農(nóng)村信用社發(fā)展電子銀行業(yè)務風險淺析

李玉軍

[摘要]電子銀行具有分流柜臺壓力，節(jié)省人力、物力，降低經(jīng)營管理成本，達到增收節(jié)支的作用。發(fā)展電子銀行業(yè)務，不僅能提高銀行形象，樹立銀行品牌，吸引高端客戶，擴大市場份額，更重要的是電子銀行平臺還是金融創(chuàng)新的基礎平臺。但與此同時，電子銀行業(yè)務的風險問題也日益突出，如何利用信息化手段對多服務手段和多業(yè)務平臺實現(xiàn)集中管理，以保證業(yè)務的一致性、交易的安全性，已成為擺在銀行業(yè)當前的一大挑戰(zhàn)。本報告將就信用社已開展或即將開展的電子銀行業(yè)務，對其所潛在的風險進行分析，同時也列舉了一些風險案例。

[關鍵詞]農(nóng)村信用社；電子銀行業(yè)務；風險管理

[中圖分類號]F832 [文獻標識碼]A [文章編號]1005-6432（2014）8-0134-03

1 電子銀行業(yè)務風險已引起廣泛關注

銀監(jiān)會、人民銀行等監(jiān)管部門一直十分重視電子銀行業(yè)務風險，銀監(jiān)會在2006年就出臺了《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》，隨著電子銀行業(yè)務的不斷發(fā)展，針對不同時期不同的風險類型又及時下發(fā)了風險通知、風險提示等。

客戶在使用電子銀行辦理業(yè)務過程中案件頻發(fā)，因不慎被盜錄信息、遭受欺詐等而蒙受資金損失，各媒體紛紛報道，下面僅列舉2009年4～5月間一些媒體關于電子銀行業(yè)務風險信息的報道。

2009年4月21日 北京晚報 《黑客組織盯上銀行財稅網(wǎng)站 網(wǎng)站頻頻掛木馬》

2009年4月22日 南方日報 《ATM機騙術翻新警方支招防范》

2009年4月24日 上海證券報 《無持卡人簽名POS單銀行照常扣款被起訴》

2009年4月27日 新民晚報 《ATM機做手腳新版本：出鈔口鈔票看得見拿不到》

2009年4月28日 深圳晚報 《警惕柜員機上安裝讀卡器盜存款》

2009年4月29日 北京晚報 《信用卡非法套現(xiàn)猖獗套現(xiàn)公司自稱不愁沒生意》

2009年5月4日 廣州日報 《三大銀行卡詐騙招數(shù)揭秘：來電號碼輕信不得》

2009年5月6日 每日新報 《銀行卡安全再添保險》

新京報 《消協(xié)與北京銀協(xié)聯(lián)合發(fā)布銀行卡安全使用提示》

新京報 《北京首次截獲ATM第三只眼》

北京晚報 《北京警方首次截獲取款機克隆卡工具》

2009年5月7日 深圳特區(qū)報 《深圳：柜員機貼故障提示誘人轉賬》

2009年5月8日 新華網(wǎng) 《新華社：不法分子用銀行卡套現(xiàn)給社會帶來危害》

2009年5月13日 成都商報 《銀行卡復制設備網(wǎng)上瘋狂叫賣一萬五即可買全套》

2009年5月14日 證券時報 《信用卡套現(xiàn)猖獗 銀行壓縮額度應對》

2009年5月16日 第一財經(jīng)日報 《信用卡套現(xiàn)將無處遁形》

2009年5月19日 羊城晚報 《銀行已成網(wǎng)絡攻擊重點國外黑客年收十幾萬歐元》

長沙晚報 《銀行卡被調包存錢存入他人賬戶》

證券時報 《克隆銀行卡產(chǎn)銷一條龍網(wǎng)上叫賣萬元額度售1800》

證券時報 《揭開銀行卡被盜刷的秘密：致命隱患藏身磁條》

2009年5月20日 證券時報 《工行浦發(fā)等多家銀行儲戶信用卡遭遇跨境盜刷》

無論是監(jiān)管部門的監(jiān)管要求，還是社會對電子銀行業(yè)務風險的重點關注，一旦發(fā)生風險案件會影響到銀行自身形象。因此，從健康發(fā)展的角度考慮，開辦電子銀行業(yè)務的金融機構都應將業(yè)務風險作為一項重要工作來抓。

