被告席上坐的是一个普通的年轻人,他叫彭博。“我属于世界金融黑客,从小痴迷网络,只想向世界证明自己,没想到会有这样的结果。”今年6月8日,这个年轻人因网络破译银行信用卡账号,涉嫌盗窃在海淀法院受审。
彭博的犯罪金额并不大,他盗用中国建设银行信用卡客户的信用卡进行网上支付,从而购得游戏卡、神州行充值卡,交由他人进行网上销售,金额不到2万人民币。然而,如果不
飞利浦 精于心,简于形 打工不如当老板!
伊利未来充满希望 龙腾天下爱丽舍中华行
是他有些许“良知”,不知会有怎样的巨额案件发生。
“我的想法很简单,我带领兄弟们参加黑客大赛,证明我是最强的,但我并不想通过这种手段赢利,持卡人姓名我是胡乱填写的,就想到银行不会收单,不会造成损失,我不知道哪个环节出了错。如果我想赚钱,我甚至可以进入美国任何一家大银行。” 彭博在庭上激动地辩驳。据彭博自己对公安机关的交代,他在大学时就成功进入了美国一家银行,并截获了此银行近300个客户的资料。黑客屡次得手时不时地撞击银行绷得紧紧的神经,面对各种犯罪手法银行显得有些防不胜防。
网络犯罪大幅上升
2004年12月7日,一个假冒的中国银行网站出现在互联网上,被揭发后该网站被关闭。不久,一个假冒中国工商银行的网站也暴露了出来,值得注意的是,假工行网站www.1cbc.com.cn与真工行网站 www.icbc.com.cn,只有“1”和“i”之差。这家黑网站通过要求储户更改密码、网上购物等手段,盗取储户账号、密码,骗取网民钱财,在短时间内就疯狂敛财近80万元。
从2004年底到2005年初,中国银行、工商银行、农业银行的网站先后在互联网上被克隆,尽管域名不尽相同,但对许多人来说,这些似是而非的假银行网站极具欺骗性,行标、栏目、新闻、地址样样齐全。呼和浩特一位市民因为登录了假的中行网站,卡里的2.5万元不翼而飞。
而随着计算机技术的不断发展,涉及计算机网络的犯罪无论从犯罪类型还是发案率来看都在逐年大幅度上升,网络银行犯罪只是其中的一小部分。
6月15日,公安部公共信息网络安全监察局副局长顾建国在“2005反互联网金融欺诈和网络钓鱼论坛”上透露,2004年,公安部通过组织打击手机短信息和网络诈骗专项行动,全年共侦破包括“网络钓鱼网”在内的各种网络诈骗案件1350 起,2005年1季度,又查获网络诈骗、盗窃案件543起;2005年,全国公安机关在打击赌博违法犯罪活动专项行动中,还关闭了“六合彩”等欺诈性网站 1361个。而从各类网络金融犯罪案件反映出的问题看,黑客和有组织犯罪勾结是互联网犯罪的新趋势。目前,这类犯罪的规模正在扩大,速度也在加快。要想有效遏制此类犯罪的势头需要各国政府、技术公司和金融机构的通力合作。
破案难度加大
由于互联网犯罪属于新型的交叉学科,因此目前国内还没有专门对此进行研究的机构。此外,由于互联网犯罪采用的新技术突飞猛进,相关部门很难做到提前预防,事后补漏的情况较多。这些都造成了互联网犯罪案件发案数量的迅速上升。
而记者在进行有关网络犯罪的采访中也遇到了一些障碍,相关部门不愿意透露相关案件的来龙去脉,尤其是破案的难度。据有关部门人士透露,前不久他们曾经接受了一次关于网络诈骗案件的采访,但是在该案件公布之后,该地区同时又发生了几起手段相似的案件,因此为了避免模仿,他们对此问题只能闭口不谈。
