)自身實(shí)際情況選用,以保障客戶使用銀行卡的安全。比如,增加讀卡機(jī)防側(cè)錄裝置,取消自助服務(wù)區(qū)門禁刷卡,減少犯罪嫌疑人盜取客戶銀行卡信息的機(jī)會(huì)；對(duì)密碼鍵盤進(jìn)行改造,增加密碼鍵盤遮擋裝置,防止犯罪嫌疑人窺探密碼；積極開展銀行卡技術(shù)研發(fā),增強(qiáng)銀行卡的防偽和加密功能,加快推進(jìn)加密水平較高的帶芯片銀行卡的推廣和使用等。3.加強(qiáng)自助設(shè)備采購選型管理,對(duì)自助設(shè)備各項(xiàng)功能進(jìn)行全面測(cè)試,選擇質(zhì)量可靠,功能完善的自助設(shè)備產(chǎn)品。同時(shí),加強(qiáng)與自助設(shè)備廠商的溝通與協(xié)作,及時(shí)對(duì)自助設(shè)備進(jìn)行升級(jí)和改造,堵塞風(fēng)險(xiǎn)漏洞。4.加大自助設(shè)備宣傳和培訓(xùn)力度。通過組織自助設(shè)備管理人員對(duì)該類案件的學(xué)習(xí),提高防控能力。通過營(yíng)業(yè)網(wǎng)點(diǎn)、自助設(shè)備屏幕、手機(jī)短信等多種方式對(duì)持卡人進(jìn)行宣傳和培訓(xùn),使客戶不僅熟悉自助設(shè)備操作,還要熟悉自助設(shè)備"外形",一旦發(fā)現(xiàn)可疑情況,及時(shí)報(bào)告。建議客戶辦理存款短信提醒業(yè)務(wù),一旦發(fā)現(xiàn)自己銀行卡發(fā)生可疑業(yè)務(wù),在第一時(shí)間和銀行取得聯(lián)系,以便及時(shí)處置。5.加強(qiáng)客戶安全教育和風(fēng)險(xiǎn)提示,積極幫助客戶培養(yǎng)良好的密碼設(shè)置習(xí)慣和密碼保護(hù)意識(shí)。持卡人要妥善保管好個(gè)人的銀行卡及密碼；對(duì)來歷不明的短信或電話提高警惕,任何情形下都不要輕易向他人透露賬戶信息,更不能通過ATM機(jī)向不明賬戶轉(zhuǎn)賬；記住銀行客戶服務(wù)電話,如果接到可疑電話、短信、郵件、通知,可直接通過發(fā)卡銀行統(tǒng)一的客戶服務(wù)電話進(jìn)行確認(rèn)。6.加強(qiáng)與當(dāng)?shù)毓膊块T和相關(guān)部門的協(xié)調(diào),建立快速通報(bào)聯(lián)動(dòng)機(jī)制,發(fā)現(xiàn)異常情況和投訴及時(shí)報(bào)告,積極配合有關(guān)部門做好案件調(diào)查等工作。第一節(jié)網(wǎng)上銀行類案件篡改網(wǎng)銀交易數(shù)據(jù)盜取客戶資金危害指數(shù)★★★★★頻度指數(shù)★☆☆☆☆案例描述：2008年12月30日～2009年1月3日,犯罪嫌疑人通過本人及雇傭他人,在某銀行辦理借記卡并開通個(gè)人網(wǎng)銀業(yè)務(wù),以合法身份進(jìn)入該銀行大眾版網(wǎng)銀系統(tǒng),然后利用網(wǎng)絡(luò)下載的黑客軟件,對(duì)該銀行大眾版網(wǎng)銀系統(tǒng)進(jìn)行攻擊和破譯,發(fā)現(xiàn)漏洞后作案。犯罪嫌疑人首先通過所掌握的銀行卡卡號(hào)規(guī)律,猜測(cè)出一些銀行卡卡號(hào),然后不斷嘗試對(duì)本地計(jì)算機(jī)終端瀏覽器上運(yùn)行的個(gè)人網(wǎng)銀〔大眾版服務(wù)端送來的網(wǎng)頁代碼進(jìn)行數(shù)據(jù)篡改,將網(wǎng)頁代碼中"轉(zhuǎn)出賬號(hào)"數(shù)據(jù)改成所猜測(cè)的銀行卡卡號(hào)；當(dāng)篡改的客戶端數(shù)據(jù)發(fā)回網(wǎng)銀服務(wù)端后,由于該行服務(wù)端設(shè)計(jì)缺陷,沒有對(duì)"轉(zhuǎn)出賬號(hào)"進(jìn)行客戶銀行卡歸屬校驗(yàn),導(dǎo)致犯罪嫌疑人成功將猜出的銀行卡內(nèi)資金轉(zhuǎn)入其指定的銀行賬號(hào)內(nèi)。據(jù)統(tǒng)計(jì),犯罪嫌疑人發(fā)案期間嘗試攻擊次數(shù)171筆,通過轉(zhuǎn)賬盜取資金共計(jì)59筆,涉及客戶11名,累計(jì)金額12萬元。案例分析：分析上述案件,其關(guān)鍵因素如下。一是由于WEB瀏覽器存在安全缺陷,犯罪嫌疑人通過網(wǎng)上下載的黑客軟件,將個(gè)人網(wǎng)銀〔大眾版服務(wù)端送來的網(wǎng)頁代碼進(jìn)行了數(shù)據(jù)篡改,為其修改"轉(zhuǎn)入賬號(hào)"、"轉(zhuǎn)出賬號(hào)"、"轉(zhuǎn)賬金額"及"產(chǎn)品使用權(quán)限"等個(gè)人網(wǎng)銀客戶端交易數(shù)據(jù)提供了基礎(chǔ)環(huán)境；二是個(gè)人網(wǎng)銀〔大眾版服務(wù)端缺乏對(duì)客戶端數(shù)據(jù)進(jìn)行安全校驗(yàn)的措施,該銀行為了提高服務(wù)端的系統(tǒng)服務(wù)效率,甚至將有關(guān)認(rèn)證校驗(yàn)功能前置到不可信的客戶端,導(dǎo)致犯罪嫌疑人測(cè)試出個(gè)人網(wǎng)銀服務(wù)器端在轉(zhuǎn)賬交易流程中的缺陷漏洞,實(shí)現(xiàn)其非法盜取客戶資金的目的。