2 電子銀行業(yè)務風險類型分析

2.1 特約商戶收單業(yè)務

在借記卡占據(jù)主流的受理市場上，持卡人以自身存款且以密碼方式確認完成，對于商戶端而言，欺詐冒用風險幾乎為零。鑒于此，收單機構普遍認為POS收單是一項高收益、零風險的業(yè)務。隨著近年來貸記卡業(yè)務的迅速發(fā)展和銀行卡受理范圍的擴大，商戶風險日漸突出。由于需要對簽約商戶受理的所有交易負責，收單機構必須轉變觀念，對商戶的潛在信貸和欺詐風險進行充分預測和評估。否則，商戶風險會給收單機構造成嚴重后果。現(xiàn)詳細介紹以下商戶欺詐風險。

2.1.1 惡意倒閉風險

不法商戶在收單機構開設了看似合法經(jīng)營的商戶賬戶，受理銀行卡。當收到大筆清算款項后商戶立即關門，故意破產(chǎn)，負責人也馬上銷聲匿跡，使收單機構承擔此后的退單損失。

2.1.2 商戶套現(xiàn)風險

是指商戶與不良持卡人或其他第三方勾結，或商戶自身進行虛假交易套取現(xiàn)金的行為?，F(xiàn)在套現(xiàn)活動十分猖獗，在一些網(wǎng)站、報紙、小廣告中常有套現(xiàn)廣告。目前國內(nèi)常見的商戶套現(xiàn)有以下三種類型：

（1）不法持卡人與商戶相勾結，利用商戶POS終端進行虛假交易，商戶在扣除一定手續(xù)費后將交易款余額支付給持卡人；

（2）不法商戶使用虛假資料或騙取他人資料申請獲取多張卡后，再申請成為收單機構的商戶，之后用卡進行虛假交易，套現(xiàn)后銷聲匿跡；

（3）一些代理辦卡的中介機構首先協(xié)助急需資金的客戶以偽造資料或夸大資信的手法，向發(fā)卡機構申辦信用卡，之后中介機構又申請成為收單機構的特約商戶，協(xié)助已辦好卡的客戶以虛假交易方式套取現(xiàn)金。

2.1.3 商戶洗單風險

洗單是指與收單機構簽署了有效商戶協(xié)議的商戶，將其他未簽約商戶的交易在本商戶的POS機或壓印機上刷卡，假冒本店交易與收單機構清算。通過這種方式，可能將欺詐或非法交易合法化，并順利收到交易款項。委托洗單的多為出于某些原因不能或不愿意簽署受理協(xié)議的商戶，如高風險的電話營銷商、郵購商戶等，也有可能是專門受理偽卡、進行偽冒交易的非法商戶等。

2.1.4 商戶側錄風險

在境外，側錄是一種常見的商戶欺詐類型，隨著銀行卡犯罪向境內(nèi)遷移，目前在國內(nèi)類似案例也逐漸增多，已成為商戶欺詐的新興手法，應引起足夠關注。側錄大體可分為三類：

（1）在商戶經(jīng)營場所。不法商戶或合法商戶中的不法員工在合法交易過程中利用側錄儀器，將所有磁道信息復制下來。信息竊取可以發(fā)生在刷卡請求授權時——通過連接POS終端的小型電腦或其他設備獲取磁條信息，或者通過一個單獨的、掌上型側錄設備進行二次刷卡。通過這種方式獲取的全磁道信息可以下載并編碼到偽造卡或盜竊卡中。

