李玉軍

[摘要]電子銀行具有分流柜臺(tái)壓力，節(jié)省人力、物力，降低經(jīng)營管理成本，達(dá)到增收節(jié)支的作用。發(fā)展電子銀行業(yè)務(wù)，不僅能提高銀行形象，樹立銀行品牌，吸引高端客戶，擴(kuò)大市場份額，更重要的是電子銀行平臺(tái)還是金融創(chuàng)新的基礎(chǔ)平臺(tái)。但與此同時(shí)，電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)問題也日益突出，如何利用信息化手段對(duì)多服務(wù)手段和多業(yè)務(wù)平臺(tái)實(shí)現(xiàn)集中管理，以保證業(yè)務(wù)的一致性、交易的安全性，已成為擺在銀行業(yè)當(dāng)前的一大挑戰(zhàn)。本報(bào)告將就信用社已開展或即將開展的電子銀行業(yè)務(wù)，對(duì)其所潛在的風(fēng)險(xiǎn)進(jìn)行分析，同時(shí)也列舉了一些風(fēng)險(xiǎn)案例。

[關(guān)鍵詞]農(nóng)村信用社；電子銀行業(yè)務(wù)；風(fēng)險(xiǎn)管理

[中圖分類號(hào)]F832 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1005-6432（2014）8-0134-03

1 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)已引起廣泛關(guān)注

銀監(jiān)會(huì)、人民銀行等監(jiān)管部門一直十分重視電子銀行業(yè)務(wù)風(fēng)險(xiǎn)，銀監(jiān)會(huì)在2006年就出臺(tái)了《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》，隨著電子銀行業(yè)務(wù)的不斷發(fā)展，針對(duì)不同時(shí)期不同的風(fēng)險(xiǎn)類型又及時(shí)下發(fā)了風(fēng)險(xiǎn)通知、風(fēng)險(xiǎn)提示等。

客戶在使用電子銀行辦理業(yè)務(wù)過程中案件頻發(fā)，因不慎被盜錄信息、遭受欺詐等而蒙受資金損失，各媒體紛紛報(bào)道，下面僅列舉2009年4～5月間一些媒體關(guān)于電子銀行業(yè)務(wù)風(fēng)險(xiǎn)信息的報(bào)道。