据一位地方公安局网监处的工作人员介绍,公安机关在处理互联网诈骗案件中遇到的问题首先是针对互联网诈骗案件的处理缺乏专门的法律规定,实际操作难度大。另外,互联网上网服务营业场所经营商、从事新闻出版以及电子公告等服务项目的互联网信息服务提供商、手机短消息运营商和互联网接入服务提供商不落实信息日志留存等安全管理制度和技术措施,给调查取证工作带来很大困难。一些地方公安机关没有建立完善的举报处置工作程序,对举报受理的案件未能及时进行查处,或移交相关部门处理。互联网诈骗案件协查量大,一些地方公安机关公共信息网络安全监察部门同有关单位缺乏有效的沟通配合,案件协查协作工作机制亟待建立和完善,公安机关公共信息网络安全监察部门人员力量不足,技术手段缺乏的问题较突出。
从银行角度说,客户的资信状况从网上同样难以准确获知,缺乏个人信用评估报告使网上支付十分谨慎。个人信用联合征信制度在西方国家已有150年的历史,而中国才在上海进行试点。中国的信用体系发育程度低,许多企业不愿采取客户提出的信用结算交易方式,而是向现金交易、以货易货等更原始的方式退化发展,深层次的原因还是信用问题,因此在我国银行系统须逐步推行个人信用报告制度。
通过完善网上交易安全措施,改进网上交易安全技术,使网上交易的各方能够相互确认身份并留存不可改变纪录,从而解决网上信息安全和信用问题,从根源上解决互联网诈骗和盗窃犯罪的防范问题。
提高银行内控力度是根本
中国公安大学一位不愿透露姓名的教授向记者介绍说,要想控制互联网犯罪的发展速度和规模,需要建立互联网犯罪的网上打、防、控长效体系、加强互联网犯罪情报基础建设、建立全国统一的互联网犯罪信息系统、完善网上交易金融认证制。其中,完善网上交易安全措施是防范网络犯罪的根本措施。 据了解,网上银行电子交易业务包括查询、内部转账、对外支付、银行信息通知四大类。其中,网上支付功能是网络犯罪者实施诈骗的主要途径。而在欧美等发达国家,八成企业是用信用支付方式,电子货币已经初步取代了现金交易。目前我国已开办的网上信用支付、结算情况并不乐观。出于对网络诈骗和网络盗窃的安全性考虑,大多数人宁愿“现收现存”,也不愿意透露信用卡的号码。
“解决这一问题的关键在于完善抵御诈骗的网上身份认证机制。”网上身份认证机制有多种,现在使用最多、最普遍的密码或口令措施是一种简单易用的身份识别手段,但是安全性比较低,容易泄露或被攻破。更有效的方法是采用pki技术设施,其核心就是使用数字证书认证机制。如果网上银行系统采用了数字证书认证技术,不法分子即使窃取了卡号和密码,也取不到钱,无法在网上银行交易中实现诈骗。
1999年,中国金融认证中心(cfca)成立,网上交易有了自己的第三方认证、公信机构。同时,中国金融认证中心推出了电子认证系统,向社会发放数字证书。数字证书保障了网上银行能够准确确认用户身份,并保障了用户在进行网上交易时的安全以及用户信息在传输时的私密性、完整性和不可否认性。
这位教授表示,cfca所推出的数字证书虽然是统一的,但是在各个网上银行之间却并没有一个统一的审查用户信息、通过用户认证的标准化平台。目前可发放数字证书的除了cfca外,各大银行也建立了认证中心,为自己的客户发放证书。但由于标准不统一,业务规则也有所差异,各银行颁发给自己用户的数字证书只能在本行使用。各银行所颁发的数字证书各自独立,互不通用,直接导致了同一个用户在不同的网上银行开户,需要拥有多个数字证书,同时要为多个数字证书交付年费,而这也是用户最不愿意承担的。
除费用外,用户还需要掌握不同银行的不同电子认证系统的使用方法,多个证书使用上的繁琐,也让用户退避三舍。电子认证系统的不统一,让数字证书的发展步履重重。
北京大学金融法研究中心副主任白建军认为,针对愈演愈烈的网络金融犯罪,最根本的解决办法是提高银行内控力度。纵观数额巨大的银行犯罪案件即发现问题主要在内部,内部制度不健全,不加强对员工的法律培训,使得许多员工只懂金融不懂法。 “因此,重要的是加强银行内部人员的法规培训,银行安全的根本是内控而非外防,其核心点包括对软件、硬件、工作人员的内控。”