文/華東政法大學 夏草

域外：全球加緊應對網銀犯罪

文/華東政法大學 夏草

早在1999年的美國統(tǒng)計資料就表明：平均每起計算機犯罪造成的損失高達45萬美元，而傳統(tǒng)的銀行欺詐與侵占案平均損失只有119萬美元，銀行搶劫案的平均損失不過4900美元，一般搶劫案的平均損失僅為370美元。據美國聯(lián)邦調查局統(tǒng)計測算，一起刑事案件的平均損失僅為2000美元，而一起計算機犯罪案件的平均損失高達50萬美元。據計算機安全專家估算，近年因計算機犯罪給總部在美國的公司帶來的損失為2500億美元。

全球范圍內，每秒就有18位網民遭受網絡犯罪的侵害，平均每位受害者蒙受的直接經濟損失總額為197美元。據估計，全球遭受過網絡犯罪侵害的網民已超過了歐盟的人口總額。

巴西銀行業(yè)聯(lián)合會登記的數(shù)據顯示，2011-2012年利用銀行網絡服務系統(tǒng)實施的犯罪活動比前一年增長了60%，導致銀行和客戶經濟損失15億雷亞爾（約合7.5億美元）。而據美國頂級風險管控公司FICO（費埃哲）于2013年5月20日發(fā)布的2012年歐盟信用卡詐騙數(shù)據顯示，法國以29%的損失增長率取代英國（27%）位居歐盟受信用卡詐騙犯罪損失最大的國家。2011年歐盟各國受信用卡詐騙犯罪總額較去年增長6%。而法國受信用卡詐騙的損失從2007年至2012年增長了65%，共計損失增長額為1.74億歐元。英國官方2013年5月調查數(shù)據顯示，網絡欺詐型犯罪導致小企業(yè)每年損失近7.85億英鎊的損失。根據2013年4月諾頓網絡安全報告中所述，2012年全球惡意釣魚網站較前一年增加了123%，犯罪分子通過釣魚網站獲取被害人的賬號、密碼以及其他網絡銀行賬號的信息。使用SSL安全協(xié)議證書（Secure socket layer）令受害者在訪問時誤以為仍在安全上網的惡意釣魚網站數(shù)量較2011年增加了46%。同時2012年韓國的釣魚網站數(shù)量上升明顯，其他的釣魚網站較為活躍的非英語國家有法國、意大利、葡萄牙、中國和西班牙。

犯罪暗潮

跨國團伙線上線下聯(lián)合犯罪洗劫銀行

據路透社今年5月9日報道，美國司法部聯(lián)邦檢察機關對一個據點設在紐約的跨國網絡犯罪集團的八名多米尼加裔美國籍成員提出指控（其中一名頭目于4月底在多米尼加共和國遇害身亡），該犯罪團伙涉嫌利用黑客手段入侵銀行信用卡交易公司的數(shù)據系統(tǒng)，提高了阿曼馬斯喀特銀行（Bank of Muscat of Oma）和阿拉伯聯(lián)合酋長國哈伊馬角國家銀行（RAKBANK）發(fā)行的萬事達預付費借記卡（MasterCard）可用額度和取現(xiàn)額度，并盜取銀行卡號，然后利用工具將銀行卡信息輸入廢舊的酒店鑰匙卡、過期或作廢的信用卡等任何只要是帶有磁條的卡片中，完成銀行卡的偽造。再從27個國家的自動取款機中盜走4500萬美元，約合人民幣2.8億元。

沒有槍支和面具，取而代之的是筆記本和互聯(lián)網。該團伙共作案兩起。去年12月，該團伙犯罪人員入侵印度一個銀行卡處理器，在兩個半小時的時間內從20個國家的自動取款機非法提取500萬美元；今年2月，該團伙再次作案，入侵一個美國處理器，在10個小時的時間內從24個國家的自動取款機實施了3.6萬次交易，竊取4000萬美元，其中在紐約的八人小組從2904臺取款機中非法提取了240萬美元。涉案兩家銀行尚未回應這一案件。據馬斯喀特銀行2月披露，12張預付費旅行卡遭境外欺詐，銀行將計提3900萬美元減值損失，這一數(shù)額超過馬斯喀特銀行2013年第一季度利潤的50%。如此快的速度洗劫全球多家金融機構，美國紐約州東區(qū)聯(lián)邦檢察官洛蕾塔·林奇（Loretta Lynch））稱這起案件“為21世紀銀行大劫案” 。