2009年4月21日 北京晚報(bào) 《黑客組織盯上銀行財(cái)稅網(wǎng)站 網(wǎng)站頻頻掛木馬》

2009年4月22日 南方日報(bào) 《ATM機(jī)騙術(shù)翻新警方支招防范》

2009年4月24日 上海證券報(bào) 《無持卡人簽名POS單銀行照常扣款被起訴》

2009年4月27日 新民晚報(bào) 《ATM機(jī)做手腳新版本：出鈔口鈔票看得見拿不到》

2009年4月28日 深圳晚報(bào) 《警惕柜員機(jī)上安裝讀卡器盜存款》

2009年4月29日 北京晚報(bào) 《信用卡非法套現(xiàn)猖獗套現(xiàn)公司自稱不愁沒生意》

2009年5月4日 廣州日報(bào) 《三大銀行卡詐騙招數(shù)揭秘：來電號(hào)碼輕信不得》

2009年5月6日 每日新報(bào) 《銀行卡安全再添保險(xiǎn)》

新京報(bào) 《消協(xié)與北京銀協(xié)聯(lián)合發(fā)布銀行卡安全使用提示》

新京報(bào) 《北京首次截獲ATM第三只眼》

北京晚報(bào) 《北京警方首次截獲取款機(jī)克隆卡工具》

2009年5月7日 深圳特區(qū)報(bào) 《深圳：柜員機(jī)貼故障提示誘人轉(zhuǎn)賬》

2009年5月8日 新華網(wǎng) 《新華社：不法分子用銀行卡套現(xiàn)給社會(huì)帶來危害》

2009年5月13日 成都商報(bào) 《銀行卡復(fù)制設(shè)備網(wǎng)上瘋狂叫賣一萬五即可買全套》

2009年5月14日 證券時(shí)報(bào) 《信用卡套現(xiàn)猖獗 銀行壓縮額度應(yīng)對(duì)》

2009年5月16日 第一財(cái)經(jīng)日報(bào) 《信用卡套現(xiàn)將無處遁形》

2009年5月19日 羊城晚報(bào) 《銀行已成網(wǎng)絡(luò)攻擊重點(diǎn)國外黑客年收十幾萬歐元》

長沙晚報(bào) 《銀行卡被調(diào)包存錢存入他人賬戶》

證券時(shí)報(bào) 《克隆銀行卡產(chǎn)銷一條龍網(wǎng)上叫賣萬元額度售1800》

證券時(shí)報(bào) 《揭開銀行卡被盜刷的秘密：致命隱患藏身磁條》

2009年5月20日 證券時(shí)報(bào) 《工行浦發(fā)等多家銀行儲(chǔ)戶信用卡遭遇跨境盜刷》

無論是監(jiān)管部門的監(jiān)管要求，還是社會(huì)對(duì)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)的重點(diǎn)關(guān)注，一旦發(fā)生風(fēng)險(xiǎn)案件會(huì)影響到銀行自身形象。因此，從健康發(fā)展的角度考慮，開辦電子銀行業(yè)務(wù)的金融機(jī)構(gòu)都應(yīng)將業(yè)務(wù)風(fēng)險(xiǎn)作為一項(xiàng)重要工作來抓。

2 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)類型分析

2.1 特約商戶收單業(yè)務(wù)

在借記卡占據(jù)主流的受理市場上，持卡人以自身存款且以密碼方式確認(rèn)完成，對(duì)于商戶端而言，欺詐冒用風(fēng)險(xiǎn)幾乎為零。鑒于此，收單機(jī)構(gòu)普遍認(rèn)為POS收單是一項(xiàng)高收益、零風(fēng)險(xiǎn)的業(yè)務(wù)。隨著近年來貸記卡業(yè)務(wù)的迅速發(fā)展和銀行卡受理范圍的擴(kuò)大，商戶風(fēng)險(xiǎn)日漸突出。由于需要對(duì)簽約商戶受理的所有交易負(fù)責(zé)，收單機(jī)構(gòu)必須轉(zhuǎn)變觀念，對(duì)商戶的潛在信貸和欺詐風(fēng)險(xiǎn)進(jìn)行充分預(yù)測和評(píng)估。否則，商戶風(fēng)險(xiǎn)會(huì)給收單機(jī)構(gòu)造成嚴(yán)重后果?，F(xiàn)詳細(xì)介紹以下商戶欺詐風(fēng)險(xiǎn)。

2.1.1 惡意倒閉風(fēng)險(xiǎn)

不法商戶在收單機(jī)構(gòu)開設(shè)了看似合法經(jīng)營的商戶賬戶，受理銀行卡。當(dāng)收到大筆清算款項(xiàng)后商戶立即關(guān)門，故意破產(chǎn)，負(fù)責(zé)人也馬上銷聲匿跡，使收單機(jī)構(gòu)承擔(dān)此后的退單損失。

2.1.2 商戶套現(xiàn)風(fēng)險(xiǎn)

是指商戶與不良持卡人或其他第三方勾結(jié)，或商戶自身進(jìn)行虛假交易套取現(xiàn)金的行為?，F(xiàn)在套現(xiàn)活動(dòng)十分猖獗，在一些網(wǎng)站、報(bào)紙、小廣告中常有套現(xiàn)廣告。目前國內(nèi)常見的商戶套現(xiàn)有以下三種類型：

（1）不法持卡人與商戶相勾結(jié)，利用商戶POS終端進(jìn)行虛假交易，商戶在扣除一定手續(xù)費(fèi)后將交易款余額支付給持卡人；

（2）不法商戶使用虛假資料或騙取他人資料申請獲取多張卡后，再申請成為收單機(jī)構(gòu)的商戶，之后用卡進(jìn)行虛假交易，套現(xiàn)后銷聲匿跡；

（3）一些代理辦卡的中介機(jī)構(gòu)首先協(xié)助急需資金的客戶以偽造資料或夸大資信的手法，向發(fā)卡機(jī)構(gòu)申辦信用卡，之后中介機(jī)構(gòu)又申請成為收單機(jī)構(gòu)的特約商戶，協(xié)助已辦好卡的客戶以虛假交易方式套取現(xiàn)金。