利用內(nèi)嵌病毒郵件盜取客戶資金危害指數(shù)★★★★☆頻度指數(shù)★★★★★案例描述：2004年2月29日,某銀行接到一客戶投訴,稱其賬戶資金被非法盜取約5萬元。該行通過查詢網(wǎng)銀系統(tǒng)打印出客戶操作記錄,發(fā)現(xiàn)被盜資金是通過該行網(wǎng)銀系統(tǒng)普通版跨行轉(zhuǎn)賬到犯罪嫌疑人曾某名下賬戶。經(jīng)查實(shí),曾某承認(rèn)自己利用"廣外幽靈3.0”案例分析：經(jīng)查,犯罪嫌疑人利用病毒程序"廣外幽靈3.0”通過木馬盜取客戶資金之一危害指數(shù)★★★★☆頻度指數(shù)★★★★★案例描述：某銀行客戶蔡某,上網(wǎng)瀏覽了被犯罪嫌疑人白某植入木馬的網(wǎng)頁后,其電腦被自動(dòng)植入"灰鴿子"病毒程序。2007年1月,客戶蔡某賬戶資金被盜取16萬余元。案例分析：經(jīng)查,犯罪嫌疑人白某下載了"灰鴿子2006VIP破解版"〔以下簡(jiǎn)稱"灰鴿子"遠(yuǎn)程控制軟件后,用該軟件攻擊某網(wǎng)站,并在該網(wǎng)站網(wǎng)頁植入木馬。當(dāng)被害人蔡某訪問該網(wǎng)站,點(diǎn)擊內(nèi)嵌木馬的網(wǎng)頁后,其電腦即自動(dòng)下載并運(yùn)行木馬程序。隨后,犯罪嫌疑人白某通過"灰鴿子"程序遠(yuǎn)程控制被害人蔡某的電腦,竊取蔡某的銀行賬號(hào)、密碼及文件證書等,通過登錄網(wǎng)上銀行的方式盜取蔡某資金。目前多家銀行網(wǎng)銀采用數(shù)字證書的身份認(rèn)證方式,文件網(wǎng)銀數(shù)字證書盡管不容易被破解,但可以導(dǎo)出,存在被冒用或竊取的風(fēng)險(xiǎn)。通過木馬盜取客戶資金之二危害指數(shù)★★★★☆頻度指數(shù)★★★★★案例描述：某銀行3位客戶向銀行投訴,反映其賬戶資金被非法轉(zhuǎn)賬或被他人用于網(wǎng)上購物消費(fèi)造成損失。事情經(jīng)過如下：2008年1月24日～25日,客戶賴某賬戶資金被非法分筆轉(zhuǎn)走6000余元；2008年10月～2009年6月,客戶向某賬戶發(fā)生非本人網(wǎng)上消費(fèi)59筆,累計(jì)約3萬元；2009年9月16日～20日,客戶程某賬戶發(fā)生非本人網(wǎng)上消費(fèi)15筆,累計(jì)7000余元。上述3位客戶均已向公安部門報(bào)案。案例分析：上述案件尚未結(jié)案,在此只能分析其可能發(fā)生的原因?？蛻糍嚹场⒊棠秤芯W(wǎng)購經(jīng)歷。尤其是程某,在案件發(fā)生后3天,該行就發(fā)現(xiàn)其賬戶被其他曾經(jīng)盜用客戶網(wǎng)銀資金的可疑IP地址進(jìn)行了操作。因此這兩個(gè)客戶很可能是在網(wǎng)購時(shí)中了木馬病毒或者登錄了釣魚網(wǎng)站等情況下,泄露了自己的賬號(hào)和密碼等信息。而客戶向某提及有他人知道其賬戶密碼,因此有可能是向某平時(shí)保管賬戶和密碼不慎,造成泄密后發(fā)生賬戶資金被盜。遠(yuǎn)程操縱客戶計(jì)算機(jī)盜取資金危害指數(shù)★★★★☆頻度指數(shù)★★☆☆☆案例描述：2005年12月,某銀行客戶上班后于8時(shí)30分開機(jī),20分鐘后突然發(fā)現(xiàn)其計(jì)算機(jī)系統(tǒng)自動(dòng)顯示網(wǎng)銀轉(zhuǎn)賬畫面,鼠標(biāo)顯示被別人操縱,本人無法控制。該客戶立即撥通了某銀行服務(wù)電話,按照客服提示進(jìn)行了關(guān)機(jī)處理。12分鐘后,該客戶重新進(jìn)入系統(tǒng)查詢,發(fā)現(xiàn)賬戶資金被轉(zhuǎn)走近2萬元,隨即向公安部門報(bào)案。經(jīng)查,該客戶資金被轉(zhuǎn)至犯罪嫌疑人賬戶,并于當(dāng)日9時(shí)20分左右分兩筆取出。案例分析：客戶反映在案發(fā)的一個(gè)星期前操作計(jì)算機(jī)時(shí)曾有過異常現(xiàn)象,犯罪嫌疑人實(shí)際早已侵入其計(jì)算機(jī)系統(tǒng),并盜取該客戶的網(wǎng)銀賬號(hào)、密碼及文件網(wǎng)銀證書。隨后犯罪嫌疑人通過遠(yuǎn)程控制該客戶的計(jì)算機(jī)后使用網(wǎng)銀轉(zhuǎn)賬,導(dǎo)致該客戶賬戶資金被盜取。攻擊網(wǎng)站獲取客戶信息盜取資金危害指數(shù)★★★★☆頻度指數(shù)★★★☆☆案例描述：2004年11月12日,某銀行客戶張某取款時(shí)發(fā)現(xiàn)銀行卡密碼不對(duì),重新設(shè)定密碼后發(fā)現(xiàn)銀行卡內(nèi)近6000元被盜取。同年11月,客戶羅某、王某相繼向公安部門報(bào)案,反映其銀行借記卡的密碼被修改,并于2004年10月分別被轉(zhuǎn)出人民幣4000余元和近2000元。隨后,公安部門陸續(xù)接到多起類似報(bào)案。經(jīng)查,犯罪嫌疑韓某人非法盜取了85名銀行卡客戶信息,通過登錄銀行網(wǎng)站,開通其中30張銀行卡的網(wǎng)上銀行,以不同IP地址登錄網(wǎng)銀,修改銀行卡密碼。隨后利用盜用的客戶信息偽造身份證,開立借記卡,并將上述30張卡中部分資金轉(zhuǎn)移至該借記卡,盜取現(xiàn)金近2萬元。案例分析：犯罪嫌疑人韓某系某網(wǎng)吧的網(wǎng)絡(luò)管理員。2004年6月,韓某使用黑客軟件竊取某網(wǎng)站系統(tǒng)管理員用戶名和密碼,得以遠(yuǎn)程控制該網(wǎng)站。