“所幸”該案的最終受害者并非個人，而是上述兩個中東的銀行。專家分析，該團伙之所以會選擇中東的銀行實施犯罪很可能是因為這兩家銀行允許信用卡客戶提款的額度較其他地區(qū)銀行更高，且并不如其他銀行一樣對信用卡使用情況進行密切監(jiān)視。目前，這些受害銀行是否能向銀行卡處理器公司尋求被盜損失還不確定，根據美國法律規(guī)定，銀行必須與相關銀行卡處理器公司簽訂有關安全證書方面的協(xié)議，如果處理器公司沒有遵循合約提供安全防護，則處理器公司將對銀行的損失負責。當然受害銀行還可以根據保險政策，向銀行的保險公司或銀行卡處理器的保險公司尋求賠償。據悉，美方調查人員已與日本、加拿大、德國、羅馬尼亞、阿聯(lián)酋、多米尼加共和國、墨西哥、意大利、西班牙、比利時、法國、英國、拉脫維亞、愛沙尼亞、泰國、馬來西亞等多國執(zhí)法人員展開合作。類似的案件已現(xiàn)于2009年，犯罪分子用偽造的蘇格蘭皇家銀行預付費借記卡，在12小時內取走九百多萬美元。

非法SIM卡調換致網銀失竊案暴增

隨著南非許多國家上網費用的降低，南非正遭受移動和互聯(lián)網銀行犯罪的逆襲，造成數(shù)百萬美元的損失。據報告顯示，南非的手機移動銀行犯罪案件同比增長8%，網絡銀行犯罪案件增長3%。據南非銀行風險信息中心（Sabric）商業(yè)犯罪辦公室總經理蘇珊（Susan Potgieter）介紹，南非在2011年發(fā)生此類案件的總量不到100起，但在2012年案發(fā)量躍至一千多起。去年南非《華僑新聞報》就報道了一起SIM卡調換致受害者網銀被盜案件。受害者陳先生于案發(fā)當日上午收到一封手機短信，其內容為：您已申請一張新手機卡，目前使用的SIM卡即將停用，請確認。當事人看到該信息后，并不以為然。但是，大約上午10點左右，陳先生的手機果然不能使用。由于外出辦事，當事人不能及時到VODACOM公司營業(yè)廳詢問。當日下午一點半左右，被害人從妻子處獲知，其使用的南非聯(lián)合銀行賬上被轉走了兩筆款項。下午3點多，陳先生查詢自己的網絡銀行信息時發(fā)現(xiàn)其無法登錄網銀客戶端，自己的用戶名、密碼等信息已被人刪改了。

今年5月南非聯(lián)合銀行集團（ABSA）向其用戶發(fā)布警告，解釋SIM卡調換欺詐的流程：首先，受害者將收到一個由罪犯假冒銀行發(fā)出的短信，聲明受害者的銀行賬戶出現(xiàn)問題，稍后將有專員與其取得電話聯(lián)系。第二步，幾分鐘后，受害者果真會收到一個電話，要求受害者回答幾個問題來確認一些賬戶信息，比如受害者的銀行卡號，使用的手機型號，最近呼叫的幾個電話號碼等。第三步，罪犯向受害者的手機運營商申請SIM卡更換，這將令罪犯接收由受害者銀行發(fā)出的手機確認信息，從而方便將受害者銀行卡中的錢款通過網絡銀行劃出。第四步，一旦受害者發(fā)現(xiàn)自己的電話無法使用，其銀行卡中的錢款已經被犯罪分子劃出。