2.1.3 商戶洗單風(fēng)險(xiǎn)

洗單是指與收單機(jī)構(gòu)簽署了有效商戶協(xié)議的商戶，將其他未簽約商戶的交易在本商戶的POS機(jī)或壓印機(jī)上刷卡，假冒本店交易與收單機(jī)構(gòu)清算。通過這種方式，可能將欺詐或非法交易合法化，并順利收到交易款項(xiàng)。委托洗單的多為出于某些原因不能或不愿意簽署受理協(xié)議的商戶，如高風(fēng)險(xiǎn)的電話營銷商、郵購商戶等，也有可能是專門受理偽卡、進(jìn)行偽冒交易的非法商戶等。

2.1.4 商戶側(cè)錄風(fēng)險(xiǎn)

在境外，側(cè)錄是一種常見的商戶欺詐類型，隨著銀行卡犯罪向境內(nèi)遷移，目前在國內(nèi)類似案例也逐漸增多，已成為商戶欺詐的新興手法，應(yīng)引起足夠關(guān)注。側(cè)錄大體可分為三類：

（1）在商戶經(jīng)營場所。不法商戶或合法商戶中的不法員工在合法交易過程中利用側(cè)錄儀器，將所有磁道信息復(fù)制下來。信息竊取可以發(fā)生在刷卡請求授權(quán)時(shí)——通過連接POS終端的小型電腦或其他設(shè)備獲取磁條信息，或者通過一個(gè)單獨(dú)的、掌上型側(cè)錄設(shè)備進(jìn)行二次刷卡。通過這種方式獲取的全磁道信息可以下載并編碼到偽造卡或盜竊卡中。

（2）在數(shù)據(jù)傳輸過程中。磁條信息在授權(quán)過程的不同實(shí)體間轉(zhuǎn)移過程中被竊取，包括：①商戶的主機(jī)系統(tǒng)；②發(fā)卡機(jī)構(gòu)或收單機(jī)構(gòu)的主機(jī)系統(tǒng)；

③發(fā)卡機(jī)構(gòu)或收單機(jī)構(gòu)的第三方處理器。

卡信息可以通過電話線竊聽或從衛(wèi)星的無線傳輸中獲取。能接觸到這些信息的員工有可能與不法分子勾結(jié)進(jìn)行信息竊取，然而商戶負(fù)責(zé)人可能根本不清楚這些安全漏洞。

（3）在數(shù)據(jù)信息的存儲(chǔ)場所。卡信息存儲(chǔ)的任何場所都有可能被竊取卡信息，這些地方包括POS終端、個(gè)人計(jì)算機(jī)和大型主機(jī)等。另外，不法分子還有可能侵入數(shù)據(jù)存儲(chǔ)系統(tǒng)掠奪和復(fù)制有效的卡數(shù)據(jù)。

2.1.5 商戶合謀偽冒交易風(fēng)險(xiǎn)

某些商戶因利益驅(qū)使，與不法分子合謀，在商戶集中使用偽卡或失竊、被盜卡，或購買易變現(xiàn)商品，或享受相關(guān)服務(wù)，最終發(fā)卡機(jī)構(gòu)承擔(dān)該類損失，收單機(jī)構(gòu)也可能因?yàn)槠墼p交易比率或退單比率超標(biāo)而承擔(dān)退單損失，或承擔(dān)違規(guī)處罰。

2.1.6 手輸卡號(hào)欺詐風(fēng)險(xiǎn)

以手輸卡號(hào)方式處理欺詐交易和未授權(quán)交易，是許多商戶欺詐模式中頻繁使用的手法，如前述的惡意倒閉、洗單等，都與之相關(guān)。不法分子通常獲取了一系列偽造或欺詐獲得的卡號(hào)后，以手輸卡號(hào)方式來輸入交易，之后立即提交清算，并盡快卷走交易款項(xiàng)。目前在國內(nèi)，收單機(jī)構(gòu)對(duì)在POS上開放手輸功能持謹(jǐn)慎態(tài)度，僅有部分酒店前臺(tái)可使用該項(xiàng)功能，因此該類欺詐在國內(nèi)并不普遍。但應(yīng)當(dāng)嚴(yán)格控制“聯(lián)機(jī)退貨”等風(fēng)險(xiǎn)類交易權(quán)限。