（2）在數(shù)據(jù)傳輸過程中。磁條信息在授權過程的不同實體間轉移過程中被竊取，包括：①商戶的主機系統(tǒng)；②發(fā)卡機構或收單機構的主機系統(tǒng)；

③發(fā)卡機構或收單機構的第三方處理器。

卡信息可以通過電話線竊聽或從衛(wèi)星的無線傳輸中獲取。能接觸到這些信息的員工有可能與不法分子勾結進行信息竊取，然而商戶負責人可能根本不清楚這些安全漏洞。

（3）在數(shù)據(jù)信息的存儲場所?？ㄐ畔⒋鎯Φ娜魏螆鏊加锌赡鼙桓`取卡信息，這些地方包括POS終端、個人計算機和大型主機等。另外，不法分子還有可能侵入數(shù)據(jù)存儲系統(tǒng)掠奪和復制有效的卡數(shù)據(jù)。

2.1.5 商戶合謀偽冒交易風險

某些商戶因利益驅使，與不法分子合謀，在商戶集中使用偽卡或失竊、被盜卡，或購買易變現(xiàn)商品，或享受相關服務，最終發(fā)卡機構承擔該類損失，收單機構也可能因為欺詐交易比率或退單比率超標而承擔退單損失，或承擔違規(guī)處罰。

2.1.6 手輸卡號欺詐風險

以手輸卡號方式處理欺詐交易和未授權交易，是許多商戶欺詐模式中頻繁使用的手法，如前述的惡意倒閉、洗單等，都與之相關。不法分子通常獲取了一系列偽造或欺詐獲得的卡號后，以手輸卡號方式來輸入交易，之后立即提交清算，并盡快卷走交易款項。目前在國內(nèi)，收單機構對在POS上開放手輸功能持謹慎態(tài)度，僅有部分酒店前臺可使用該項功能，因此該類欺詐在國內(nèi)并不普遍。但應當嚴格控制“聯(lián)機退貨”等風險類交易權限。

2.1.7 虛假商戶

虛假商戶唯一目的就是從合法持卡人處側錄或復制卡信息，然后制作偽卡，盜刷套取資金。

2.2 ATM收單業(yè)務

犯罪分子通過銀行布放的ATM實施犯罪，給持卡人造成資金損失的同時，也嚴重損害了銀行的聲譽，使銀行卡也連帶蒙受了經(jīng)濟損失。其采用的主要手段有以下幾種。

2.2.1 安裝特殊裝置盜取銀行卡信息

不法分子除通過在自助銀行門禁系統(tǒng)、自助設備上安裝攝像頭、假鍵盤、錄音機等特殊裝置盜錄持卡人銀行卡卡號、密碼等安全信息外，還利用測錄機等設備盜取客戶磁卡上的磁道信息，再利用盜取的信息制作偽卡后大肆消費、取現(xiàn)，給持卡人和發(fā)卡銀行造成重大經(jīng)濟損失。犯罪分子安裝側錄裝置十分迅速，而且一般是在晚上進行，很難防范。一旦持卡人在農(nóng)村信用社的ATM上被側錄，有資金損失時，農(nóng)村信用社將承擔一部分責任。

《燕趙都市報》2008年12月5日報道《銀行卡被盜刷46萬銀行被判全額賠償》，南京市民王先生到ATM取款時，突然發(fā)現(xiàn)卡上46萬元現(xiàn)金不翼而飛。警方迅速破案，原來是犯罪分子利用在ATM機附近安裝讀卡器、MP4等手段，竊取了王先生的卡號和密碼，然后又用復制假卡的手段從其賬戶上支取了巨款。2008年9月，他將涉案銀行告上南京市鼓樓區(qū)法院，要求銀行賠償全額損失。法院對此案作出一審判決，王先生的訴訟請求獲得全部支持。法院判決銀行敗訴的理由是：該銀行自助銀行在安全防范上存在技術缺陷，未能履行應負的保護儲戶存款安全的義務。主審法官丁廣說，此案判決的示范意義就在于，銀行與儲戶之間形成合同關系，銀行既然要設無人值守的自助取款機，那就必須要確保儲戶的資金安全，而一旦儲戶在沒有任何過錯的情況下資金被人盜取，那銀行就得承擔全部責任。