南非聯(lián)合銀行數(shù)字銀行主管艾德里安（Adrian Vermooten）在接受電臺采訪時稱，這些案件90%以上是由于受害者在不經意間向釣魚網站或他人透露了自己的網銀信息，只有很少的幾個案子是因為罪犯使用間諜軟件或鍵盤記錄軟件獲取被害人的網銀登錄信息。同時非洲信息和通信技術發(fā)展中心（Africa Center for ICT Development）分析師說，如今釣魚工具包在網上可以很容易地被不法分子獲得，使得網絡犯罪不再需要訓練有素的黑客即可實施。

是銀行內控失職還是電信商換卡失職

根據馬來西亞銀行協(xié)會公布的電子銀行犯罪統(tǒng)計中，最常見的犯罪手段為釣魚網站，緊接著是短消息和電話詐騙。

當然銀行內控失職也常為網絡銀行犯罪提供溫床。2005年6月我國的《經濟參考報》曾報道一名為彭博的年輕人，為了證明自己的實力而參加黑客大賽，利用網絡破譯銀行銀信用賬號，涉嫌盜竊近2萬人民幣。在庭審時，其為自己辯解，并不想通過這種手段盈利，持卡人姓名是其胡亂填寫，目的就是考慮到銀行不會收單，就不會讓自己的行為給他人帶來財產損失。殊不知銀行還是無視了銀行持卡人姓名的錯誤信息，將錢款劃撥了出去。事實上，很多網絡銀行犯罪之所以能夠成功問題就出在銀行內部人員工作疏忽。

在27國特大萬事達預付費借記卡詐騙案中（該案的案件名稱為U.S. v. Lajud-Pena et al.），有一個名為維爾維斯（Elvis Rodriguez）的嫌疑犯曾在今年1月時計劃去羅馬尼亞旅行，其向該旅游組織方支付了30萬美元。但是美國航空公司取消了維爾維斯的預訂，因為航空公司懷疑該筆預訂欠款可能系使用偷來的信用卡支付的。雖然預訂被取消，但最終維爾維斯還是用現(xiàn)金支付了旅行費用。在這段小花絮中美國航空公司對信用卡支付的警覺與中東兩大受害銀行形成鮮明對比。側面印證北京大學金融法研究中心副主任白建軍教授早在2006年就在媒體上指出針對愈演愈烈的網絡金融犯罪，最根本的解決辦法是提高銀行內控力度。

依法治網

全球加緊應對網絡金融犯罪

2001年11月23日，歐洲理事會在匈牙利布達佩斯召開的網絡犯罪大會上舉行了《關于網絡犯罪的公約》（Convention on Cyber-crime）的開放簽署儀式。這就是布達佩斯網絡犯罪公約（the Budapest Convention on Cybercrime）。該公約由歐洲理事會的26個歐盟成員以及美國、加拿大、日本和南非等30個國家的政府官員共同簽署。2004年3月18日立陶宛國正式批準，滿足了其生效要件，這個由歐洲理事會（Council of Europe，COE）主導的網絡犯罪公約于2004年7月1日正式生效，成為全球第一個針對網絡犯罪而成立的國際公約。該公約制定的目標之一是期望使國際間對于網絡犯罪的立法有一致共同的參考標的。公約也創(chuàng)建了一個全天候的“協(xié)作網絡”，可以在締約國間進行24小時不間斷的情報交流及相關協(xié)助。

網絡銀行犯罪涉及兩部分犯罪，這兩部分可以是分開的行為，也可以是整合的：其一，信息系統(tǒng)攻擊獲取身份信息；其二，通過網絡詐騙或偷盜被害人網上銀行錢款。針對包括網絡銀行犯罪在內的網絡犯罪，世界上大多數(shù)國家均在國內規(guī)定了計算機安全的單行法，或對刑法進行了修正。美國1984年通過的第一部關于計算機安全與犯罪的法案《欺詐存儲裝置與計算機欺詐、濫用法》在1996年10月11日修訂后，改為美國聯(lián)邦刑法第18篇第1030條，名為“與計算機相關的欺詐及其行為”。其他相關立法還有《與存取設備有關的欺詐及其他行為法》《聯(lián)邦計算機安全處罰條例》以及《計算機欺騙與濫用法》等。英國1990通過了《計算機濫用法》。2000年印度通過《信息技術法案》。1986年8月1日德國刑法修正案也加入了若干涉及計算機安全與犯罪的條款。1987年日本修訂刑法，增加了若干關于計算機安全與犯罪的條文，現(xiàn)行日本刑法關于電子商務領域刑事立法條文規(guī)定使用計算機詐騙的行為屬于犯罪行為。

