金融網(wǎng)絡(luò)欺詐大調(diào)查：銀行無一不撇清責(zé)任

　　數(shù)月以來，假冒網(wǎng)銀、釣魚網(wǎng)站竊取客戶資料及密碼導(dǎo)致儲(chǔ)蓄賬戶資金被盜案件時(shí)有發(fā)生。

　　商業(yè)銀行對(duì)存款人賬戶資金安全的保護(hù)能力受質(zhì)疑。

　　“釣魚網(wǎng)站等欺詐交易的發(fā)生，雖不能說明銀行的系統(tǒng)安全機(jī)制已被犯罪分子攻破，但這反映出國(guó)內(nèi)銀行在欺詐交易風(fēng)險(xiǎn)管理上，存在著一定的真空地帶?！蹦彻煞葜沏y行電子銀行部一位人士受訪時(shí)指出，任何銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理均分為事前、事中、事后階段，至少在事前監(jiān)測(cè)階段，我們做得是不夠的。

　　國(guó)外的銀行可以運(yùn)用一些技術(shù)手段做到事前發(fā)現(xiàn)可疑，事中進(jìn)行阻斷。

　　而我們的有些銀行是靠事后，大多數(shù)都是客戶報(bào)案了才知道。這是一個(gè)問題。

　　1.“欺詐交易”案發(fā)

　　近年來，國(guó)內(nèi)銀行卡、特別是信用卡業(yè)務(wù)的發(fā)展非常迅速。目前信用卡總量已達(dá)到2.1億張，2010年信用卡交易量達(dá)5.1萬億元，其中消費(fèi)金額2.7萬億元。

　　業(yè)務(wù)雖高歌猛進(jìn)，有些銀行卡欺詐交易的風(fēng)險(xiǎn)防范意識(shí)卻甚為薄弱。銀行卡欺詐交易的威脅日益嚴(yán)峻。

　　2009年，國(guó)內(nèi)信用卡產(chǎn)業(yè)已形成損失的欺詐交易金額1.74億元，同比增長(zhǎng)5.10%，而據(jù)業(yè)內(nèi)人士估計(jì)，2010年比2009年至少翻了一番。

　　隨著信用卡的普及、受理環(huán)境的改善，信用卡的欺詐時(shí)有涌現(xiàn)。

　　費(fèi)埃哲信息技術(shù)(北京)有限公司副總裁陳建分析稱，一方面，隨著卡市場(chǎng)的發(fā)展，這種欺詐變得非常有利可圖，另一方面，欺詐總是傾向于攻擊薄弱的環(huán)節(jié)。

　　“在欺詐防范的技術(shù)手段上初級(jí)，風(fēng)險(xiǎn)防范的意識(shí)薄弱。

　　因而欺詐非常容易得逞，欺詐的規(guī)?；l(fā)展成為一個(gè)趨勢(shì)?！彼f。

　　欺詐風(fēng)險(xiǎn)屬操作風(fēng)險(xiǎn)范疇?？v觀已發(fā)生的欺詐行為，如信用卡套現(xiàn)、盜卡、偽造卡、釣魚網(wǎng)站等網(wǎng)上支付詐騙等，欺詐犯罪手段并不高明，受害者之中也不乏高學(xué)歷、高智商的人群。當(dāng)欺詐交易發(fā)生時(shí)，指責(zé)客戶風(fēng)險(xiǎn)防范意識(shí)的不足多有失公允，更需銀行反省自身，其反欺詐管理是否在意識(shí)、技術(shù)和機(jī)制上存在漏洞和不足。

　　陳建表示，近來各種欺詐案件頻發(fā)，中國(guó)的商業(yè)銀行對(duì)欺詐交易風(fēng)險(xiǎn)管理已經(jīng)有所認(rèn)識(shí)，但在具體操作上還需強(qiáng)化。

　　通常欺詐交易風(fēng)險(xiǎn)管理體系只有最基本的解決方案，即在案件發(fā)生后，經(jīng)客戶舉報(bào)、投訴方才進(jìn)行案件跟蹤以及客戶關(guān)系處理。

