农业银行杨宇红:严格落实银发261号文 协力防范支付欺诈
2016/12/16 14:34:25

文/中国农业银行网络金融部副总经理 杨宇红

互联网时代,商业银行纷纷在网络金融领域重点发力,而伴随着产品创新加速以及交易链条的复杂化,网络金融支付业务面临的欺诈威胁成为不可逾越的考题。近期人民银行联合多部门下发的一系列文件,对银行业如何防范欺诈提出了明确要求,同时也再次让银行业认识到:唯有赢得客户的安全信心,网络金融业务方能走得更远。下面,结合农业银行网络金融防范外部欺诈的实践经验谈些想法。

网络金融业务现状

网络金融虽然于21 世纪初开始发展,但在当下互联网时代的大背景下,其发展面临着前所未有的机遇和挑战。新常态下,国内经济增速呈减缓趋势,网络经济却逆势而上,成为国内产业经济的一大亮点。2016 年6 月,我国网民规模达到7.1 亿,其中农村网民规模为1.9 亿。网民中使用手机上网的人群占比由2015 年底的90.1%提升至2016 年上半年的92.5%,网民上网设备进一步向移动端集中。互联网普及率为51.7%,超过2015 年1.3 个百分点,超过全球平均水平3.1 个百分点。网络经济总体营收规模突破1.1 万亿元(PC端6875.1 亿元,移动端4343.6 亿元),占GDP 比重为1.7%,同比增长47.3%,预计2018 年将突破2 万亿元。电商营收依然占据核心,2015 年中国电商营收规模超7000 亿元,占网络经济总体营收的63.6%,占全球电商营收的39.5%。

随着网络经济快速扩张,网络金融的发展也进入实质性阶段,各类互联网企业纷纷参与这场变革。截至2016 年6 月,我国使用网上支付的用户规模达到4.55 亿,较2015 年底增加3857 万人,增长率为9.3%,网民使用网上支付的比例从60.5% 提升至64.1%。手机网上支付目前是市场的主流,用户规模达4.24 亿,半年增长率为18.7%,支付机构凭借快捷支付、移动支付等新业务迅速提升渗透率和市场规模,并将触角延伸到理财和供应链融资的多个领域。进而引发了互联网客户需求和服务模式的深刻变化,客户体验、开放共生和大数据应用逐步成为网络金融的典型特征,支付安全则亦成为金融行业难以回避的挑战。

网络金融风险现状

当前互联网总体安全态势不容乐观。从总体上看,需要特别关注两大黑色利益链条,其一是病毒黑色产业链,其二为数据交易黑色产业链,这两大黑色产业链是导致网络金融各类风险事件的直接原因。从以往案例来看,病毒黑色产业链大致包括制作病毒、传播病毒、实施攻击并盗取资金、转移资金等环节,其各环节人员多靠互联网松散组织,围绕攻击银行业务流程的特定病毒,犯罪分子甚至能对银行特定类型的安全工具定制病毒程序。数据交易黑色链条则包括收集信息、出售信息、实施诈骗并骗取资金、转移资金等环节,而且收集信息的方式不断演进,从传统的微基站钓鱼、信息搜索、非法购买,到近两年愈演愈烈的拖库- 洗库- 撞库手法,让人防不胜防。从近期发现的案例来看,两条黑色利益链已逐步融合,利用客户信息实施精准诈骗或病毒攻击的手法愈演愈烈,而与其相伴生的数据交易黑色链条亦大行其道。此外,我们还注意到移动互联网病毒程序呈爆发增长。根据腾讯发布的手机安全报告,2016 年上半年Android 病毒新增918.25 万个,感染用户超过2 亿,其中支付类病毒同比增长986.14%,感染用户达1670 万,同比增长45.82%。

具体到商业银行来说,近几年随着网络金融的快速发展,各类风险事件也相伴而生。我们对外部欺诈类事件进行了梳理总结,虽具体表现各有不同,但从欺诈手法来看大体可分为四种类型:伪卡盗刷、盗用身份、黑客攻击和电信诈骗。

伪卡盗刷主要指制作伪卡通过ATM 等自助设备盗窃和欺骗,随着IC 卡快速普及以及终端关闭降级交易之落实,加之公安部门联合银行业持续有效开展预防和打击,目前来看效果还是比较显着的,此类风险事件已明显呈下降趋势。盗用身份指通过利用非法获取的客户信息冒用电子银行盗转或支付资金以谋取利益,其具体表现形式随着业务发展而不断变异,从早期大众版网银风险到现在的快捷支付风险都属于此类。近两年网上银行动态口令事件和快捷支付欺诈交易都属于此类事件,除了卡号、密码等静态信息之外,犯罪分子还盗取/ 骗取动态口令或手机验证码,进而盗用身份进行交易。黑客攻击指通过对客户端实施攻击,以发起非授权交易或篡改交易受益人等方式谋取利益,相对盗用身份而言其技术含量更高一些。大家可能还记忆犹新,2008 年左右是IE 证书被盗用事件高发的一年,针对客户端IE 证书的木马程序首次为大家所关注,引发的损失不容小觑,到2010 年开始出现针对USBKey 的木马程序,木马一旦控制客户计算机,则能够轻易劫持USBKey,或篡改交易收款人或支付订单方,为此监管机构制定了网上银行系统安全规范,并要求各家银行引入二代USBKey。电信诈骗指利用互联网、电话乃至微信等非面对面方式,设计骗局诱骗当事人资金。实践中来看,此类手法已成为最主要的作案手法,其从传统的撒网式诈骗向结合客户信息的定点诈骗演化,而且往往结合移动端木马攻击等手法,其危害性日益严重。