該網(wǎng)站是專業(yè)從事廣告業(yè)務(wù)的網(wǎng)站,客戶點(diǎn)擊該網(wǎng)站可獲得收入,但必須輸入點(diǎn)擊人的身份證號(hào)、銀行卡號(hào)等信息。韓某通過該網(wǎng)站獲得2萬多條包含姓名、身份證號(hào)碼、銀行卡號(hào)和所屬銀行名稱等信息的客戶資料,并使用自制程序破解密碼。竊取客戶網(wǎng)銀證書作案危害指數(shù)★★★☆☆頻度指數(shù)★★☆☆☆案例描述：2008年1月25日24時(shí),某銀行客戶葉某稱其個(gè)人銀行卡中的10萬余元,在20分鐘內(nèi)被人通過網(wǎng)銀分5次轉(zhuǎn)走,懷疑被盜。經(jīng)查,犯罪嫌疑人在異地通過兩臺(tái)ATM將資金盜取。案例分析：受害人葉某使用文件電子證書登錄網(wǎng)上銀行,并將該證書存貯于電腦中。半年前曾將電腦送修,犯罪嫌疑人在維修電腦時(shí)導(dǎo)出電子證書后,在其電腦內(nèi)安裝木馬程序盜取網(wǎng)銀密碼并作案。盜取同事賬戶作案危害指數(shù)★★★☆☆頻度指數(shù)★★☆☆☆案例描述：2008年3月～5月,某銀行10位客戶向該行及公安部門反映,其賬戶在網(wǎng)上多次被他人用于購物消費(fèi),累計(jì)共187筆,涉及資金7萬余元。案例分析：經(jīng)調(diào)查,上述10名客戶均是同一公司員工,該公司某財(cái)務(wù)人員利用職務(wù)之便,收集上述人員的身份證號(hào)、銀行賬號(hào)等個(gè)人資料。由于上述人員的賬戶密碼均由其出生日期組成,該財(cái)務(wù)人員輕易破解了10名受害客戶的密碼,并利用網(wǎng)上消費(fèi)盜取他人資金。利用假證件開通網(wǎng)上銀行作案危害指數(shù)★★★☆☆頻度指數(shù)★★★★☆案例描述：2006年2月上旬,犯罪嫌疑人梁某利用假身份證申請(qǐng)開通某銀行網(wǎng)上銀行,盜取一客戶賬戶資金15萬余元。經(jīng)查梁某作案手段及過程如下。2006年2月9日,梁某假冒客戶毛某在A支行開立銀行卡,并注冊(cè)個(gè)人網(wǎng)銀證書版；同日,梁某假冒客戶毛某在B支行開立銀行卡。2006年2月10日,梁某登錄某銀行網(wǎng)銀系統(tǒng),并將客戶毛某的賬戶下掛在其用假身份證開通的網(wǎng)銀證書版下,然后分兩筆分別轉(zhuǎn)入在A、B支行新開通的銀行卡中。同日梁某分別在其他支行ATM上將上述15萬余元取走。梁某通過以上操作,造成客戶毛某賬戶資金損失15萬余元。案例分析：據(jù)犯罪嫌疑人交待,獲取銀行客戶資料有兩種途徑：一是利用銀行借記卡在各地區(qū)發(fā)卡卡段規(guī)律,上網(wǎng)查找各地區(qū)卡段的卡號(hào),通過登錄銀行網(wǎng)站或電話銀行自助注冊(cè)等手段,通常使用123456、888888等簡(jiǎn)易密碼進(jìn)行測(cè)試,發(fā)現(xiàn)有吻合的卡號(hào)便開始作案；二是在網(wǎng)上購買客戶資料與密碼。通過上述辦法取得客戶銀行卡號(hào)與密碼后,在外地自助終端進(jìn)行異地匯款操作,套取出客戶姓名,然后上網(wǎng)購買該姓名客戶的身份證號(hào)碼,逐一核對(duì)確定客戶身份證號(hào)碼。犯罪嫌疑人利用上述兩種方式取得客戶姓名、卡號(hào)、密碼、身份證號(hào)碼之后,再制作假身份證,并持假身份證到銀行網(wǎng)點(diǎn)開卡及開通網(wǎng)銀證書版。隨后登錄銀行網(wǎng)站,通過網(wǎng)上銀行自助下掛卡功能,將被盜客戶借記卡添加到網(wǎng)上銀行,同時(shí)進(jìn)行同名賬戶轉(zhuǎn)賬,成功后到異地提取現(xiàn)金。嗅探網(wǎng)銀系統(tǒng)作案危害指數(shù)★★☆☆☆頻度指數(shù)★★★☆☆案例描述：2009年3月28日,某銀行計(jì)算機(jī)監(jiān)控系統(tǒng)發(fā)出告警信息,經(jīng)現(xiàn)場(chǎng)值守人員分析,發(fā)現(xiàn)有人嗅探其網(wǎng)銀系統(tǒng)。該行立即啟動(dòng)相關(guān)應(yīng)急預(yù)案,采取積極有效的措施,及時(shí)阻止該不法行為。隨后,公安部門介入迅速將犯罪嫌疑人緝拿。該事件沒有給該行和客戶造成損失。案例分析：犯罪嫌疑人利用網(wǎng)上銀行提供給普通用戶查詢賬戶余額的界面,通過假想的卡號(hào)和簡(jiǎn)單密碼,如111111、222222、333333、123456,不斷嗅探網(wǎng)銀系統(tǒng)。但由于網(wǎng)上銀行在安全設(shè)計(jì)時(shí)已考慮普通用戶版可能存在的惡意使用情況,采取較為嚴(yán)格的防范手段,成功阻止了該不法行為,確?？蛻糍Y金安全。非法破解用戶密碼作案危害指數(shù)★★☆☆☆頻度指數(shù)★★☆☆☆案例描述：2009年4月,非法攻擊者通過自己編寫的附加碼自動(dòng)識(shí)別程序,采用鎖定某一固定密碼反復(fù)輪詢卡號(hào)的方式,對(duì)某銀行網(wǎng)上銀行個(gè)人普通版進(jìn)行嘗試登錄,并獲取了該行網(wǎng)上銀行個(gè)人普通版200多個(gè)客戶銀行卡登錄信息。但該行銀行卡設(shè)置了磁道加密控制,攻擊者無法制造克隆卡,加之通過網(wǎng)上銀行進(jìn)行網(wǎng)銀轉(zhuǎn)賬須到柜臺(tái)簽約,故未對(duì)客戶造成資金損失。