论文部分内容阅读
隨著銀行卡、信用卡市場的發展,金融交易欺詐變得非常有利可圖;而欺詐總是傾向於攻擊薄弱的環節。
當下金融網絡交易案件頻發,各大商業銀行對存款人賬戶資金安全的保護能力遭受質疑。
日前隨著金融業務的不斷拓展,金融領域犯罪活動也不斷「升級」,不僅借助高科技含量的工具,花樣也不斷翻新,假冒網銀、釣魚網站竊取客戶資料及密碼導致儲蓄賬戶資金被盜案件時有發生。商業銀行對存款人賬戶資金安全的保護能力遭受質疑。
網上交易趁熱被「釣」案件頻發
近年來,大陸銀行卡、特別是信用卡業務的發展非常迅速。截至2011年4月,信用卡總量已達到2.1億張,2010年信用卡交易量達5.1萬億元(人民幣,下同),其中消費金額2.7萬億元。又有數據統計,2009年,大陸信用卡產業已形成損失的欺詐交易金額達1.74億元,同比增長5.10%,2010年又翻了一番。
可見,銀行卡業務雖高歌猛進,但銀行卡欺詐交易的風險防範意識卻甚為薄弱。銀行卡欺詐交易的威脅日益嚴峻。
費埃哲信息技術(北京)有限公司副總裁陳建分析稱,一方面,隨著卡市場的發展,這種欺詐變得非常有利可圖;另一方面,欺詐總是傾向於攻擊薄弱的環節。「在欺詐防範的技術手段上比較初級,風險防範的意識薄弱。因而欺詐非常容易得逞,欺詐的規模化發展成為一個趨勢。」
欺詐風險屬操作風險範疇。縱觀已發生的欺詐行為,如信用卡套現、盜卡、偽造卡、釣魚網站等網上支付詐騙等,欺詐犯罪手段並不高明,受害者之中也不乏高學歷、高智商的人群。當欺詐交易發生時,指責客戶風險防範意識的不足多有失公允,更需銀行反省自身,其反欺詐管理是否在意識、技術和機制上存在漏洞和不足。
銀行撇清責任真「無過錯」?
在已發生的多起欺詐交易中,銀行無一不撇清責任,如何看待銀行的「無過錯論」?
一位股份制銀行電子銀行部人士認為,通過釣魚網站等方式發生的欺詐交易,確實跟銀行的IT系統技術本身沒有關係,不過,事件的蔓延與升級,是銀行風險管理意識薄弱的體現。相對於銀行卡市場份額、交易規模的迅速擴大,風險防範和服務手段卻並未跟上。「過於注重做功能,而比較忽視客戶服務和風險防範。」
另有銀行業分析人士稱,根源在於當前靠規模發展模式下,銀行重增速輕風險,重短期輕遠期,重大客戶而輕普通儲蓄存款人的思維模式。無論是技術還是服務層面,任何一項風險管理措施都需要付出成本,「欺詐交易發生時造成的損失,對銀行而言主要是品牌聲譽受影響,也即間接損失,而資金的直接損失是客戶承擔。」
但是,大陸銀行對品牌價值及聲譽的重視,在同質化競爭中驅動力明顯不足。陳建指出,在美國,通常盜卡、偽造卡等信用卡欺詐交易帶來的損失百分之百由銀行來承擔,而中國大陸還沒有普遍採納這一規則,「僅僅只在一定時效內承擔損失」。
在有些商業銀行的「無責論」下,客戶的被騙資金追索及賠付工作十分困難。「針對釣魚網站等欺詐交易的客戶投訴,銀行一般是拒不賠付。」國有銀行人士指出,除非經公安機關偵查破案後,從犯罪分子那取回被騙資金。
一個普通的存款人,其重要性對於銀行而言,難道就可以被忽視?在利率市場化改革的進程中,商業銀行需要重新思考這一命題。
加強交易監測分析實施反欺詐
對於各種欺詐案件的頻繁發生,大陸的商業銀行對欺詐交易風險管理已經有所認識,但在具體操作上還需強化。
通常欺詐交易風險管理體系只有最基本的解決方案,即在案件發生後,經客戶舉報、投訴方才進行案件跟蹤以及客戶關係處理。「但是,欺詐交易風險管理最重要的環節是事前的監測和識別,因為案件發生時,損失已經造成,並且對資金的追索、案件的偵破不僅成本巨大,而且難以完成。」陳建說。
