案例分析之网上银行风险
导读:
核心提示:网上银行业务蓬勃发展的同时,各类网络犯罪案件层出不穷,严重影响了人们对网上银行业务的使用。尤其是钓鱼病毒造成的用户信息泄露;虚假网站造成的用户信息泄露;电脑木马病毒中毒造成的用户信息泄露;网上银行自身系统造成的资金丢失这四大原因,大大增加了网上银行的风险。下文是四个相关的案例,将为您详细分析网上银行风险。
钓鱼病毒相关的案例
王某为某高校在校大学生,他于2011年3月7日20点左右在寝室登录淘宝网站,搜索到了一家二手笔记本电脑交易的店铺,并通过阿里旺旺与对方取得了联系。对方主动发送了一个压缩文件包,声称该压缩包里面有很多的笔记本图片。受害者接受并打开了该压缩包,并以600元的价格成交。受害者第一次通过网上银行交易支付600元后显示没有交易成功,对方让王某再次支付,于是受害者王某又通过网上银行支付,但是还是支付不成功。受害人王某感觉比较奇怪,通过网上银行账户查询发现两次交易都已经成功,账户内已经有1200元被转到上海某网络科技公司。后来王某企图再次联系卖家,但是已经无人应答。
案例分析:钓鱼病毒这类的案例中,犯罪分子通常引诱受害者打开自己提供的压缩包或者执行文件,从而将木马病毒种到受害者的电脑中。木马病毒则负责监控受害者网上银行交易操作,通过替换交易请求、记录并发送用户账号信息等手段达到获利的目的。卖家的产品图片和资料都应发布在淘宝的网站上,用户不应私下接收,还可能因为购买的产品与在淘宝上发布的不一致导致纠纷。目前有的银行采用二代USBKey对于网上银行交易操作产生数字签名时,已经可以向用户显示相关交易请求及记录,因此在一定程度上规避了上述钓鱼病毒通过替换交易请求等手段产生的欺诈。
虚假网站相关的案例
2007年9月21日,北京市公安局东城分局破获了一个特大网上银行诈骗案,在湖北省某酒店抓获犯罪嫌疑人谌某。犯罪嫌疑人谌某于2006年10月至2007年8月间,利用虚假网上银行盗取他人网上银行信息,先后窃取了6名受害者网上银行账户资金共计人民币30余万元,并通过网上购物再打折出售的方式套现。
案例分析:虚假网站这类案例中,犯罪者往往模仿正常的网上银行交易网站,诱导受害者在他们伪造的网页上进行网上银行操作,从而窃取受害者网上银行的账号信息,达到控制受害者网上银行账户的目的,从而转账套现。该类犯罪分子和虚假邮件链接这类案件有较为密切的联系。虚假网站其实就是这几年的“钓鱼网站”,对于上面案件中那种窃取大额的账户资金目前已经很少发生。通常的网银账户操作都使用了双因素认证身份方式,单纯的用户名和口令已经无法进行网银的账户操作了。目前使用动态口令卡的支付模式,即便是允许的额度不大,还是存在犯罪分子通过“钓鱼网站”进行欺诈的风险。对于“钓鱼网站”的防范,除了相关监管机构对网站采取监测及关闭等手段外,最主要是银行对客户的教育。目前的网上银行站点基本都使用了站点数字证书,许多银行还使用了EV证书,用户登录网银时使用IE7以上的浏览器地址栏会变成绿色。“钓鱼网站”很难做到这点,即便“钓鱼网站”也申请到了EV证书,那么会存有机构申请的资料,公安机关在破获此类案件时会容易很多。因此银行对客户的教育是规避“钓鱼”网站的较好的办法。
木马病毒相关的案例
2007年3月10日,蔡先生发现自己银证通账户的两个账户共计16万余元被盗窃。后来上海警方侦查发现,2007年1月,犯罪嫌疑人白某攻击了一些网站,植入了网页木马。受害人蔡某在上网浏览了被鲍某攻击的网页后,其电脑被自动植入了灰鸽子黑客程序。后来犯罪嫌疑人白某使用灰鸽子木马程序远程控制被害人的电脑,窃取了其网上银行的账号、密码、电子证书。接着犯罪嫌疑人白某用虚假身份证开户,将网银账户中的钱款转入自己新开的账户中窃走。
[page]