　　“但是，欺詐交易風(fēng)險(xiǎn)管理最重要的環(huán)節(jié)是事前的監(jiān)測(cè)和識(shí)別，因?yàn)榘讣l(fā)生時(shí)，損失已經(jīng)造成，并且對(duì)資金的追索、案件的偵破不僅成本巨大，而且難以完成?！标惤ㄕf。

　　銀行可以事先有更多作為。比如通過建立模型來分析和發(fā)現(xiàn)欺詐行為，從而在不增加存款持有量的情況下改善客戶關(guān)系，而不僅僅只是對(duì)客戶做風(fēng)險(xiǎn)教育及提示。

　　一位接受訪問的國(guó)有銀行電子銀行部負(fù)責(zé)人指出，銀行有責(zé)任主動(dòng)發(fā)現(xiàn)釣魚網(wǎng)站的存在，然后及時(shí)提醒客戶去防范，并協(xié)調(diào)相關(guān)部門關(guān)閉這個(gè)釣魚網(wǎng)站，“這方面銀行還是有很多改進(jìn)空間”。

　　簡(jiǎn)而言之，即建立一種預(yù)測(cè)模型，通過對(duì)歷史交易數(shù)據(jù)、欺詐活動(dòng)、持卡人信息的技術(shù)分析，來說明賬戶存在欺詐交易行為的可能性。

　　此外，具體交易中，銀行也可以通過一些輔助手段來幫助客戶控制風(fēng)險(xiǎn)。

　　“比如對(duì)網(wǎng)銀交易設(shè)置更靈活的額度或降低單筆轉(zhuǎn)賬金額；比如一筆交易操作完成后，銀行在資金轉(zhuǎn)移出去之前，通過客服短信告知客戶；針對(duì)金額較大、或者較可疑的轉(zhuǎn)賬行為，還可以讓客服中心人工進(jìn)行交易確認(rèn)?！痹撊耸勘硎?。

　　欺詐交易事前監(jiān)測(cè)與識(shí)別十分必要。

　　從國(guó)際上的經(jīng)驗(yàn)來講，幾乎主要的發(fā)卡銀行，都采用基于神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)以及大批量實(shí)時(shí)處理的IT手段，來進(jìn)行實(shí)時(shí)的精確的反欺詐，特別是反申請(qǐng)欺詐和交易欺詐。

　　2.銀行“無過錯(cuò)論”？ 

　　在已發(fā)生的多起欺詐交易中，銀行無一不撇清責(zé)任，如何看待銀行的“無過錯(cuò)論”？

　　接受采訪的一位股份制銀行電子銀行部人士認(rèn)為，通過釣魚網(wǎng)站等方式發(fā)生的欺詐交易，確實(shí)跟銀行的IT系統(tǒng)技術(shù)本身沒有關(guān)系，不過，事件的蔓延與升級(jí)，是銀行風(fēng)險(xiǎn)管理意識(shí)薄弱的體現(xiàn)。

　　他認(rèn)為，相對(duì)于銀行卡市場(chǎng)份額、交易規(guī)模的迅速擴(kuò)大，風(fēng)險(xiǎn)防范和服務(wù)手段卻并未跟上?！斑^于注重做功能，而比較忽視客戶服務(wù)和風(fēng)險(xiǎn)防范?！?/p>

　　一位國(guó)有銀行科技部人士透露，工、農(nóng)、中、建四大行目前在IT上的投入超過10億元，而一家資產(chǎn)規(guī)模在1萬億以上的中小股份制商業(yè)銀行，其每年的IT資金投入也高達(dá)2億，且逐年遞增。

　　“IT投入不僅是在新項(xiàng)目建設(shè)上，更大的投入在于老系統(tǒng)的維護(hù)費(fèi)用，所以，每年的IT投入資金量都是大幅遞增的。”該人士指出。

　　只要在風(fēng)險(xiǎn)控制上多做一小步，就可以為客戶挽回大量損失，然有些銀行卻惜步于此。為何銀行不向前再邁出一步？

　　接受采訪的多名人士稱，根源在于當(dāng)前靠規(guī)模發(fā)展模式下，銀行重增速輕風(fēng)險(xiǎn)，重短期輕遠(yuǎn)期，重大客戶輕普通儲(chǔ)蓄存款人的思維模式。

