案件防控知识培训——电子银行业务风险管理
电子银行业务风险管理
——电子银行部 翟光斌
一、电子银行业务概述
银行卡 自助银行 特约商户 网上银行
电话(手机)银行
二、电子银行业务风险
电子银行是传统银行业务与现代科技高度结合的产物,它有着两者共有的风险。
电子银行业务风险是指银行或客户在运用、使用电子银行服务、产品过程中,由于各种因素如自然因素、人为因素、技术漏洞、管理缺陷产生的风险。主要有外部欺诈风险、中介机构交易风险、内部操作风险、声誉风险、法律风险等。
外部欺诈风险:主要是伪卡欺诈、直接骗取客户资金和利用ATM机骗卡三类,实现渠道主要有三种:ATM机取现、POS机套现(消费)或网络(电话)转账。外部欺诈风险是目前电子银行业务中最严重、危害最大的一类风险。
中介机构交易风险。中介机构交易风险主要是指特约商户非法
案件防控知识培训——电子银行业务风险管理
交易或违章操作引起持卡人或发卡机构资金损失的风险。
内部操作风险:是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。此类风险控制主要通过规范内部流程、明确岗位责任、加强监督制约来实现。
(一) 银行卡(借记卡)
主要风险点
技术风险:存储介质低级、制卡技术简单; 管理风险:授权缺陷、身份确认、安全提示;
操作风险:冒名(假名)开卡、批量开卡、卡折同开、信息泄露、密码泄露、简单密码等。
风险表现形式
虚假挂失:利用银行审查不严漏洞,将他人卡(密码)挂失后获取密码。
柜面开卡:通过他人(或假)身份证在柜面开卡; 卡折同开:客户存折开户时,在客户不知情的情况下开卡; 批量开户:批量开户时,未严格按交接程序将卡移交到开卡人手中;
修改密码:非本人或非有效证件。
案件防控知识培训——电子银行业务风险管理
风险防控措施
——对客户安全提示,任何情况下都不能泄露银行卡密码; ——加强发卡、换卡、挂失(密码/卡)等环节管理; ——遵循“了解你的客户”的原则,严格持卡人身份真实性核对;对于批量发卡,加大对申请资料资信审核力度;
——建议客户使用银行卡签名,确认任何情况下为本人卡; ——卡折同开管理、零余额卡;
——建立稽核检查、合规风险管理、责任追究的长效机制。
(二) 自助设备(ATM、一体机)
主要风险点
技术风险——设备技术(硬件)、软件技术、假币识别、通讯等;
机构风险——清机加钞、管理员交接、设备巡查、维修、密码、钥匙、流水账、登记簿等;
环境风险——非法广告、场地装修、墙体、门窗、监控设施、防盗、报警装臵;
操作风险——盗取信息(卡、密码)、卡掉包、退卡等。
风险表现形式
盗取卡号:通过门禁系统、ATM插卡口安装外挂读卡器获取卡号;
盗取密码:通过远程望远镜、安装微型摄像机、粘贴密码键盘
案件防控知识培训——电子银行业务风险管理
等获取他人密码;
银行卡掉包:取款人在ATM取款,输完密码等待出钞时,制造事端,将卡掉包;
取款人未退卡:若取款人没有退卡,犯罪人可继续取现至2万元。
盗窃钞箱现金:通过各种手段进入加钞室,开启自助设备保险柜盗取现金。
电信诈骗:远程遥控持卡人提供卡号和密码,或指示持卡人将卡内资金转移到指定账户。
风险防控措施
——自助设备设备日常安全检查与管理。ATM管理员和巡查员每天对设备检查不得少于三次(早中晚)。重点部位:ATM插卡口、出钞口有无附加装臵、密码键盘上有无粘贴附着物、屏幕画面有无异常、ATM附近有无微型摄像机、监控、防盗(撬)、报警等设施;
——加强日常管理,包括人员培训,钥匙、密码管理、设备故障报修管理,清机、加钞管理、吞没卡管理、长短款处理、流水、日志、登记簿管理等;
——完善自助设备环境设施,建立独立操作空间,安装防偷窥挡板和键盘防窥罩;
——建立有效的远程监控网络,安装幕帘、入侵、震动等报警系统,安装报警按钮、对讲装臵;