2.1.7 虛假商戶

虛假商戶唯一目的就是從合法持卡人處側(cè)錄或復(fù)制卡信息，然后制作偽卡，盜刷套取資金。

2.2 ATM收單業(yè)務(wù)

犯罪分子通過銀行布放的ATM實(shí)施犯罪，給持卡人造成資金損失的同時(shí)，也嚴(yán)重?fù)p害了銀行的聲譽(yù)，使銀行卡也連帶蒙受了經(jīng)濟(jì)損失。其采用的主要手段有以下幾種。

2.2.1 安裝特殊裝置盜取銀行卡信息

不法分子除通過在自助銀行門禁系統(tǒng)、自助設(shè)備上安裝攝像頭、假鍵盤、錄音機(jī)等特殊裝置盜錄持卡人銀行卡卡號(hào)、密碼等安全信息外，還利用測錄機(jī)等設(shè)備盜取客戶磁卡上的磁道信息，再利用盜取的信息制作偽卡后大肆消費(fèi)、取現(xiàn)，給持卡人和發(fā)卡銀行造成重大經(jīng)濟(jì)損失。犯罪分子安裝側(cè)錄裝置十分迅速，而且一般是在晚上進(jìn)行，很難防范。一旦持卡人在農(nóng)村信用社的ATM上被側(cè)錄，有資金損失時(shí)，農(nóng)村信用社將承擔(dān)一部分責(zé)任。

《燕趙都市報(bào)》2008年12月5日報(bào)道《銀行卡被盜刷46萬銀行被判全額賠償》，南京市民王先生到ATM取款時(shí)，突然發(fā)現(xiàn)卡上46萬元現(xiàn)金不翼而飛。警方迅速破案，原來是犯罪分子利用在ATM機(jī)附近安裝讀卡器、MP4等手段，竊取了王先生的卡號(hào)和密碼，然后又用復(fù)制假卡的手段從其賬戶上支取了巨款。2008年9月，他將涉案銀行告上南京市鼓樓區(qū)法院，要求銀行賠償全額損失。法院對(duì)此案作出一審判決，王先生的訴訟請求獲得全部支持。法院判決銀行敗訴的理由是：該銀行自助銀行在安全防范上存在技術(shù)缺陷，未能履行應(yīng)負(fù)的保護(hù)儲(chǔ)戶存款安全的義務(wù)。主審法官丁廣說，此案判決的示范意義就在于，銀行與儲(chǔ)戶之間形成合同關(guān)系，銀行既然要設(shè)無人值守的自助取款機(jī)，那就必須要確保儲(chǔ)戶的資金安全，而一旦儲(chǔ)戶在沒有任何過錯(cuò)的情況下資金被人盜取，那銀行就得承擔(dān)全部責(zé)任。

2.2.2 制造吞卡、不出鈔等假相

不法分子先將自制裝置放入ATM讀卡器內(nèi)制造“吞卡”假相，或是在ATM出鈔口設(shè)障，使ATM機(jī)吐鈔不成功，同時(shí)在ATM機(jī)旁粘貼假冒的“客戶服務(wù)投訴熱線”，引誘持卡人向所謂的“銀行員工”或“公安人員”透露卡號(hào)、密碼等安全信息，或直接把資金轉(zhuǎn)移到其指定的賬戶上。經(jīng)查，目前不法分子的詐騙手段又有升級(jí)，出現(xiàn)了將真實(shí)銀行客戶服務(wù)電話號(hào)碼嵌入小靈通號(hào)碼，偽裝銀行客戶服務(wù)熱線的新手法，較之早前的手法更具隱蔽性和欺騙性。

2.2.3 張貼虛假告示

不法分子冒充ATM管理單位，在ATM機(jī)上張貼緊急通知或公告（如“銀行系統(tǒng)升級(jí)”、“銀行程序調(diào)試”等），要求持卡人將自己銀行卡的資金通過ATM轉(zhuǎn)賬到指定賬戶上，盜取持卡人存款。

