陳艷

美國個人消費信用評估公司在2018年進行了一次調(diào)查。在過去一年中，超過三分之一的金融服務公司高管表示，他們公司的網(wǎng)絡被攻擊事件增加了25%。雖然網(wǎng)絡攻擊可以威脅到任何類型和規(guī)模的公司，但顯而易見的是，金融服務公司是網(wǎng)絡犯罪分子和欺詐者的首要目標。

金融機構網(wǎng)絡欺詐風險不斷上升

犯罪分子對環(huán)球銀行金融電信協(xié)會（Swift，Society for Worldwide Interbank Financial Telecommunications）實施的一系列網(wǎng)絡欺詐攻擊促使全行業(yè)對信息技術安全措施進行了審查，這使得東南亞及其他地區(qū)金融機構網(wǎng)絡欺詐不斷上升的風險更加引人關注。為了加強全球銀行業(yè)務平臺的安全性，Swift采取了由五部分組成的客戶安全計劃，但其首席執(zhí)行官警告說，“未來仍然會有更多的攻擊”。

發(fā)展中國家往往缺乏檢測和阻止此類攻擊的技術資源，因此這些國家的網(wǎng)絡欺詐風險更高。咨詢顧問機構通亞公司將東南亞視為對金融機構進行網(wǎng)絡欺詐的高風險地區(qū)。

近年來亞洲一系列的欺詐案例表明，“新”欺詐實際上好比新瓶裝舊酒。近年來，雖然各方公布的欺詐案數(shù)量眾多，但據(jù)估計，只有20%的欺詐案件被曝光并公之于眾，其余欺詐行為或是未被發(fā)現(xiàn)，或是基于聲譽、影響等風險而未公開。

亞洲銀行過去的種種危機包括貸款質(zhì)量的惡化、客戶缺乏信心、貸款做法不健全、信貸控制松懈、新業(yè)務部門多元化、過度貸款和負債管理不善等。即使銀行風險管理的框架與技術隨著時間的推移有所改善，緩解了這些風險，然而，另一場可能導致銀行倒閉的危機——欺詐風險，仍然難以預測和管理。銀行和金融系統(tǒng)固有的弱點為欺詐活動提供了渠道，加上金融發(fā)展步伐加快，在實現(xiàn)短期回報時，欺詐攻擊可能會增加。

2016年2月，孟加拉國家銀行在紐約聯(lián)邦儲備銀行賬戶上的8100萬美元網(wǎng)絡盜竊案的資金已經(jīng)追蹤到了菲律賓。另據(jù)報道，香港恰恰是2015年年初厄瓜多爾銀行200萬美元網(wǎng)絡盜竊案贓款追蹤的末端，而菲律賓也是2015年10月早些時候襲擊的目標。

通亞公司認為，柬埔寨、緬甸、印度尼西亞和菲律賓的金融機構將會是東南亞地區(qū)因信息技術安全措施松懈、治理和執(zhí)法薄弱而受到網(wǎng)絡欺詐攻擊風險最大的國家，那里更便于跨國犯罪。但即便是其他國家也未必能幸免于難，例如泰國就是銀行ATM機受到大規(guī)模欺詐的重災區(qū)。最令人不安的是，犯罪行為發(fā)生在曼谷繁忙、富裕的地區(qū)，這讓曼谷居民擔心他們在城市的任何地方使用ATM機都不安全。

這種形式的ATM犯罪被稱為ATM略讀，犯罪分子會將設備放置在ATM機的數(shù)字鍵盤和卡的插入點上，用來讀取那些毫無戒心的受害者正在使用的銀行卡的數(shù)據(jù)和密碼。在某些情況下，犯罪分子會使用一個小攝像頭來秘密監(jiān)控密碼。對許多人來說，這些事件已經(jīng)提高了他們的安全意識，但同時在ATM機上使用銀行卡確實存在潛在風險，因此許多專家正在為銀行卡推廣芯片和密碼卡以提高安全性。

曼谷銀行此前曾建議泰國的每一家銀行在未來兩年內(nèi)都應采用“芯片內(nèi)PIN”系統(tǒng)。曼谷銀行被認為是泰國第一家引進這項技術的銀行，許多銀行也都紛紛效仿，并申請新的技術或者尋找其他替代方案，以解決ATM犯罪問題。曼谷銀行副經(jīng)理解釋說，“在芯片和PIN系統(tǒng)下，芯片卡將包含一個小CPU在卡內(nèi)。一旦卡插入機器，存儲在磁標簽和CPU中的信息必須相互匹配。主賬戶信息存儲在芯片中，訪問它需要單獨的密碼。即使卡被略讀，被篡改的機器也只能訪問部分信息，存儲在芯片內(nèi)部的信息將無法被侵入者使用”。大城銀行執(zhí)行副總裁則表示，“大城銀行目前正在選擇適當?shù)能浖透倪MATM系統(tǒng)，但銀行需要花費大量資金來改變操作系統(tǒng)，每臺機器至少要花費二十萬至三十萬泰銖才能更換”。