欺詐交易事前監測與識別十分必要,銀行可以事先有更多作為。比如通過建立模型來分析和發現欺詐行為,從而在不增加存款持有量的情況下改善客戶關係,而不僅僅只是對客戶做風險教育及提示;銀行有責任主動發現釣魚網站的存在,然後及時提醒客戶去防範,並協調相關部門關閉這個釣魚網站,「這方面銀行還是有很多改進空間」。
從國際上的經驗來講,幾乎主要的發卡銀行,都採用基於神經網絡模型的預測以及大批量實時處理的IT手段,來進行實時的精確的反欺詐,特別是反申請欺詐和交易欺詐。簡而言之,即建立一種預測模型,通過對歷史交易數據、欺詐活動、持卡人信息的技術分析,來說明賬戶存在欺詐交易行為的可能性。而在具體交易中,銀行也可以通過一些輔助手段來幫助客戶控制風險。
「比如對網銀交易設置更靈活的額度或降低單筆轉賬金額;比如一筆交易操作完成後,銀行在資金轉移出去之前,通過客服短信告知客戶;針對金額較大、或者較可疑的轉賬行為,還可以讓客服中心人工進行交易確認。」一國有銀行電子銀行部負責人指出。
持卡者如何防範網上金融交易風險?
任何模型建立的基礎要有大量歷史數據積累,通過海量數據及科學的模型才能得出結論。而中國大陸銀行卡、信用卡市場的發展時間尚短,銀行進行數據大集中也就最近幾年,有的銀行甚至數據大集中都未實現,模型的效果可想而知。
且目前大陸銀行IT系統管理水平參差不齊,沒有一個總體的協調。這些都將成為銀行反欺詐體系的制約因素,那麼,持卡者(包括團體、企業、個人等)自身應如何提高防範意識,保護自身財產的安全交易?
銀監會業務創新監管協作部副主任尹龍表示,持卡者防範金融欺詐可簡要地歸結為「一問二看三不要」。一問,詢問自己信息來源是否確定,詢問自己是否確認要進行交易;二看,看清相關銀行網址和ATM機設備,看清網站風險提示和窗口提示,看清操作程序,看清週邊交易環境是否安全;三不要,不要告訴任何人銀行卡的密碼,除非主動提供給親朋;不要使用簡單的或容易被人獲得的數字作為銀行卡密碼;不要把銀行卡與其他可透露個人信息的證件(比如身份證、戶口本、護照等)放在一起;不要把所有的卡都放在同一錢包或手提包裏;不要相信任何代為辦理銀行卡的中介。
工商銀行有關人士則提醒,對客戶來講,確保網上銀行安全的最有效途徑,就是申請網上銀行客戶證書U盾,並保管好自己手中的U盾及其密碼。還要有一定的安全防範意識,養成良好的網上銀行使用習慣:如要登錄正確網址;要保護好賬號密碼;要確保計算機安全,不要從不知名的網站下載軟件等。
相關鏈接
網銀交易安全工具比較
目前,各家銀行用戶端網銀安全工具除手機驗證外,主要有兩種方式,一是動態口令牌,二是數字證書U盾(Ukey),相當於一個存儲了個人數字認證信息的U盤。
網銀安全始終是在安全性和便捷性上進行權衡。
動態口令是每次隨機生成的一個數字組合,且每個口令只能使用一次,每隔60秒就會自動更新一次,但這個時間已足以讓不法分子在套取動態口令後迅速用來登錄用戶的網銀,從而盜取資金。網上交易採用單一的動態令牌保護顯然具有安全漏洞。動態口令也並非毫無可取,比如增加了一道手機認證的步驟,便相當於多了一道安全把關。
而U盾因多了一個類似U盤的物理介質,所以即使被破譯出U盾密碼,也不容易被竊取資金,除非,用戶的U盾與密碼同時丟失。如此看來,U盾確實強於動態令牌的安全性。但是,U盾在使用便捷性及客戶體驗上存在一些弱勢,如初次使用時涉及安裝驅動程序、下載數字證書等,對電腦軟硬環境都有一定要求,對客戶電腦操作技能也有一定要求。隨著平板電腦、手機銀行等電子化及新型支付方式的發展,U盾在便捷性上可能面臨更多限制。