　　無論是技術(shù)還是服務(wù)層面，任何一項(xiàng)風(fēng)險(xiǎn)管理措施都需要付出成本，而欺詐交易產(chǎn)生的直接損失對(duì)于銀行而言可能并不嚴(yán)重。上述國(guó)有銀行人士表示，“欺詐交易發(fā)生時(shí)造成的損失，對(duì)銀行而言主要是品牌聲譽(yù)受影響，也即間接損失，而資金的直接損失是客戶來承擔(dān)?！?/p>

　　不過，國(guó)內(nèi)銀行對(duì)品牌價(jià)值及聲譽(yù)的重視，在同質(zhì)化競(jìng)爭(zhēng)中驅(qū)動(dòng)力明顯不足。

　　陳建指出，在美國(guó)，通常盜卡、偽造卡等信用卡欺詐交易帶來的損失百分之百由銀行來承擔(dān)，而中國(guó)還沒有普遍采納這一規(guī)則，“僅僅只在一定時(shí)效內(nèi)承擔(dān)損失”。

　　在有些商業(yè)銀行的“無責(zé)論”下，客戶的被騙資金追索及賠付工作十分困難?！搬槍?duì)釣魚網(wǎng)站等欺詐交易的客戶投訴，銀行一般是拒不賠付?！鄙鲜鰢?guó)有銀行人士指出，除非經(jīng)公安機(jī)關(guān)偵查破案后，從犯罪分子那取回被騙資金。

　　不過，一個(gè)普通的存款人，其重要性對(duì)于銀行而言，是不是就可以忽視？在利率市場(chǎng)化改革的進(jìn)程中，商業(yè)銀行需要重新思考這一命題。

　　“國(guó)內(nèi)的銀行業(yè)如果現(xiàn)在不高度重視，并且采取果斷的措施建立行之有效的反欺詐手段，那么將來的風(fēng)險(xiǎn)非常大?！标惤ū硎?。

　　然而，國(guó)際上成熟的反欺詐經(jīng)驗(yàn)?zāi)芊襁m應(yīng)中國(guó)市場(chǎng)，卻值得商榷。

　　上述國(guó)有銀行人士稱，國(guó)際上一些反欺詐的IT技術(shù)確實(shí)對(duì)欺詐風(fēng)險(xiǎn)控制有極大的促進(jìn)作用。但任何模型建立的基礎(chǔ)是有大量歷史數(shù)據(jù)積累，通過海量數(shù)據(jù)及科學(xué)的模型才能得出結(jié)論。而中國(guó)信用卡市場(chǎng)的發(fā)展時(shí)間尚短，全行數(shù)據(jù)大集中也就最近幾年，有的銀行甚至數(shù)據(jù)大集中都未實(shí)現(xiàn)，模型的效果可想而知。

　　目前國(guó)內(nèi)銀行中，工行的數(shù)據(jù)大集中開始得最早，始于1999年9月1日，其它多數(shù)大中型商業(yè)銀行僅僅是從最近四五年才開始做數(shù)據(jù)集中。

　　另外，即使數(shù)據(jù)實(shí)現(xiàn)集中，如何進(jìn)行有效的IT系統(tǒng)管理也會(huì)成為制約因素。

　　目前國(guó)內(nèi)銀行IT系統(tǒng)管理水平參差不齊。“比如機(jī)構(gòu)設(shè)置，有科技部、IT藍(lán)圖辦公室、開發(fā)中心、測(cè)試中心、信息中心等等，相互之間的隸屬關(guān)系、工作職責(zé)、匯報(bào)條線，都是不清晰，沒有一個(gè)總體的協(xié)調(diào)?！痹撊耸恐赋?。

　　不過，國(guó)際上經(jīng)二十年時(shí)間驗(yàn)證、行之有效的反欺詐交易管理模型，也不能通過分析每筆授權(quán)交易，準(zhǔn)確預(yù)測(cè)識(shí)別出每一筆欺詐交易行為，更加不能保證，每一筆被識(shí)別和阻斷的欺詐交易都沒有被誤判。

　　并且，有時(shí)候一筆“誤判”帶來的銀行信譽(yù)損失，甚至超過欺詐交易發(fā)生帶來的損失。可能為了抓住一筆欺詐交易，而妨礙上千個(gè)持卡人的使用體驗(yàn)，這是銀行必須要考慮的隱性成本。