2.2.4 分散持卡人注意力，對(duì)卡片進(jìn)行掉包

此類案件中，不法分子通常結(jié)伙作案，在持卡人進(jìn)行ATM機(jī)操作過程中，采取假裝提醒持卡人遺落錢物、詢問ATM機(jī)使用方法、故意推撞持卡人等方式干擾持卡人的正常操作，轉(zhuǎn)移其視線后在卡口插上假冒的同類銀行卡，使持卡人誤以為自己的銀行卡被ATM機(jī)退出。持卡人為防盜搶，慌亂中沒有認(rèn)真鑒別卡片真?zhèn)渭措x開，犯罪分子利用留在機(jī)具內(nèi)的真卡，繼續(xù)進(jìn)行取款、修改密碼甚至取卡后到商場消費(fèi)等操作，使持卡人蒙受損失。

我們布放了ATM，就有義務(wù)為客戶提供一個(gè)安全的用卡環(huán)境?？蛻粢蛟阢y行布放的ATM使用時(shí)，銀行卡信息被側(cè)錄或是遭受欺詐，將銀行告上法庭的案件中，最終銀行多以應(yīng)為客戶提供安全的用卡環(huán)境、負(fù)有保護(hù)責(zé)任而敗訴，賠償客戶資金損失。

2.3 電話銀行業(yè)務(wù)

電話銀行業(yè)務(wù)的風(fēng)險(xiǎn)主要為外部欺詐風(fēng)險(xiǎn)和內(nèi)部控制風(fēng)險(xiǎn)。

2.3.1 外部欺詐風(fēng)險(xiǎn)

（1）假冒銀行給客戶發(fā)送短信，謊稱其中獎(jiǎng)，并提供一個(gè)聯(lián)系的固定電話?？蛻魮艽蛟撾娫捄螅娫捴袝?huì)自動(dòng)語音提示各家銀行的電話銀行號(hào)碼，在客戶選擇其中一家后，系統(tǒng)會(huì)提示客戶輸入銀行卡卡號(hào)和客戶密碼，并稱可以提供銀行卡的查詢、密碼修改等服務(wù)。一旦客戶輸入的卡號(hào)和密碼信息被獲取后，有可能被不法分子利用以盜取客戶賬戶的資金。

（2）客戶設(shè)置電話銀行密碼過于簡單，賬號(hào)或卡號(hào)信息泄露后，被破譯電話銀行密碼，造成資金損失；或者是客戶在公用電話上使用電話銀行，未及時(shí)清理使用記錄，電話銀行信息泄露，造成資金損失。

（3）犯罪分子偽冒真實(shí)客戶開通電話銀行轉(zhuǎn)賬功能，同時(shí)開立新賬戶，通過電話銀行轉(zhuǎn)賬盜取客戶資金。

（4）電話語音系統(tǒng)的交易訊息（含語音密碼）通過電話通信系統(tǒng)傳遞時(shí)均為明碼，雖多以干擾音加密，犯罪分子仍可借機(jī)竊聽電話通信內(nèi)容截取交易訊息后并加以破解，取得存戶賬號(hào)及密碼后，再予以盜轉(zhuǎn)存款。

2.3.2 內(nèi)部控制風(fēng)險(xiǎn)

（1）前臺(tái)操作人員擅自為客戶開通電話銀行，私自維護(hù)電話銀行轉(zhuǎn)賬協(xié)議，通過電話銀行轉(zhuǎn)賬盜取客戶資金。

（2）電話語音系統(tǒng)廠商維護(hù)人員（或金融機(jī)構(gòu)程序人員）非法竄改語音系統(tǒng)程序，記錄含語音密碼之交易訊息并借機(jī)拷貝復(fù)制，再利用語音轉(zhuǎn)賬盜轉(zhuǎn)存款。

2.4 網(wǎng)上銀行業(yè)務(wù)