案例分析：此次攻擊采用了自動(dòng)程序識(shí)別網(wǎng)銀圖片附加碼和固定密碼反復(fù)輪詢卡號(hào)手段。各銀行網(wǎng)上銀行一般對(duì)同一卡賬號(hào)連續(xù)多次登錄密碼錯(cuò)誤進(jìn)行了控制,但一般很少會(huì)對(duì)"鎖定某一固定登錄密碼、更換卡號(hào)嘗試登錄"的攻擊方式進(jìn)行控制。目前各銀行卡號(hào)最后一位校驗(yàn)位的生成規(guī)則,基本按國(guó)標(biāo)通用標(biāo)準(zhǔn),依據(jù)規(guī)則可以生成銀行卡卡號(hào)文件,可以通過鎖定某一固定登錄密碼,輪詢銀行卡卡號(hào)文件嘗試登錄。案例1～11防范對(duì)策與建議：一、加強(qiáng)對(duì)客戶信息安全教育,培養(yǎng)客戶的安全意識(shí)和良好的計(jì)算機(jī)使用習(xí)慣?？蛻粼谏暾?qǐng)網(wǎng)銀業(yè)務(wù)時(shí),銀行應(yīng)充分告知相關(guān)風(fēng)險(xiǎn)。向客戶提示不法分子盜竊客戶資金的慣用手段和方法,引導(dǎo)客戶設(shè)置安全的用戶密碼,避免設(shè)置過于簡(jiǎn)單的密碼,給犯罪分子以可乘之機(jī)。同時(shí),引導(dǎo)客戶采取及時(shí)升級(jí)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁,安裝防病毒、防木馬軟件等多種方式,有效防范病毒和木馬的侵襲,保護(hù)客戶賬戶信息與網(wǎng)上資金交易的安全。二、嚴(yán)格執(zhí)行業(yè)務(wù)辦理中的客戶身份證件核查制度。對(duì)開戶、業(yè)務(wù)功能注冊(cè)、大額取款等重要業(yè)務(wù),必須嚴(yán)格按照與客戶簽訂的有關(guān)協(xié)議辦理。三、強(qiáng)化網(wǎng)銀客戶身份認(rèn)證,比如采取網(wǎng)銀硬件證書、動(dòng)態(tài)令牌、手機(jī)短信等更加安全的客戶認(rèn)證方式。應(yīng)充分評(píng)估和防范網(wǎng)銀文件證書存在的安全隱患,文件網(wǎng)銀數(shù)字證書盡管不容易被破解,但可以導(dǎo)出,存在被冒用和竊取的風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)可控的前提下,應(yīng)防范文件證書客戶辦理轉(zhuǎn)賬、網(wǎng)上支付等資金劃轉(zhuǎn)類業(yè)務(wù)的風(fēng)險(xiǎn)。四、加強(qiáng)針對(duì)門戶網(wǎng)站、網(wǎng)上銀行等面向互聯(lián)網(wǎng)應(yīng)用的信息系統(tǒng)的安全防護(hù)措施,提高安全防護(hù)水平。五、完善網(wǎng)銀交易驗(yàn)證流程,修補(bǔ)網(wǎng)銀安全漏洞。六、完善客戶對(duì)賬業(yè)務(wù)和余額變動(dòng)提醒等功能。以電子郵件、傳真、紙質(zhì)對(duì)賬單等形式,向客戶提供每筆或每月的賬戶對(duì)賬單,讓客戶隨時(shí)掌握賬戶內(nèi)資金流向。通過短信提醒等方式將客戶銀行卡存取現(xiàn)金、網(wǎng)上支付、POS消費(fèi)等情況及時(shí)通知客戶。七、建立有效的入侵監(jiān)控和報(bào)警機(jī)制。應(yīng)對(duì)網(wǎng)銀業(yè)務(wù)流程進(jìn)行風(fēng)險(xiǎn)分析,采取技術(shù)手段強(qiáng)化系統(tǒng)安全控制,如增加附加碼圖片噪點(diǎn),提高附加碼圖片破解復(fù)雜度等；在網(wǎng)上銀行后臺(tái)加入攻擊監(jiān)控和鎖定機(jī)制,對(duì)同一IP地址多次登錄網(wǎng)銀失敗的行為進(jìn)行預(yù)警,并對(duì)IP地址鎖定,禁止其再次登錄網(wǎng)上銀行；對(duì)鎖定固定密碼,更換卡號(hào)嘗試登錄的攻擊方式進(jìn)行控制等。定時(shí)對(duì)網(wǎng)上銀行交易、網(wǎng)絡(luò)訪問日志及對(duì)外服務(wù)網(wǎng)站進(jìn)行檢查和監(jiān)控,提高對(duì)網(wǎng)銀系統(tǒng)異常登陸行為的檢測(cè)和分析力度,對(duì)任何可疑或異常行為要進(jìn)行及時(shí)處置。第二節(jié)內(nèi)控缺陷類案件非法辦理存折配卡作案危害指數(shù)★★★★☆頻度指數(shù)★★☆☆☆案例描述：2005年3月,某銀行一分理處在自查中發(fā)現(xiàn),一柜員王某在辦理儲(chǔ)蓄卡制卡業(yè)務(wù)時(shí),表外付出憑證未附特殊業(yè)務(wù)申請(qǐng)書〔或領(lǐng)卡簽收單。經(jīng)查,王某于2004年12月～2005年1月期間,私自配卡11張,并對(duì)其中2張進(jìn)行了密碼掛失,利用業(yè)務(wù)繁忙時(shí)要求主管授權(quán),辦理了密碼重置業(yè)務(wù)〔系統(tǒng)此交易需A級(jí)柜員授權(quán)。據(jù)王某交代：當(dāng)客戶前來銀行辦理業(yè)務(wù)時(shí),在處理完正常交易業(yè)務(wù)后,王某會(huì)謊稱客戶存折磁條損壞,讓客戶以為還在辦理正常業(yè)務(wù),再次輸入密碼,而實(shí)際上王某已進(jìn)入系統(tǒng)的"存折配卡"交易操作〔因?yàn)?存折配卡"交易必須輸入客戶存折密碼后方可。