案例分析:这类木马病毒的案例与钓鱼病毒的案例比较接近,不同之处在于钓鱼病毒的受害者往往是在诱骗下主动打开危险文件的,而木马病毒的受害者是在不知情的情况下被安装木马病毒的。因此用户访问网站时要慎重,避免登录一些不正规网站或者受到跨站攻击的网站(这类网站如果是被动攻击一般情况下活跃度较低)。但是这两类案例的本质是相同的,都是通过种入木马病毒,窃取受害者的账号信息或者伪造交易请求中的信息,从而达到获利的目的。本案例中用户被窃取的电子证书是以文件的方式存放于电脑上,并且未设置密码保护,目前文件证书的使用越来越少,大部分电子证书都由USBKey进行保护,已经降低了此种木马病毒带来的风险。
网上银行业务风险相关的案例
2002年10月,洪某在温州永嘉的一家银行办理了借记卡。2005年2月,洪某发现借记卡被盗取了10.25万元,并向当地警方报案。警方调查后发现,2004年11月22日,犯罪嫌疑人假冒洪某的名义用假身份证在该行温州分行开通了网上银行业务,并获取了网上银行的客户证书和密码。接着犯罪嫌疑人在2005年2月2日通过网上银行将孔某借记卡内的资金分两次转出。
案例分析:这类网上银行系统本身缺陷的案例和以上其他三种案例的相比较为独特。案例中的犯罪分子利用了2005年时该行网上银行开户不需要对应借记卡的这个漏洞,伪造了受害者的个人信息,从而获得了受害者借记卡账户的网上银行的访问权利。这类网上银行系统本身缺陷的案例比较特殊,难以有较为统一的表现。从根本上来说,犯罪分子都是找到了网上银行系统的本身缺陷进行欺诈活动。目前虽然过去的很多业务漏洞都已经不存在了,但随着很多新兴业务(如手机银行、快捷支付等)的开展,必将带来未知的风险。这就要求网上银行的管理者要重视风险管理,在设计新业务的同时从业务安全的角度考虑一些防范措施。
原标题:网上银行风险案例分析
声明:该作品系作者结合法律法规,政府官网及互联网相关知识整合,如若内容错误请通过【投诉】功能联系删除.
相关知识推荐
甲方(全称):_________负责人:_________地址:_________乙方(全称):_________法定代表人:_________地址:_____
一、网上银行风险类型分析网上银行作为一种实体银行的虚拟工作环境,其风险范畴要比实体银行大得多。广义上的网上银行风险不仅包括实体银行风险中的一切基本类型,如信用风
案例背景招商银行成立于1987年4月8日,是我国第一家完全由企业法人持股的股份制商业银行,总行设在深圳。自成立以来,招商银行先后进行了四次增资扩股,并于2002
刷卡套现的行为属于违法行为,情节严重,数额较大的,还可能构成信用卡诈骗罪或者非法经营罪。我国《刑法》规定,违反国家规定,有非法经营行为,扰乱市场秩序,情节严重的
当事人在支付宝中把钱转错到别人账户的情形下是可以拿回的,对方属于不当得利的情形,应当对该转错的款项进行返还。《民法典》规定,得利人没有法律根据取得不当利益的,受
互联网合同的成立时间为当事人接受合同,签署电子签名的时间;互联网合同属于书面合同的一种,与纸质合同具有相同的法律效力。我国《民法典》规定,当事人采用合同书形式订
社保卡的金融账户的作用包括有:可作为持卡人享有社会保障和公共就业服务权益的电子凭证;信息记录、信息查询、业务办理;现金存取、转账、消费等金融借记功能等。
当事人在网络投资平台被骗的,可以通过向公安机关报警,待公安机关对涉案款项进行追回。我国《刑法》规定,诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,
微信转账记录是可以作为公安机关刑事立案的证据的,同样也可以作为人民法院进行民事诉讼立案的证据。《民事诉讼法》中规定的立案条件包括:原告是与本案有直接利害关系的公