各國成立計算機犯罪專業(yè)偵查部門

為打擊網絡犯罪，許多國家建立了專門的計算機犯罪偵查部門。比如，2001年，墨西哥組建了拉美第一支網上警察部隊；2003年，巴西聯(lián)邦警察局設立專門機構，對網絡犯罪實施監(jiān)管和打擊。2004年烏拉圭首支“網絡巡邏警察”部隊在首都蒙得維的亞成立；韓國國家警察局建立的黑客調查隊是國家警察局國際刑警分局的一部分，其任務是搜查國際互聯(lián)網和本國計算機系統(tǒng)，以發(fā)現(xiàn)潛在的系統(tǒng)入侵者留下的行蹤。2012年韓國政府開始啟動“白色黑客”（具有善意目的的黑客）培養(yǎng)計劃，計劃投入19億韓元（約合167萬美元），培養(yǎng)大約六名“白色黑客”，以加強韓國信息安全部門的力量。日本也存在專門的計算機警察，他們是從中年計算機專家中遴選而來；在德國，為了打擊internet上的犯罪行為，特別設立了網絡警察組織；在英國，倫敦有一家名叫CCV的倫敦警察局犯罪部，專門負責計算機高科技犯罪的偵探工作，除了應付計算機犯罪之外，還幫助開設計算機調查技術課程以培訓警察，并幫助公眾排除因計算機病毒而帶來的麻煩，據說這是歐盟打擊網絡犯罪中心（EC3）的前身；在法國，巴黎警察分局的信息技術偵察處，有十多位計算機警察，他們都是計算機方面處理存儲、傳播信息的專家，他們專門對付電話線路盜用、互聯(lián)網絡上的計算機盜竊等犯罪。在中國大陸，公安部十一局（網監(jiān)局）便是整體負責網絡與計算機安全的警察機構。

更有國家在國內增加網絡監(jiān)管培訓，并與相關國內外偵查組織合作。美國匹茲堡的國家網絡取證培訓聯(lián)盟（National Cyber-Forensics & Training Alliance）就與歐盟打擊網絡犯罪中心EC3有合作。澳大利亞聯(lián)邦警察局（AFP）和澳大利亞銀行家協(xié)會（ABA）就聯(lián)合起來為廣大網民提供網絡銀行犯罪的警示。各國還有一些管理結構和協(xié)會，比如英國的“互聯(lián)網監(jiān)察基金會”、澳大利亞的“網絡警示機構”、互聯(lián)網從業(yè)者或ISP行業(yè)協(xié)會以及其他非政府組織在防治網絡犯罪方面起到關鍵作用。

美國成立互聯(lián)網欺詐投訴中心鼓勵報案

美國聯(lián)邦調查局（FBI）與國家白領犯罪中心（National White Collar Crime Center -NW3C）合作建立了互聯(lián)網犯罪投訴中心（Internet Crime Complaint Center-IC3），專門負責調查和打擊網絡犯罪行為，受害者可以隨時登陸該中心網站報案或投訴。因為網絡金融犯罪受害者中企業(yè)和商家占多數(shù)，但他們在受害后，礙于擔心社會公眾可能會對其安全系統(tǒng)以及信譽產生懷疑，而選擇對犯罪保持承諾，拒不報案。而多數(shù)遭受小額網絡金融犯罪的個人受害者也會認為數(shù)額太小，而不進行舉報，這樣不利于政府及時發(fā)現(xiàn)和打擊網絡金融犯罪。因此除了像我國或美國部分地區(qū)規(guī)定強制報案制度外，還有不少國家的警察局或組織，如新加坡警察局、澳大利亞聯(lián)邦警察局等國家或組織官方網站上就建立了網上報案系統(tǒng)，接受并鼓勵網絡金融犯罪受害者報案，讓受害者可以迅速和有效地與執(zhí)法部門分享有關信息。

編輯：黃靈 yeshzhwu@foxmail.com