以此騙得客戶輸入密碼后辦理了"存折配卡"業(yè)務(wù),私自對(duì)存折客戶配置了儲(chǔ)蓄卡,交易結(jié)束后打印的相關(guān)憑據(jù)也在日終流水換人勾對(duì)后銷毀,并將私配的儲(chǔ)蓄卡留下。2005年2月,王某利用其中一張戶名為林某的儲(chǔ)蓄卡分別在市區(qū)3個(gè)網(wǎng)點(diǎn)辦理取款業(yè)務(wù),共取人民幣12萬元。案例分析：此案件反映出：一是該行信息系統(tǒng)存在控制漏洞,在"密碼掛失"、"存折配卡"、"密碼重置"等環(huán)節(jié)缺乏有效的風(fēng)險(xiǎn)控制；二是該行內(nèi)部控制不到位,主管風(fēng)險(xiǎn)防范意識(shí)不強(qiáng),未認(rèn)真履行授權(quán)與審核職責(zé)。篡改系統(tǒng)數(shù)據(jù)虛開存單作案危害指數(shù)★★★★☆頻度指數(shù)★★★☆☆案例描述：2004年12月,某農(nóng)村信用合作聯(lián)社員工劉某,利用自身熟悉儲(chǔ)蓄微機(jī)操作的條件,趁其他工作人員暫時(shí)離崗的時(shí)機(jī),采取存入小額定期存款,空打存單的手段,套取空白存單。然后利用上班前或下班后其他工作人員不在崗時(shí),采取"數(shù)據(jù)恢復(fù)"的手段,將微機(jī)日期調(diào)整為需要的日期,進(jìn)入"日間業(yè)務(wù)"進(jìn)行偽造大額存單的實(shí)際操作,再利用"數(shù)據(jù)恢復(fù)"將數(shù)據(jù)恢復(fù)成正常的業(yè)務(wù)數(shù)據(jù)。最后,利用其他工作人員暫時(shí)離崗的機(jī)會(huì),在偽造的大額存單上加蓋儲(chǔ)蓄業(yè)務(wù)章和經(jīng)辦人員名章。采用該手段,劉某共虛開大額存單計(jì)13張,累計(jì)金額近400萬元,實(shí)際存單底賬金額為3000余元。之后,劉某伙同他人采取內(nèi)外勾聯(lián)、預(yù)先約定的方式,違反農(nóng)村信用社信用服務(wù)站無權(quán)出具質(zhì)押存單的止付手續(xù)等規(guī)定,乘其他工作人員忙于業(yè)務(wù)或休息之機(jī),由一人違規(guī)辦理存單的質(zhì)押貸款止付手續(xù),并出具存單止付證明。王某利用劉某開出的虛假存單,分別在一家銀行機(jī)構(gòu)和三家信用社辦理質(zhì)押貸款,質(zhì)押貸款金額近300萬元。案例分析：一、該聯(lián)社儲(chǔ)蓄業(yè)務(wù)計(jì)算機(jī)處理系統(tǒng)存在嚴(yán)重缺陷。如可以空打存單,系統(tǒng)數(shù)據(jù)恢復(fù)時(shí),缺乏安全控制或雙重控制等。二、該聯(lián)社對(duì)信用服務(wù)站儲(chǔ)蓄業(yè)務(wù)章、重要備份數(shù)據(jù)缺乏有效管理。三、該聯(lián)社網(wǎng)點(diǎn)的業(yè)務(wù)處理重地缺乏足夠的視頻監(jiān)控措施。篡改賬戶狀態(tài)非法結(jié)息作案危害指數(shù)★★☆☆☆頻度指數(shù)★★★☆☆案例描述：2006年2月28日,某銀行科技部門接到會(huì)計(jì)結(jié)算部反映：在檢查利息稅明細(xì)表時(shí)發(fā)現(xiàn)一個(gè)3年期定期存款賬戶在系統(tǒng)中以10天為一個(gè)周期,連續(xù)生成可疑定期利息資金。經(jīng)核查,發(fā)現(xiàn)該賬戶為某銀行3年期定期存款賬戶,但該賬戶已于2005年1月20日辦理了銷戶,而系統(tǒng)顯示該賬戶當(dāng)前狀態(tài)為"正常活動(dòng)",與實(shí)際情況不符。該行隨即采取措施止付異常賬戶。事后查明,該行科技部軟件開發(fā)人員韓某使用非法程序?qū)⒁呀?jīng)銷戶的個(gè)別卡活期存款賬戶和定期存款賬戶的狀態(tài)篡改為正常,利用賬務(wù)系統(tǒng)自動(dòng)轉(zhuǎn)存程序?qū)せ畹亩ㄆ谫~戶結(jié)息,并將轉(zhuǎn)存時(shí)產(chǎn)生的利息金額計(jì)入另外被修改賬戶狀態(tài)的活期存款賬戶中。最后,韓某使用偽造、變?cè)斓慕栌浛ㄍㄟ^自助設(shè)備非法盜取了賬戶內(nèi)的資金。案例分析：一、該行對(duì)重要系統(tǒng)源代碼管理不嚴(yán)格,缺乏有效保護(hù)措施,導(dǎo)致不法分子能夠輕易掌握重要系統(tǒng)代碼的技術(shù)細(xì)節(jié),開發(fā)出一些非法程序?qū)崿F(xiàn)非法功能。二、該行對(duì)生產(chǎn)系統(tǒng)訪問控制不嚴(yán)格,缺乏足夠的監(jiān)控和審計(jì),沒有及時(shí)發(fā)現(xiàn)賬戶異常變動(dòng)等情況,導(dǎo)致不法分子能夠?qū)ιa(chǎn)環(huán)境進(jìn)行非法變更操作,篡改賬戶狀態(tài),轉(zhuǎn)移賬戶資金。不法分子還利用從生產(chǎn)環(huán)境竊取的賬戶信息偽造借記卡,通過自助設(shè)備非法盜取資金。三、該行內(nèi)部控制制度存在薄弱環(huán)節(jié),對(duì)個(gè)別關(guān)鍵崗位工作人員的道德風(fēng)險(xiǎn)失察,導(dǎo)致操作風(fēng)險(xiǎn)的發(fā)生。