2.2.2 制造吞卡、不出鈔等假相

不法分子先將自制裝置放入ATM讀卡器內(nèi)制造“吞卡”假相，或是在ATM出鈔口設障，使ATM機吐鈔不成功，同時在ATM機旁粘貼假冒的“客戶服務投訴熱線”，引誘持卡人向所謂的“銀行員工”或“公安人員”透露卡號、密碼等安全信息，或直接把資金轉移到其指定的賬戶上。經(jīng)查，目前不法分子的詐騙手段又有升級，出現(xiàn)了將真實銀行客戶服務電話號碼嵌入小靈通號碼，偽裝銀行客戶服務熱線的新手法，較之早前的手法更具隱蔽性和欺騙性。

2.2.3 張貼虛假告示

不法分子冒充ATM管理單位，在ATM機上張貼緊急通知或公告（如“銀行系統(tǒng)升級”、“銀行程序調試”等），要求持卡人將自己銀行卡的資金通過ATM轉賬到指定賬戶上，盜取持卡人存款。

2.2.4 分散持卡人注意力，對卡片進行掉包

此類案件中，不法分子通常結伙作案，在持卡人進行ATM機操作過程中，采取假裝提醒持卡人遺落錢物、詢問ATM機使用方法、故意推撞持卡人等方式干擾持卡人的正常操作，轉移其視線后在卡口插上假冒的同類銀行卡，使持卡人誤以為自己的銀行卡被ATM機退出。持卡人為防盜搶，慌亂中沒有認真鑒別卡片真?zhèn)渭措x開，犯罪分子利用留在機具內(nèi)的真卡，繼續(xù)進行取款、修改密碼甚至取卡后到商場消費等操作，使持卡人蒙受損失。

我們布放了ATM，就有義務為客戶提供一個安全的用卡環(huán)境?？蛻粢蛟阢y行布放的ATM使用時，銀行卡信息被側錄或是遭受欺詐，將銀行告上法庭的案件中，最終銀行多以應為客戶提供安全的用卡環(huán)境、負有保護責任而敗訴，賠償客戶資金損失。

2.3 電話銀行業(yè)務

電話銀行業(yè)務的風險主要為外部欺詐風險和內(nèi)部控制風險。

2.3.1 外部欺詐風險

（1）假冒銀行給客戶發(fā)送短信，謊稱其中獎，并提供一個聯(lián)系的固定電話。客戶撥打該電話后，電話中會自動語音提示各家銀行的電話銀行號碼，在客戶選擇其中一家后，系統(tǒng)會提示客戶輸入銀行卡卡號和客戶密碼，并稱可以提供銀行卡的查詢、密碼修改等服務。一旦客戶輸入的卡號和密碼信息被獲取后，有可能被不法分子利用以盜取客戶賬戶的資金。

（2）客戶設置電話銀行密碼過于簡單，賬號或卡號信息泄露后，被破譯電話銀行密碼，造成資金損失；或者是客戶在公用電話上使用電話銀行，未及時清理使用記錄，電話銀行信息泄露，造成資金損失。

（3）犯罪分子偽冒真實客戶開通電話銀行轉賬功能，同時開立新賬戶，通過電話銀行轉賬盜取客戶資金。

（4）電話語音系統(tǒng)的交易訊息（含語音密碼）通過電話通信系統(tǒng)傳遞時均為明碼，雖多以干擾音加密，犯罪分子仍可借機竊聽電話通信內(nèi)容截取交易訊息后并加以破解，取得存戶賬號及密碼后，再予以盜轉存款。