“沒有一個系統(tǒng)可以100%防止欺詐”

與此同時，暹羅商業(yè)銀行執(zhí)行副總裁表示，“沒有一個系統(tǒng)可以100%地防止欺詐行為。此前我們曾嘗試在ATM機上安裝反略讀系統(tǒng)，盡管采取了新的安全措施，但侵入者成功破解了該系統(tǒng)，并找到了查找用戶信息的方法，所以轉(zhuǎn)換成芯片卡系統(tǒng)并不能保證欺詐行為就此消失。而且，考慮到所有潛在的成本，大約需要一千年的時間才能獲得利潤”。暹羅商業(yè)銀行目前大約有9000臺自動取款機在運作，其中70%的自動取款機不能讀取芯片卡，而市面上流通的借記卡和信用卡有1000多萬張。

曼谷銀行副經(jīng)理也認為，芯片和PIN系統(tǒng)并不是一勞永逸的解決方法。他說：“不管防欺詐技術的發(fā)展如何，客戶都應該時刻警惕他們的賬戶變動，因為犯罪團伙也在開發(fā)他們自己的技術來獲取資金持有人的信息?？蛻糇陨響敿訌婎A防措施，比如選擇ATM機的安全位置（如銀行內(nèi)部或周圍）、注意機器的任何異常情況、經(jīng)常更改密碼等，另一種選擇是開通短信提醒，查看賬戶的流動情況，每月僅10泰銖，以換取更安全的服務?！苯鹑谙M者保護中心（FCPC，F(xiàn)inancial Consumer Protection Centre）的主管還建議客戶要做好風險防范的最后一道防線。她說：“技術發(fā)展迅速，我們必須學會如何預防風險。如果客戶在自動取款機上發(fā)現(xiàn)任何可疑的情況，應該盡快告知機器操作員?！?/p>

許多網(wǎng)絡安全專家認為，很多快速攻擊是由同一組黑客進行的。聯(lián)邦調(diào)查局的介入曾使朝鮮卷入當年的索尼黑客事件，而許多信息技術領域以外的安全專家則駁斥了朝鮮直接參與這些快速攻擊的說法。

《時代》周刊在針對諸多攻擊事件所作的調(diào)查報告中曾經(jīng)援引過一位知情人士的話語，稱一些網(wǎng)絡黑客發(fā)現(xiàn)了最初的漏洞后將信息出售給了網(wǎng)絡犯罪集團。其實，無論由誰來承擔這些攻擊的責任，都應該重視加強安全防御，以防止未來的攻擊。在越南，該國領先的網(wǎng)絡安全公司BKAV認為，30%的越南商業(yè)銀行的網(wǎng)站存在漏洞，其中三分之二的網(wǎng)站存在網(wǎng)絡攻擊的中高風險。在欠發(fā)達的東南亞國家，如柬埔寨和緬甸，這個數(shù)字可能要高得多。

“Swift遭遇的攻擊使他們需要更嚴格的網(wǎng)絡安全協(xié)議，但再嚴格的措施也不夠，”數(shù)據(jù)衍生品公司的創(chuàng)始人兼金融犯罪技術顧問福斯特解釋說，“因為還有其他方法可以啟動支付，例如通過社會工程，甚至還有極端的例子——扣押核心員工的家人作為人質(zhì)。那么當安全措施失敗時，還能做什么呢？”福斯特建議開發(fā)一種模型，在該模型中，銀行可以在支付信息離開銀行網(wǎng)絡之前檢測到對快速支付流量的欺詐行為，即通過歷史交易記錄檢測現(xiàn)時交易，如有偏離歷史交易習慣的行為，則被認為涉嫌信用卡欺詐。相信類似的欺詐檢測模型可以在支付信息離開銀行網(wǎng)絡之前應用于Swift的支付檢測。

“快速攻擊可能只是大規(guī)模行動的開始，網(wǎng)絡犯罪組織系統(tǒng)地瞄準弱勢銀行并利用已知的漏洞，”福斯特說，“一系列的攻擊事件可能會加速圍繞突破性技術創(chuàng)新的討論，例如使用區(qū)塊鏈生態(tài)系統(tǒng)作為高價值跨境資金轉(zhuǎn)移的替代方案?！?/p>

編輯：薛華 ?icexue0321@163.com