篡改賬務(wù)數(shù)據(jù)盜取資金危害指數(shù)★★★☆☆頻度指數(shù)★★★★☆案件描述：2006年6月16日,某銀行某省分行業(yè)務(wù)處理中心運(yùn)行支持科周某利用職務(wù)之便,利用其本人持有的合法系統(tǒng)用戶進(jìn)入數(shù)據(jù)庫修改客戶數(shù)據(jù),為平賬又修改賬務(wù)數(shù)據(jù),將客戶賬上的資金轉(zhuǎn)移到其用假身份證開設(shè)的正常賬戶,再通過轉(zhuǎn)賬及取現(xiàn)手段盜取客戶存款60余萬元。案件分析：一、該行內(nèi)部運(yùn)行管理辦法存在缺陷,沒有按總行規(guī)定對(duì)數(shù)據(jù)庫注冊(cè)用戶的密碼實(shí)行分段設(shè)置,密碼由單人掌管,從而造成只要一個(gè)維護(hù)人員就可以對(duì)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)維護(hù)操作。同時(shí),該行未嚴(yán)格執(zhí)行生產(chǎn)數(shù)據(jù)操作處理過程中的雙人復(fù)核制度,對(duì)重要運(yùn)行維護(hù)行為缺乏事后審計(jì)。二、該行系統(tǒng)在數(shù)據(jù)庫表管理方面存在薄弱環(huán)節(jié),缺乏修改驗(yàn)證功能,不能就某個(gè)分戶余額異常變動(dòng)情況及時(shí)發(fā)出告警信息。利用綜合業(yè)務(wù)系統(tǒng)漏洞作案之一危害指數(shù)★★★★★頻度指數(shù)★★★☆☆案件描述：2004年11月25日、12月28日,某農(nóng)村信用合作聯(lián)社柜員張某,分別以他人名義存入1年定期存款500元。在辦理業(yè)務(wù)時(shí),張某只打印存款憑條,不打印存單,把兩張空白存單套出備用。同年12月,該聯(lián)社某開戶單位A辦理1000萬元定期轉(zhuǎn)存業(yè)務(wù),張某給該單位A開具700萬元1年定期存單時(shí),利用之前套出的空白存單和正常使用的存單套打,復(fù)制出日期、金額、戶名、賬號(hào)完全相同的定期存單,一張交給單位A,一張作報(bào)廢處理。隨后,張某又以該方式為單位A開具了300萬元1年定期存單一份。上述兩筆業(yè)務(wù)辦理后,張某立即將該兩筆業(yè)務(wù)做抹賬處理,并將作廢的定期存單留檔備查。2005年3月張某將上述1000萬資金相繼轉(zhuǎn)出并支取。2006年3月,兩筆存款到期后,張某再次用相同的手段套取定期存款單一份,給單位A出具1000萬元3個(gè)月定期存款單一份。2006年6月,單位A持到期的3個(gè)月定期存單到該聯(lián)社要求支取存款,張某被迫向聯(lián)社交待了挪用資金的案情。案件分析：一、綜合業(yè)務(wù)系統(tǒng)存在嚴(yán)重缺陷。一是可以空打存單；二是抹賬、取消業(yè)務(wù)、大額支出操作的控制不到位,對(duì)轉(zhuǎn)存業(yè)務(wù)授權(quán)金額未作限制和規(guī)定,修改交易隨意性較大；三是業(yè)務(wù)流程缺乏有效風(fēng)險(xiǎn)控制,缺乏必要的崗位分離。二、內(nèi)控制度執(zhí)行不到位,有章不循,違規(guī)操作。三、業(yè)務(wù)操作事后監(jiān)督不力,致使案發(fā)一年半后,因客戶支取存款時(shí)才被發(fā)現(xiàn)。利用綜合業(yè)務(wù)系統(tǒng)漏洞作案之二危害指數(shù)★★★☆☆頻度指數(shù)★★☆☆☆案例描述：2008年4月～5月,某農(nóng)村信用合作聯(lián)社員工張某利用該聯(lián)社綜合業(yè)務(wù)系統(tǒng)未設(shè)置柜員卡刷卡輸入功能這一系統(tǒng)缺陷,直接手工輸入柜員卡號(hào),同時(shí),竊取其他員工柜員卡密碼,采取隔日沖正交易等方式,挪用資金40萬元。案例分析：一、該聯(lián)社綜合業(yè)務(wù)系統(tǒng)存在功能缺陷,未設(shè)置柜員卡刷卡輸入功能,給犯罪嫌疑人作案帶來便利。二、該聯(lián)社工作人員柜員卡密碼設(shè)置和保管不嚴(yán)格,導(dǎo)致密碼被外人竊取。利用貸款業(yè)務(wù)系統(tǒng)缺陷作案危害指數(shù)★★★☆☆頻度指數(shù)★★☆☆☆案件描述：2005年2月1日,某銀行盡職檢查中心人員對(duì)某支行2000年～2005年1月期間發(fā)放的個(gè)人住房按揭、汽車消費(fèi)貸款等零售貸款業(yè)務(wù)進(jìn)行核對(duì),發(fā)現(xiàn)存在客戶賬戶異常。經(jīng)排查,該支行員工杜某為填補(bǔ)高額個(gè)人負(fù)債,利用客戶提前歸還消費(fèi)貸款之機(jī),在消費(fèi)信貸系統(tǒng)上先做正確還款客戶的結(jié)清交易,領(lǐng)出權(quán)證交還客戶后再做沖賬交易,將客戶提前還貸的資金挪為己用。案件分析：一、該行重要信息系統(tǒng)存在缺陷。零售貸款業(yè)務(wù)處理涉及會(huì)計(jì)系統(tǒng)、儲(chǔ)蓄系統(tǒng)和消費(fèi)信貸系統(tǒng),這3個(gè)系統(tǒng)相互獨(dú)立、分別操作,中間環(huán)節(jié)眾多,而系統(tǒng)設(shè)計(jì)時(shí)未充分考慮安全控制功能,導(dǎo)致存在較多風(fēng)險(xiǎn)漏洞。如系統(tǒng)自動(dòng)扣款中可實(shí)現(xiàn)"A的消費(fèi)貸款可以扣B的存款",扣款清單上沒有戶名,只有賬號(hào)、金額等問題。