　　“技術(shù)模型對(duì)中國(guó)的銀行效果如何，一方面要看銀行的數(shù)據(jù)健全程度，另一方面要看這個(gè)銀行能承受多大的誤判。”陳建指出，“再精密、高端的技術(shù)模型也是有誤判的，誤判率就是欺詐交易風(fēng)險(xiǎn)管理的成本?！?/p>

　　因而，國(guó)際反欺詐的模型在中國(guó)市場(chǎng)上推廣時(shí)，并非直接應(yīng)用成型的模型，而是將技術(shù)分析手段和經(jīng)驗(yàn)引入國(guó)內(nèi)。更重要的是，國(guó)內(nèi)銀行反欺詐風(fēng)險(xiǎn)管理的意識(shí)需要強(qiáng)化，主動(dòng)發(fā)現(xiàn)更多欺詐交易。

　　3.反欺詐管理困境 

　　但商業(yè)銀行也有自己的苦衷。一方面“釣魚網(wǎng)站”較多，防不勝防，另一方面，即使事后及時(shí)采取措施，操作起來也面臨多方困境。

　　近年來的欺詐交易正向團(tuán)體作案方向演變。犯罪團(tuán)伙從通過釣魚網(wǎng)站盜取客戶賬號(hào)、密碼，轉(zhuǎn)賬，分賬到各地多個(gè)賬戶，取現(xiàn)，基本上幾分鐘，最多十幾分鐘內(nèi)就可完成。

　　為有效防范釣魚事件，網(wǎng)絡(luò)安全升級(jí)刻不容緩。至2010年11月底，中國(guó)反釣魚網(wǎng)站聯(lián)盟秘書處累計(jì)認(rèn)定并處理的釣魚網(wǎng)站達(dá)32496個(gè)，其中，2010年1－11月，累計(jì)認(rèn)定并處理釣魚網(wǎng)站20570個(gè)，較去年同期大幅上漲136%。

　　一家深受“釣魚網(wǎng)站”所擾的股份制銀行電子銀行部人士表示，假冒該行官網(wǎng)的網(wǎng)站已經(jīng)有接近100個(gè)，且“此關(guān)彼出，防不勝防”。

　　他們一旦發(fā)現(xiàn)就立刻與公安部門聯(lián)系，關(guān)閉釣魚網(wǎng)站。網(wǎng)站注冊(cè)地和服務(wù)器在國(guó)內(nèi)的一般當(dāng)天即能關(guān)掉，若注冊(cè)地和服務(wù)器在國(guó)外，公安機(jī)關(guān)需要協(xié)調(diào)中國(guó)電信部門將其屏蔽，過程需要三四天?？煞缸锓肿油ㄟ^釣魚網(wǎng)站竊取賬戶信息只需要一分鐘時(shí)間，從釣魚到取現(xiàn)整個(gè)交易過程也不過十幾分鐘，此時(shí)損失已經(jīng)發(fā)生了?！瓣P(guān)閉網(wǎng)站只能做到不讓后面更多的客戶受騙。”他說。

　　“釣魚網(wǎng)站”的監(jiān)測(cè)治理，顯然不能單憑商業(yè)銀行一己之力可為。

　　上述人士認(rèn)為，網(wǎng)站的注冊(cè)成本極低，負(fù)責(zé)域名注冊(cè)的有關(guān)部門應(yīng)該提示注冊(cè)者提供身份驗(yàn)證、資質(zhì)證明及有無犯罪記錄證明。

　　“保護(hù)金融客戶的利益，維護(hù)網(wǎng)絡(luò)信息安全，是多個(gè)部門的共同職責(zé)，不能只讓銀行去做，銀行也做不了。應(yīng)該調(diào)動(dòng)全社會(huì)各種資源的力量，來共同做這個(gè)事?！彼f。

　　此外，銀行面臨的尷尬還有，即使明知交易可疑，從法律層面而言，也無法在犯罪分子取現(xiàn)之前，將涉嫌欺詐交易的各個(gè)分賬戶凍結(jié)以保障存款人資金安全。

