国内网银安全亟待“教育先行”

国内网银安全亟待“教育先行”

 

 

 

网上银行安全的防范是个系统工程,需要政府、银行、客户以及全社会共同参与,一起努力,综合治理。其中对于客户的安全教育和安全警示是非常重要的一环。

国内网银安全亟待“教育先行” 

 

这些年互联网在全球飞速发展。到2012年6月全球互联网的普及率达到34.3%。北美洲互联网的普及率达到78.60%。北欧的荷兰和瑞士大于90%。

中国国内互联网的发展也很迅速,到2012年6月,普及率达到40.1%,超过亚洲整个普及率27.5%的12.6个百分点。也超过世界平均普及率34.30%的5.8个百分点。中国成了世界上使用互联网人数最多的国家,到2012年6月使用互联网的人数达到5.3亿人,占全球上网人数的1/4。网络购物用户规模达到2亿。

 

一、全球网上银行发展迅猛

互联网的普及为全球网上银行的发展奠定了基础。据美国时代周刊2011年8月1日报道,网上银行已经成为美国民众的主流选择,80%有互联网的家庭目前使用网上银行,40%的账单支付也在网上银行进行。英国泰晤士报2013年10月7日一篇“客户要求得到银行更多关心”文章显示:63%人表示,大部分的银行业务是通过网上银行进行,甚至许多市场领先的金融产品只有网上银行才提供。欧洲的荷兰银行用户约93%是通过网上银行转账进行支付。2013年11月4日一篇“网上银行在亚洲的角色”的报道,过去五年,亚洲网上银行的使用率已经增加了28%,2012年亚洲网上银行的使用频率已经超过了银行网点。Japan.internet.com2010年2月做的一个样本为“1080”的问卷调查,在日本有2/3的人使用网上银行。2013年5月17日报道,在新加坡,有85%的消费者使用在线支付,这其中的40%是使用手机支付。据中央电视台新闻频道2013年11月15日报道,韩国排名前四位的四家银行客户去网点办理业务的由五年前的43%下降到今天的5.2%。

在国内,11家上市银行中,有超过6.5亿的客户注册了网上银行,交易的替代率已经超过了60%。2012年国内网上银行的交易规模已达到900万亿元,相当于当年我国国内生产总值GDP(2012年GDP为51.9万亿)的17倍。2012年三季度末的注册用户数为4.89亿。根据公开的报道,2013年2季度国内手机银行交易额达到2.2万亿人民币。

十多年来,网上银行在国内得到飞速发展,网上银行的产品也日新月异。手机银行正在步入高速发展时期,微信银行、直销银行也已开始推向市场。网上银行几乎涵盖了银行的所有业务(特别规定除外)。

由于网上银行业务发展迅速,和网上银行密集相关的超级网上银行、电子商务、互联网金融、快捷支付等新生事物如雨后春笋,甚至出现了跨银行和电商的网上金融平台,如建设银行“善融商务”、交通银行的“交博汇平台”以及正在建设中的“平安银行供应链金融平台”等。

二、全球网上银行安全现状不容乐观

在享受网上银行给我们带来益处的同时,也不能忽略网上银行固有的风险。这些风险不仅威胁着网上银行的安全稳定,也威胁到国家的安全以及客户的利益。同时,由于网上银行的虚拟化与基于互联网的特点,监管和打击的难度也大大增加。

当前,总体上。网上银行的安全形势不容乐观,特别是2011年网上银行“双因素认证”被犯罪分子攻破,标识着全球网络欺诈技术取得了突破。这几年,全球范围的网络欺诈案件又有高发的态势。以下数据可窥一斑。

据日本共同通讯社报道,2013年10月22日,在日本,黑客通过网上银行从日本非法转移客户资金到俄罗斯和乌克兰。到目前为止确定的资金达770万美元,至少766个案例。另据日本每日新闻2013年8月25日报道,2013年在日本的爱知、岐阜和三重县网络诈骗已经导致4730万日元的损失,是2012年总损失的95倍。截至2013年8月8日,日本全国范围内损失达到1.16亿日元,是有史以来的最高数字。