當下金融網絡交易案件頻發,各大商業銀行對存款人賬戶資金安全的保護能力遭受質疑。
日前隨著金融業務的不斷拓展,金融領域犯罪活動也不斷「升級」,不僅借助高科技含量的工具,花樣也不斷翻新,假冒網銀、釣魚網站竊取客戶資料及密碼導致儲蓄賬戶資金被盜案件時有發生。商業銀行對存款人賬戶資金安全的保護能力遭受質疑。
網上交易趁熱被「釣」案件頻發
近年來,大陸銀行卡、特別是信用卡業務的發展非常迅速。截至2011年4月,信用卡總量已達到2.1億張,2010年信用卡交易量達5.1萬億元(人民幣,下同),其中消費金額2.7萬億元。又有數據統計,2009年,大陸信用卡產業已形成損失的欺詐交易金額達1.74億元,同比增長5.10%,2010年又翻了一番。
可見,銀行卡業務雖高歌猛進,但銀行卡欺詐交易的風險防範意識卻甚為薄弱。銀行卡欺詐交易的威脅日益嚴峻。
費埃哲信息技術(北京)有限公司副總裁陳建分析稱,一方面,隨著卡市場的發展,這種欺詐變得非常有利可圖;另一方面,欺詐總是傾向於攻擊薄弱的環節。「在欺詐防範的技術手段上比較初級,風險防範的意識薄弱。因而欺詐非常容易得逞,欺詐的規模化發展成為一個趨勢。」
欺詐風險屬操作風險範疇。縱觀已發生的欺詐行為,如信用卡套現、盜卡、偽造卡、釣魚網站等網上支付詐騙等,欺詐犯罪手段並不高明,受害者之中也不乏高學歷、高智商的人群。當欺詐交易發生時,指責客戶風險防範意識的不足多有失公允,更需銀行反省自身,其反欺詐管理是否在意識、技術和機制上存在漏洞和不足。
銀行撇清責任真「無過錯」?
在已發生的多起欺詐交易中,銀行無一不撇清責任,如何看待銀行的「無過錯論」?
一位股份制銀行電子銀行部人士認為,通過釣魚網站等方式發生的欺詐交易,確實跟銀行的IT系統技術本身沒有關係,不過,事件的蔓延與升級,是銀行風險管理意識薄弱的體現。相對於銀行卡市場份額、交易規模的迅速擴大,風險防範和服務手段卻並未跟上。「過於注重做功能,而比較忽視客戶服務和風險防範。」
另有銀行業分析人士稱,根源在於當前靠規模發展模式下,銀行重增速輕風險,重短期輕遠期,重大客戶而輕普通儲蓄存款人的思維模式。無論是技術還是服務層面,任何一項風險管理措施都需要付出成本,「欺詐交易發生時造成的損失,對銀行而言主要是品牌聲譽受影響,也即間接損失,而資金的直接損失是客戶承擔。」
但是,大陸銀行對品牌價值及聲譽的重視,在同質化競爭中驅動力明顯不足。陳建指出,在美國,通常盜卡、偽造卡等信用卡欺詐交易帶來的損失百分之百由銀行來承擔,而中國大陸還沒有普遍採納這一規則,「僅僅只在一定時效內承擔損失」。
在有些商業銀行的「無責論」下,客戶的被騙資金追索及賠付工作十分困難。「針對釣魚網站等欺詐交易的客戶投訴,銀行一般是拒不賠付。」國有銀行人士指出,除非經公安機關偵查破案後,從犯罪分子那取回被騙資金。
一個普通的存款人,其重要性對於銀行而言,難道就可以被忽視?在利率市場化改革的進程中,商業銀行需要重新思考這一命題。
加強交易監測分析實施反欺詐
對於各種欺詐案件的頻繁發生,大陸的商業銀行對欺詐交易風險管理已經有所認識,但在具體操作上還需強化。
通常欺詐交易風險管理體系只有最基本的解決方案,即在案件發生後,經客戶舉報、投訴方才進行案件跟蹤以及客戶關係處理。「但是,欺詐交易風險管理最重要的環節是事前的監測和識別,因為案件發生時,損失已經造成,並且對資金的追索、案件的偵破不僅成本巨大,而且難以完成。」陳建說。