就我们的实践来看,近期黑客攻击类事件,如USBKEY劫持及钓鱼支付等呈下降态势,而电信诈骗和盗用身份类事件却呈现高发态势,之所以会如此,和互联网犯罪的外部环境、业务控制策略乃至客户意识有着密不可分的关系。

网络金融风险成因及挑战

从互联网犯罪的外部环境看,上述风险事件发生,直接缘起于日益组织化、集团化的黑色产业链,网络金融作为最容易变现的攻击对象,势必成为犯罪集团觊觎的目标,而数据交易黑色链条的“繁荣”也导致了电信诈骗等风险高发。从业务控制策略上来看,一方面,为防范伪冒身份及黑客攻击风险并落实监管要求,银行普遍采取从紧策略,不仅严格采取双重认证策略,而且安全工具愈加复杂,故直接针对电子银行安全工具的盗用及黑客攻击基本得到遏制,切断了黑色利益链条中“信息变现”这一关键环节,但客户体验却亦受到较大影响;另一方面,近些年快捷支付等创新业务以“不用开网银”为亮点,简化了业务控制策略,极大提升了客户支付体验,但与此同时其也很快成为数据交易黑色链条的重点目标区域,银行作为账户管理方,往往也承担关联责任,这是快捷支付风险高发的内在原因。

从客户意识上看,相比ATM 侧录、电信诈骗而言,客户对其他两类风险还相对缺乏认识和防范能力,一方面个人信息保护意识不足,如把所有网站用户名密码设置相同;另一方面对安全控制策略不熟悉,使效果打了折扣,实践中发现有个别客户对二代USBKey 屏幕信息、手机验证提示视若不见,导致控制策略的失效。

综上所述,由于整体安全形势、业务控制策略及客户意识等三方面的原因,加上法律及监管环境的综合作用,网络金融面临的安全风险不容忽视,也成为我们发展网络金融必须解决的一个前提。具体来说需要解决以下四个方面问题。

1. 社会整体环境方面。一是保护客户信息的法律体系尚不健全,社会机构对客户信息保护缺乏有效约束和系统控制;二是针对互联网犯罪的立法及惩治体系有待加强;三是征信体系等仍不健全。

2. 业务控制策略方面。一是如何解决网络金融涉及到的各参与方的业务控制策略不平等的情况;二是如何在客户体验及安全控制之间取得平衡。

3. 安全联防方面。网络金融业务必然会有剩余风险,而且转移资金往往需跨银行和支付机构,如何在风险发生后能快速追踪和冻结资金,建立补偿措施非常重要。

4. 客户意识方面。一是如何让客户能保护好自己的信息;二是如何让客户熟悉和掌握银行业务控制措施。

网络金融风险应对策略

为应对上述形势,国家层面重视程度和打击力度日益加大,银发【2016】261 号文、银发【2016】170号文发布后,账户管理和资金转移环节的风险敞口将进一步收紧,银行也需要不断优化安全策略,重点补足事中监控机制短板,力图做到风险前中后的平衡。

1. 推动网络金融整体安全环境的好转。一是推动建立个人数据保护规则,促进各参与方自觉保护客户信息;二是完善互联网犯罪立法建设,与公安机关联合开展专项打击等合作,从根源上遏制此类犯罪;三是完善个人征信体系,加大对互联网犯罪参与者的惩戒力度。

2. 提高业务控制策略的一致性和灵活性。一是网络金融各参与方建立统一的安全控制策略,避免出现风险控制短板。二是考虑体验与安全的平衡,充分利用银行依托各类安全工具而形成的身份认证能力,结合支付机构的创新流程,夯实安全基础,让创新走的更远。三是基于大数据技术开展交易动态风险评估及干预,逐步减轻对安全工具的过度依赖,提高业务控制规则的灵活性。

3. 希望建立金融业协作机制,推动开展风险联防协查机制。一是建立网络金融风险贡献平台和交换机制,不断丰富黑名单数据库;二是推动相关部门完善司法查询及冻结之程序,约定跨行查询的具体流程,使风险资金追索和冻结能落到实处。

4. 推进客户安全教育。再好的工具,也必须客户能用、会用才能起发挥作用,各行需将客户安全教育作为一项持续工作开展;同时也希望组织跨行业、影响广泛的安全教育活动。

综上,随着国家层面制定的一系列措施落地执行,协力防范支付欺诈的各项机制将会日益健全,这也恰好是银行业提升自身能力,夯实网络金融发展基石交易的一个重大契机。我们将严格落实人行《银发【2016】261号文》要求,积极参与同业合作,充分履行大行责任,为实现网络金融安心支付而努力。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消