2.3.2 內(nèi)部控制風險

（1）前臺操作人員擅自為客戶開通電話銀行，私自維護電話銀行轉賬協(xié)議，通過電話銀行轉賬盜取客戶資金。

（2）電話語音系統(tǒng)廠商維護人員（或金融機構程序人員）非法竄改語音系統(tǒng)程序，記錄含語音密碼之交易訊息并借機拷貝復制，再利用語音轉賬盜轉存款。

2.4 網(wǎng)上銀行業(yè)務

網(wǎng)上銀行是客戶利用個人計算機，由認證機構所核發(fā)之電子憑證，透過因特網(wǎng)聯(lián)機至銀行網(wǎng)站進行交易，因此其風險主要來自于三個方面：客戶端作業(yè)憑證的保管及使用、銀行端信息設備與系統(tǒng)之安全防護、交易訊息經(jīng)由因特網(wǎng)傳輸過程是否遭受外來黑客干擾或截聽；另外，由于網(wǎng)上銀行交易過程中均處于開放環(huán)境的系統(tǒng)架構，致可能隨時遭遇來自銀行內(nèi)部、外部的挑戰(zhàn)。綜上所述，網(wǎng)上銀行業(yè)務風險可能如下：

2.4.1 主機實體安全漏洞

主機實體存在安全漏洞，發(fā)生信息泄露，如：信息機房門禁管制欠佳、輸出入設備及通信設備管制欠妥、預留過多未經(jīng)管制之外接端口、報表及磁性媒體管制欠妥等，導致主機遭破壞、系統(tǒng)遭入侵、防火墻被關閉、實體鏈接線路被改變，作業(yè)人員或客戶數(shù)據(jù)遭竊取等。

2.4.2 操作系統(tǒng)或系統(tǒng)軟件漏洞

在系統(tǒng)管理方面存在某些欠缺，如：未定期修補系統(tǒng)程序或未及時提升版本、未掃描異常更新或復制之系統(tǒng)檔案、未設妥計算機病毒防范措施、系統(tǒng)安控參數(shù)設定不完整，致使黑客利用緩沖區(qū)溢出漏洞、植入木馬程序取得特權用戶密碼或夾帶植入計算機病毒以癱瘓主機及防火墻系統(tǒng)，或夾帶木馬程序進行數(shù)據(jù)竊取及破壞，或利用系統(tǒng)安控設定不周延以進行數(shù)據(jù)竊取及破壞。

2.4.3 內(nèi)部控制風險

在業(yè)務開通流程、業(yè)務授權管理等環(huán)節(jié)管理存在未知漏洞或者是執(zhí)行力度欠佳，如：操作人員竊取客戶數(shù)據(jù)、重要電子憑證等，擅自為客戶開通網(wǎng)上銀行，通過網(wǎng)上銀行盜取客戶資金。

案例：某犯罪分子在媒體刊登廣告以征求彩券經(jīng)銷商加盟店需繳交保證金（金額不等）50萬元為餌，計誘受騙民眾至××銀行開立賬戶，存入雙方事先約定金額，并申請語音及網(wǎng)上銀行服務，之后歹徒以查詢各受騙民眾是否依約存入保證金為由，騙取其密碼，搶先使用密碼登入網(wǎng)上銀行系統(tǒng)下載受害人的電子憑證，并隨即通過網(wǎng)上銀行轉賬功能，分別盜轉各受害人存款。

3 農(nóng)村信用社電子銀行業(yè)務正處起步階段，風險更為突出

農(nóng)村信用社電子銀行業(yè)務正處起步階段，管理體系不完善、管理制度有待健全、業(yè)務人員對新業(yè)務認知不夠，這些都將上述風險更加擴大化，所以信用社所面臨的電子銀行業(yè)務風險尤為突出。

在對電子銀行業(yè)務風險充分認識和研究的基礎上，制訂明晰的業(yè)務風險管理策略，對一定時期內(nèi)的風險管理目標及目標實施計劃進行明確規(guī)劃，是當前農(nóng)村信用社在開展電子銀行業(yè)務之前必須認真考慮和仔細準備的事情。