2009年4月5日下午,被告黎某在高安市工商银行的某自动提款机取款时,发现受害人蔡某遗留在机内的储蓄卡处于取款状态,遂以卡主身份继续实施操作,分三次每次提取3000
案件防控知识培训——电子银行业务风险管理
元,共提走9000元。 得手后,黎某离开现场并将储蓄卡丢弃。2009年4月18日,黎某被公安人员抓获。
(三) 特约商户POS
主要风险点
商户资信:资格审查、安装目的;
交易环节:交易真实性、偷(盗)刷、连接装臵、交易单签字、商户检查。
中介风险:特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的风险。
风险表现形式
恶意透支、盗现:最典型的POS作案手法,利用信用卡恶意透支、套现;
虚假交易:利用退单、返现等虚假交易套取现金; 借用移机:通过出租、出借给不法分子牟利; 重复刷卡:不法商户欺骗行为;
盗取信息:安装微型装臵盗取卡号和密码,与ATM作案手法相同;
不规范(甚至是非法)的信用卡营销行为引中介机构交易风险。
风险防控措施
——加强对POS特约商户资信审查;
案件防控知识培训——电子银行业务风险管理
——定期检查交易真实性; ——定期检查POS设备;
(四) 网上银行
主要风险点
身份认证:用来识别客户身份的手段及方法。如密码、数字证书(U-key);
简单密码:使用家人生日、车牌号、电话号等; 计算机:用来进行网上银行资金交易的计算机;
网站:用来进行网上银行资金交易的网站,网上银行所依赖的安全技术。
风险表现形式
虚假网站:利用与真网站页面相似的假网站来引诱客户,以获取真实的信息和密码;
木马或病毒:通过木马或病毒来控制远程计算机,获取客户的卡号和密码,甚至可以直接操作远程计算机进行资金转账交易;
虚假信息:散布虚假信息,诱骗持卡人通过网上银行转移资金等。
风险防控措施
——妥善保管数字证书(U-key),关键所在; ——使用无任何意义密码;
——使用自己计算机。不要在公用计算机(如网吧、旅馆)使
案件防控知识培训——电子银行业务风险管理
用网上银行;
——查杀木马病毒。不要在使用网上银行的计算机上下载、安装来历不明的软件、游戏;
(五) 电话(手机)银行
主要风险点
通讯设备:使用公用电话、将手机借给他人使用导致账户信息泄露;
虚假中奖:犯罪分子通过发送中奖信息给受害人,获取信息、密码。
风险表现形式
短信诈骗,如给客户发送中奖短信,并提供一个联系的固定电话。客户拨打该电话后,系统会提示客户输入银行卡卡号和客户密码,并称可以提供银行卡的查询、密码修改等服务。客户一旦输入,其卡号和密码立即被不法分子盗取,账户的资金将不翼而飞。
虚假客服,利用种种油头,发送虚假客户服务电话,获取卡号和密码;
密码泄露,在设臵电话银行密码时,使用过于简单的数字或使用其他上网密码(如QQ密码、电子邮箱密码等,此类密码利用网络木马很容易盗取),导致账号、密码泄露;意外密码泄露。
风险防控措施
——尽量避免在可以查询到输入号码的电话机上进行电话银
案件防控知识培训——电子银行业务风险管理
行操作,使用电话银行后,一定要记得删除通话记录。用户在电话键盘上输入的卡号、密码会被电话完整记录下来,如不及时删除,就可能被他人利用;
——在进行电话银行交易类操作时,避免使用免提电话,以防他人偷听;
——安徽农金使用的统一客户服务电话是“96669”。不要使用经其他号码连接后的“电话银行服务”。
——在设臵电话银行密码时,不要使用过于简单的数字,不要使用自己的出生日期、电话号码等容易被人猜中的数字作为密码,可以考虑分开设臵查询密码和交易密码,并定期进行修改。
——不要相信任何的网络中奖信息、短信和电话等,如果是因好奇与对方通话了,要切记严防死守银行账户资料,绝不泄露。