二、在零售消費(fèi)貸款業(yè)務(wù)操作時(shí),違反了消費(fèi)信貸系統(tǒng)操作中四級(jí)柜員必須與三級(jí)柜員分離、保證相互牽制的規(guī)定。該行零售業(yè)務(wù)部主任將其密碼告知杜某,導(dǎo)致杜某在消費(fèi)信貸系統(tǒng)中任意修改客戶資料,實(shí)施作案。三、事后監(jiān)督不力,致使杜某連續(xù)作案5年后才被發(fā)現(xiàn)。利用儲(chǔ)蓄業(yè)務(wù)系統(tǒng)漏洞作案危害指數(shù)★★★★☆頻度指數(shù)★★☆☆☆案件描述：2004年12月20日～2006年5月10日,某農(nóng)村信用合作聯(lián)社員工,利用該聯(lián)社儲(chǔ)蓄業(yè)務(wù)系統(tǒng)轉(zhuǎn)賬存款業(yè)務(wù)自動(dòng)軋平的功能,先為作案賬戶轉(zhuǎn)賬虛存大額資金,然后撕毀轉(zhuǎn)賬憑證和當(dāng)日電腦科目日結(jié)單,偽造會(huì)計(jì)記總賬憑證,再勾結(jié)他人支取憑空虛存的存款,從12個(gè)活期儲(chǔ)蓄存款賬戶中盜取資金230余萬元。案件分析：一、內(nèi)控制度落實(shí)不到位,檢查工作力度不足,相互監(jiān)督制約不夠。二、信息系統(tǒng)存在漏洞。該聯(lián)社原儲(chǔ)蓄業(yè)務(wù)系統(tǒng)存在轉(zhuǎn)賬存款業(yè)務(wù)自動(dòng)軋平的缺陷,存在較大的風(fēng)險(xiǎn)漏洞。盜用他人柜員密碼掛失存單作案危害指數(shù)★★★★★頻度指數(shù)★★★★☆案例描述：2005年12月,某銀行儲(chǔ)蓄負(fù)責(zé)人盜取同事柜員號(hào)和密碼,并利用其具有儲(chǔ)蓄負(fù)責(zé)人授權(quán)權(quán)限的便利,在系統(tǒng)中對(duì)一筆約800萬元人民幣的定期存款進(jìn)行了密碼掛失,并通過重置密碼交易取得了定期存單的密碼。然后,勾結(jié)社會(huì)人員利用重置的密碼辦理了存單掛失交易,7天后取得重置的存單。最后,辦理提前支取交易,將存款本息800余萬元轉(zhuǎn)至其他賬戶后據(jù)為已有。案例分析：這一案件反映了該銀行基層網(wǎng)點(diǎn)在內(nèi)控管理上存在一定漏洞：一是業(yè)務(wù)系統(tǒng)在"密碼掛失"、"密碼重置"、"存單掛失"流程缺乏有效的控制措施；二是網(wǎng)點(diǎn)員工未按規(guī)定妥善保管好自己的柜員號(hào)密碼和授權(quán)卡；三是辦理"存單掛失"業(yè)務(wù)的網(wǎng)點(diǎn)違規(guī)操作,沒有認(rèn)真核對(duì)相關(guān)證件。盜取他人柜員密碼空存資金作案危害指數(shù)★★★★★頻度指數(shù)★★★★☆案例描述：2006年12月,某縣農(nóng)村信用合作聯(lián)社工作人員郭某盜取本社綜合業(yè)務(wù)系統(tǒng)操作員李某的柜員號(hào)和操作密碼,勾結(jié)社會(huì)人員李某,在非營(yíng)業(yè)時(shí)間翻窗入室,在系統(tǒng)中空存資金約200萬元后,李某支取現(xiàn)金60余萬元,分給郭某25萬元后攜款潛逃。案發(fā)后,追回資金180余萬元,形成損失約11萬元。案例分析：該案反映出：一是密碼設(shè)置管理不到位。綜合業(yè)務(wù)系統(tǒng)操作員沒有按照規(guī)定設(shè)置操作密碼,操作密碼過于簡(jiǎn)單,而且密碼保密不到位,被犯罪嫌疑人獲取。二是安防設(shè)施修復(fù)不及時(shí)。案發(fā)前,該聯(lián)社機(jī)關(guān)部分紅外線監(jiān)控器線頭被人拉斷,監(jiān)控設(shè)施主機(jī)電源開關(guān)燒壞,而安保部門沒有及時(shí)進(jìn)行維修,導(dǎo)致犯罪嫌疑人翻窗入室作案時(shí)安全設(shè)施沒有報(bào)警。盜用他人柜員密碼虛列利息支出作案危害指數(shù)★★★★☆頻度指數(shù)★★★★☆案例描述：2008年5月某日,某銀行客戶經(jīng)理助理鄧某盜用他人柜員號(hào)和密碼,在會(huì)計(jì)系統(tǒng)中虛列一筆約40萬元的單位定期存款利息支出,并轉(zhuǎn)入利用同事關(guān)系事先開立的假名儲(chǔ)蓄賬戶中,于2008年5月～7月分8次全部提取現(xiàn)金。期間,鄧某盜取同事的柜員號(hào)和密碼,利用中午休息時(shí)間4次進(jìn)入會(huì)計(jì)系統(tǒng)利用過渡科目調(diào)賬,掩蓋犯罪事實(shí)。案例分析：一、沒有認(rèn)真落實(shí)柜員管理制度。密碼保護(hù)不嚴(yán),且沒有按照規(guī)定定期更換柜員密碼,致使作案人能夠盜取柜員密碼且在長(zhǎng)達(dá)一個(gè)半月的時(shí)間內(nèi)順利進(jìn)入業(yè)務(wù)系統(tǒng)辦理業(yè)務(wù)。二、該支行授權(quán)、復(fù)核控制不力。因?yàn)樽靼溉讼祪?nèi)部員工,業(yè)務(wù)知識(shí)比較全面,授權(quán)、復(fù)核人員對(duì)其過分信賴,對(duì)業(yè)務(wù)票據(jù)真實(shí)性延伸審核把關(guān)不嚴(yán),給作案人可乘之機(jī)。三、事后監(jiān)督履職不到位。