網(wǎng)上銀行是客戶利用個(gè)人計(jì)算機(jī)，由認(rèn)證機(jī)構(gòu)所核發(fā)之電子憑證，透過因特網(wǎng)聯(lián)機(jī)至銀行網(wǎng)站進(jìn)行交易，因此其風(fēng)險(xiǎn)主要來自于三個(gè)方面：客戶端作業(yè)憑證的保管及使用、銀行端信息設(shè)備與系統(tǒng)之安全防護(hù)、交易訊息經(jīng)由因特網(wǎng)傳輸過程是否遭受外來黑客干擾或截聽；另外，由于網(wǎng)上銀行交易過程中均處于開放環(huán)境的系統(tǒng)架構(gòu)，致可能隨時(shí)遭遇來自銀行內(nèi)部、外部的挑戰(zhàn)。綜上所述，網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)可能如下：

2.4.1 主機(jī)實(shí)體安全漏洞

主機(jī)實(shí)體存在安全漏洞，發(fā)生信息泄露，如：信息機(jī)房門禁管制欠佳、輸出入設(shè)備及通信設(shè)備管制欠妥、預(yù)留過多未經(jīng)管制之外接端口、報(bào)表及磁性媒體管制欠妥等，導(dǎo)致主機(jī)遭破壞、系統(tǒng)遭入侵、防火墻被關(guān)閉、實(shí)體鏈接線路被改變，作業(yè)人員或客戶數(shù)據(jù)遭竊取等。

2.4.2 操作系統(tǒng)或系統(tǒng)軟件漏洞

在系統(tǒng)管理方面存在某些欠缺，如：未定期修補(bǔ)系統(tǒng)程序或未及時(shí)提升版本、未掃描異常更新或復(fù)制之系統(tǒng)檔案、未設(shè)妥計(jì)算機(jī)病毒防范措施、系統(tǒng)安控參數(shù)設(shè)定不完整，致使黑客利用緩沖區(qū)溢出漏洞、植入木馬程序取得特權(quán)用戶密碼或夾帶植入計(jì)算機(jī)病毒以癱瘓主機(jī)及防火墻系統(tǒng)，或夾帶木馬程序進(jìn)行數(shù)據(jù)竊取及破壞，或利用系統(tǒng)安控設(shè)定不周延以進(jìn)行數(shù)據(jù)竊取及破壞。

2.4.3 內(nèi)部控制風(fēng)險(xiǎn)

在業(yè)務(wù)開通流程、業(yè)務(wù)授權(quán)管理等環(huán)節(jié)管理存在未知漏洞或者是執(zhí)行力度欠佳，如：操作人員竊取客戶數(shù)據(jù)、重要電子憑證等，擅自為客戶開通網(wǎng)上銀行，通過網(wǎng)上銀行盜取客戶資金。

案例：某犯罪分子在媒體刊登廣告以征求彩券經(jīng)銷商加盟店需繳交保證金（金額不等）50萬元為餌，計(jì)誘受騙民眾至××銀行開立賬戶，存入雙方事先約定金額，并申請語音及網(wǎng)上銀行服務(wù)，之后歹徒以查詢各受騙民眾是否依約存入保證金為由，騙取其密碼，搶先使用密碼登入網(wǎng)上銀行系統(tǒng)下載受害人的電子憑證，并隨即通過網(wǎng)上銀行轉(zhuǎn)賬功能，分別盜轉(zhuǎn)各受害人存款。

3 農(nóng)村信用社電子銀行業(yè)務(wù)正處起步階段，風(fēng)險(xiǎn)更為突出

農(nóng)村信用社電子銀行業(yè)務(wù)正處起步階段，管理體系不完善、管理制度有待健全、業(yè)務(wù)人員對(duì)新業(yè)務(wù)認(rèn)知不夠，這些都將上述風(fēng)險(xiǎn)更加擴(kuò)大化，所以信用社所面臨的電子銀行業(yè)務(wù)風(fēng)險(xiǎn)尤為突出。

在對(duì)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)充分認(rèn)識(shí)和研究的基礎(chǔ)上，制訂明晰的業(yè)務(wù)風(fēng)險(xiǎn)管理策略，對(duì)一定時(shí)期內(nèi)的風(fēng)險(xiǎn)管理目標(biāo)及目標(biāo)實(shí)施計(jì)劃進(jìn)行明確規(guī)劃，是當(dāng)前農(nóng)村信用社在開展電子銀行業(yè)務(wù)之前必須認(rèn)真考慮和仔細(xì)準(zhǔn)備的事情。