欺詐交易事前監測與識別十分必要,銀行可以事先有更多作為。比如通過建立模型來分析和發現欺詐行為,從而在不增加存款持有量的情況下改善客戶關係,而不僅僅只是對客戶做風險教育及提示;銀行有責任主動發現釣魚網站的存在,然後及時提醒客戶去防範,並協調相關部門關閉這個釣魚網站,「這方面銀行還是有很多改進空間」。
從國際上的經驗來講,幾乎主要的發卡銀行,都採用基於神經網絡模型的預測以及大批量實時處理的IT手段,來進行實時的精確的反欺詐,特別是反申請欺詐和交易欺詐。簡而言之,即建立一種預測模型,通過對歷史交易數據、欺詐活動、持卡人信息的技術分析,來說明賬戶存在欺詐交易行為的可能性。而在具體交易中,銀行也可以通過一些輔助手段來幫助客戶控制風險。
「比如對網銀交易設置更靈活的額度或降低單筆轉賬金額;比如一筆交易操作完成後,銀行在資金轉移出去之前,通過客服短信告知客戶;針對金額較大、或者較可疑的轉賬行為,還可以讓客服中心人工進行交易確認。」一國有銀行電子銀行部負責人指出。
持卡者如何防範網上金融交易風險?
任何模型建立的基礎要有大量歷史數據積累,通過海量數據及科學的模型才能得出結論。而中國大陸銀行卡、信用卡市場的發展時間尚短,銀行進行數據大集中也就最近幾年,有的銀行甚至數據大集中都未實現,模型的效果可想而知。
且目前大陸銀行IT系統管理水平參差不齊,沒有一個總體的協調。這些都將成為銀行反欺詐體系的制約因素,那麼,持卡者(包括團體、企業、個人等)自身應如何提高防範意識,保護自身財產的安全交易?
銀監會業務創新監管協作部副主任尹龍表示,持卡者防範金融欺詐可簡要地歸結為「一問二看三不要」。一問,詢問自己信息來源是否確定,詢問自己是否確認要進行交易;二看,看清相關銀行網址和ATM機設備,看清網站風險提示和窗口提示,看清操作程序,看清週邊交易環境是否安全;三不要,不要告訴任何人銀行卡的密碼,除非主動提供給親朋;不要使用簡單的或容易被人獲得的數字作為銀行卡密碼;不要把銀行卡與其他可透露個人信息的證件(比如身份證、戶口本、護照等)放在一起;不要把所有的卡都放在同一錢包或手提包裏;不要相信任何代為辦理銀行卡的中介。
工商銀行有關人士則提醒,對客戶來講,確保網上銀行安全的最有效途徑,就是申請網上銀行客戶證書U盾,並保管好自己手中的U盾及其密碼。還要有一定的安全防範意識,養成良好的網上銀行使用習慣:如要登錄正確網址;要保護好賬號密碼;要確保計算機安全,不要從不知名的網站下載軟件等。
相關鏈接
網銀交易安全工具比較
目前,各家銀行用戶端網銀安全工具除手機驗證外,主要有兩種方式,一是動態口令牌,二是數字證書U盾(Ukey),相當於一個存儲了個人數字認證信息的U盤。
網銀安全始終是在安全性和便捷性上進行權衡。
動態口令是每次隨機生成的一個數字組合,且每個口令只能使用一次,每隔60秒就會自動更新一次,但這個時間已足以讓不法分子在套取動態口令後迅速用來登錄用戶的網銀,從而盜取資金。網上交易採用單一的動態令牌保護顯然具有安全漏洞。動態口令也並非毫無可取,比如增加了一道手機認證的步驟,便相當於多了一道安全把關。
而U盾因多了一個類似U盤的物理介質,所以即使被破譯出U盾密碼,也不容易被竊取資金,除非,用戶的U盾與密碼同時丟失。如此看來,U盾確實強於動態令牌的安全性。但是,U盾在使用便捷性及客戶體驗上存在一些弱勢,如初次使用時涉及安裝驅動程序、下載數字證書等,對電腦軟硬環境都有一定要求,對客戶電腦操作技能也有一定要求。隨著平板電腦、手機銀行等電子化及新型支付方式的發展,U盾在便捷性上可能面臨更多限制。