　　一位國(guó)有銀行人士解釋說，凍結(jié)賬戶需要法院的凍結(jié)書，只要該筆業(yè)務(wù)程序合法，銀行并無權(quán)力私自凍結(jié)賬戶。

　　第三方支付公司也面臨同樣的困境。匯付天下有限公司合規(guī)部人士受訪時(shí)表示，由于騙子發(fā)起的是真實(shí)訂單，支付公司系統(tǒng)處理成功后，就需要給商戶付款；支付公司能做的是將這筆訂單的去向告知客戶，協(xié)助警方追查；但因?yàn)榉梢?guī)定，系統(tǒng)處理成功即需付款，不能凍結(jié)該筆資金，否則支付公司就違反了商業(yè)合同。

　　匯付天下合規(guī)部人士認(rèn)為，對(duì)于網(wǎng)上欺詐行為，公安部門應(yīng)加強(qiáng)介入，給予更多支持。

　　亡羊補(bǔ)牢，未為晚也。各種欺詐交易的集中爆發(fā)，促進(jìn)了商業(yè)銀行風(fēng)險(xiǎn)防范意識(shí)的增強(qiáng)。

　　中行釣魚事件后，在網(wǎng)銀交易安全上增設(shè)了一道保障機(jī)制，即推出手機(jī)交易碼認(rèn)證，個(gè)人客戶通過中行網(wǎng)銀向他人轉(zhuǎn)賬或進(jìn)行網(wǎng)上支付交易時(shí)，除要輸入動(dòng)態(tài)口令外，還要輸入手機(jī)交易碼進(jìn)行驗(yàn)證，方可交易。手機(jī)交易碼由該行客服電話統(tǒng)一發(fā)送。

　　據(jù)了解，目前，各家銀行用戶端網(wǎng)銀安全工具除手機(jī)驗(yàn)證外，主要有兩種方式，一是動(dòng)態(tài)口令牌，二是數(shù)字證書U盾(Ukey)，相當(dāng)于一個(gè)存儲(chǔ)了個(gè)人數(shù)字認(rèn)證信息的U盤。

　　動(dòng)態(tài)口令是每次隨機(jī)生成的一個(gè)數(shù)字組合，且每個(gè)口令只能使用一次。目前看來，“釣魚網(wǎng)站”大多發(fā)生在使用動(dòng)態(tài)令牌的銀行中。這是否意味著動(dòng)態(tài)令牌的安全性一定低于U盾？

　　網(wǎng)上交易采用單一的動(dòng)態(tài)令牌保護(hù)顯然具有安全漏洞。雖然動(dòng)態(tài)口令有時(shí)間限制，每隔60秒就會(huì)自動(dòng)更新一次，但這個(gè)時(shí)間已足以讓不法分子在套取動(dòng)態(tài)口令后迅速用來登錄用戶的網(wǎng)銀，從而盜取資金。而U盾因多了一個(gè)類似U盤的物理介質(zhì)，所以即使被破譯出U盾密碼，也不容易被竊取資金，除非，用戶的U盾與密碼同時(shí)丟失。

　　如此看來，U盾確實(shí)強(qiáng)于動(dòng)態(tài)令牌的安全性。但是，U盾在使用便捷性及客戶體驗(yàn)上存在一些弱勢(shì)，如初次使用時(shí)涉及安裝驅(qū)動(dòng)程序、下載數(shù)字證書等，對(duì)電腦軟硬環(huán)境都有一定要求，對(duì)客戶電腦操作技能也有一定要求。

　　并且，隨著平板電腦、手機(jī)銀行等電子化及新型支付方式的發(fā)展，U盾在便捷性上可能面臨更多限制。

　　網(wǎng)銀安全始終是在安全性和便捷性上進(jìn)行權(quán)衡。

　　“已經(jīng)有一些銀行意識(shí)到U盾的復(fù)雜性，正在考慮投入電子令牌，如工行、中信、建行等。不過，釣魚網(wǎng)站頻發(fā)事件之后，它們需要重新考慮一下了。”上述業(yè)內(nèi)人士告訴記者。

　　他還表示，“動(dòng)態(tài)口令也并非毫無可取，比如增加了一道手機(jī)認(rèn)證的步驟，便相當(dāng)于多了一道安全把關(guān)?！?/p>