事后監(jiān)督在檢查過程中對(duì)可疑交易缺乏敏感性,沒有針對(duì)大額、可疑交易和高風(fēng)險(xiǎn)業(yè)務(wù)的交易過程和資金流動(dòng)軌跡進(jìn)行跟蹤核實(shí),導(dǎo)致監(jiān)督作用缺失。盜用系統(tǒng)權(quán)限冒名貸款作案危害指數(shù)★★★★★頻度指數(shù)★★☆☆☆案例描述：某銀行一支行業(yè)務(wù)部客戶經(jīng)理?xiàng)钅?盜取同支行業(yè)務(wù)部其他員工信貸管理系統(tǒng)操作員號(hào)和密碼,并利用工作之便,復(fù)印客戶身份證復(fù)印件,冒名虛假貸款,并冒名〔以代理方式開立貸款人銀行卡,通過柜臺(tái)或ATM等方式轉(zhuǎn)移贓款用于其購車消費(fèi)等,涉案金額1900余萬元。案例分析：該案件反映出：一是該行信貸管理系統(tǒng)存在風(fēng)險(xiǎn)漏洞,業(yè)務(wù)系統(tǒng)在辦理貸款、發(fā)放貸款流程缺乏審核機(jī)制等有效安全控制；二是內(nèi)控制度執(zhí)行不嚴(yán),形同虛設(shè),在辦理貸款、發(fā)放貸款、開立貸款人銀行卡、領(lǐng)取銀行卡等重要環(huán)節(jié),相關(guān)人員審核不到位,給犯罪分子可乘之機(jī)；三是員工風(fēng)險(xiǎn)意識(shí)薄弱,操作員號(hào)和密碼隨意保管不嚴(yán)以致被盜用；四是事后監(jiān)督不力,該行審計(jì)部門對(duì)業(yè)務(wù)流程缺乏有效的審計(jì)和監(jiān)督。偽裝外包人員混入銀行營(yíng)業(yè)室作案危害指數(shù)★★☆☆☆頻度指數(shù)★★★★☆案例描述：2010年2月5日16時(shí)30分左右,一男子自稱受公司委派維修打印機(jī),要求進(jìn)入某銀行網(wǎng)點(diǎn)營(yíng)業(yè)室。經(jīng)安全保衛(wèi)巡查人員核查,發(fā)現(xiàn)該青年偽裝為維修人員企圖混入營(yíng)業(yè)室作案,經(jīng)公安部門確認(rèn),該男子已在另一銀行營(yíng)業(yè)網(wǎng)點(diǎn)假冒維修人員盜竊現(xiàn)金10萬元。案例分析：由于目前銀行電子設(shè)備維修多采用外包形式,而外包公司人員經(jīng)常變動(dòng),銀行如果缺乏嚴(yán)格的管理措施,就可能給不法分子留下可乘之機(jī)。利用外包管理漏洞盜取客戶信息作案危害指數(shù)★★★★☆頻度指數(shù)★★☆☆☆案例描述：2009年5月27日,某銀行外包人員張某在上門維護(hù)ATM機(jī)監(jiān)控系統(tǒng)時(shí),通過終端機(jī)將服務(wù)器存有客戶信息的數(shù)據(jù)庫設(shè)置為共享狀態(tài),在終端機(jī)上操作數(shù)據(jù)庫,趁該行陪同人員不注意,用U盤拷取數(shù)據(jù)庫中的客戶信息?？截愡^程約5分鐘,估算約十幾萬條記錄,拷出的數(shù)據(jù)信息主要有卡號(hào)、卡有效期、CVV等,其中CVV為磁條安全驗(yàn)證碼,是制卡的關(guān)鍵性安全認(rèn)證信息。張某隨后利用竊取的信息偽造銀行卡,通過猜測(cè)銀行卡密碼,在ATM機(jī)上竊取持卡人資金。經(jīng)查,張某共偽造銀行卡10張,竊取人民幣近10萬元。案例分析：該行在外包管理上存在的主要問題和漏洞如下。一、對(duì)客戶信息保護(hù)重視不夠,對(duì)外包公司人員服務(wù)過程中能接觸到客戶銀行卡信息數(shù)據(jù)的情況缺乏有效控制措施。二、對(duì)外包公司審查不足。對(duì)外包公司經(jīng)營(yíng)的合法性、資質(zhì)的有效性、系統(tǒng)維護(hù)人員的職業(yè)操守等,未進(jìn)行深入、細(xì)致地了解和評(píng)估。外包合同條款未涉及安全、保密的責(zé)任與義務(wù),也未簽訂單獨(dú)的安全保密協(xié)議,對(duì)公司委派的系統(tǒng)維護(hù)人員也未提出安全、保密等相關(guān)要求。三、對(duì)長(zhǎng)期合作的外包公司盲目信任,將系統(tǒng)開發(fā)、軟件安裝、硬件設(shè)備配備、系統(tǒng)升級(jí)改造及運(yùn)行維護(hù)等所有工作全部外包,但對(duì)外包公司的工作情況和工作質(zhì)量疏于監(jiān)督,對(duì)外包人員服務(wù)狀況的監(jiān)督流于形式,沒有在技術(shù)上和管理上對(duì)外包人員采取全過程的有效監(jiān)控。編制非法程序竊取客戶信息作案危害指數(shù)★★★★☆頻度指數(shù)★★★★☆案例描述：2003年12月,某銀行陸續(xù)接到客戶投訴,反映其信用卡內(nèi)資金被盜取。該行與當(dāng)?shù)毓膊块T配合,于2004年2月5日抓獲犯罪嫌疑人——該行信息科技部員工康某。經(jīng)審訊,康某交代了其利用所掌握的計(jì)算機(jī)技術(shù)手段,編制非法程序竊取銀行客戶密碼,并通過制作偽卡,盜取客戶資金約9萬元的犯罪事實(shí)。案例分析：這一案件暴露出該銀行在員工教育、信息系統(tǒng)開發(fā)管理方面存在的漏洞,使得犯罪嫌疑人能夠利用其在銀行信息科技部從事自助終端項(xiàng)目研發(fā)的便利,編制盜碼程序,截取客戶密碼,事后制作偽卡,然后在監(jiān)控設(shè)施比較差的ATM上提取現(xiàn)金。盜取客戶信息篡改數(shù)據(jù)庫作案危害指數(shù)★★★☆☆頻度指數(shù)★★★★☆案