据mailonline2012年9月27日报道,英国目前钓鱼网站猛增;犯罪团伙利用客户端攻击达到网络欺诈的目的;针对智能卡和pin码卡技术的引入,犯罪改变了方法。在英国,201 2年上半年网上银行诈骗跃升超过1/4。被盗资金达到2160万英镑,比2011年同期上升28%。2012年上半年大约11万多的钓鱼网站被识别,是2011年同期的3倍。2012年上半年欺骗犯罪导致卡账户的资金损失达到1.85亿英镑,比2011年同期上升了9%。

2013年11月4日,merrittherald.com报道,加拿大每年因为欺诈而花掉的费用超过100亿美元。2013年5月17日报道,今年第一季度,新加坡有932宗由于恶意软件导致的网上银行案件,同期全球有112981宗这类安全事件。印度孟买“时代报”2013年8月13日报道,达喀尔牙医帕蒂尔超过12万卢比被人从异国分七次取走。

来自CyberSource的研究报告显示,2012年,北美地区公司网上欺诈损失平均为总电子商务收入的0.9%。2012年北美地区电子商务欺诈损失大约35亿美元。欺诈订单占整个订单数的比例有所上升,由2011年的0.6%上升到2012年的0.8%。

在中国,2012年6月到2013年6月,一年的时间内,超过6000万网民因网络诈骗损失300多亿元。

“道高一尺魔高一丈”,网上犯罪分子根据技术的发展正在不断变换手法。今天看似安全的措施明天未必安全。比如网上银行的“双因素认证”工具目前是国际通用的做法,2011年有报道说,犯罪分子已经有攻破“双因素认证”的手段了。根据2012年6月26日ComputerWord网站上的文章,网络罪犯已经使用绕过“双因素认证”的自动化诈骗技术,实施网上银行诈骗。2012年3月以来,研究人员根据来自欧洲的攻击数据推断,犯罪分子企图利用这种欺诈技术盗取的金额达7500万美元至25亿美元。这种欺骗往往瞄准那些高金额账户。研究人员说,“通过物理设备实现的‘双因素认证’的安全失守,是欺诈的一个重大突破,金融机构必须认真对待,因为这种新的欺诈技术也可以绕开其他物理安全设备。”

网上银行安全以及网络欺诈如果不能很好控制,将极大影响网上银行的正常发展。据新加坡最新报道,很多客户因为担心安全而不敢使用网上银行。

三、安全教育与安全警示不容忽视

网上银行安全的防范是个系统工程,需要政府、银行、客户以及全社会共同参与,一起努力,综合治理。其中对于客户的安全教育和安全警示是非常重要的一环。国外政府和银行都非常重视对客户的网上银行安全的教育。

新加坡金融管理局在2008年下发的《网上银行技术风险管理指引》的第十一章“金融机构信息披露及客户教育”中对客户教育重要性和要求给与了详细阐述,指出,“对客户进行金融机构交易的安全性和可靠性方面的教育至关重要,不可低估。客户对金融机构的网上产品和服务信赖与否,很大程度上取决于他们是否理解和遵守了与金融机构账户运作及交易服务相关的安全要求。”又指出“金融机构要给客户提供及时的信息和持续的教育,指导帮助他们认识和理解安全要求,知道如何以正确的步骤报告安全问题。”

在日本,2011年的爱知、岐阜和三重县网上银行盗窃的资金损失为820万日元,2012年由于政府、银行采取包括客户教育在内的安全措施后,只有爱知县损失了50万日元,岐阜和三重县没有损失。据报道,2013年日本濑户、爱知县以及横山县的警察局在公共汽车站进行网上银行的安全教育。说明日本政府、银行对大众进行网上银行安全教育的重视,并收到很好的效果。

银行对客户网上银行的安全教育负有不可推卸的责任。国外银行对此非常重视,而且做得很细。以美国USBank为例,该行网上银行交易规模在全美排名列前10。从这家银行网上银行的页面可看出该行对安全教育的重视程度。具体展示如下。

通过https://www.usbank.com/index.html链接进入该银行的网上银行。页面的左下角显著位置有个很大的图标,上面写有“你的安全是我们的责任。USBank帮助您如何防止网络欺诈。”点击该国标,进入安全教育页面。

在安全教育页面中,左上角大字体开门见山提示你:电脑和手机是通往信息、娱乐和服务的一扇大门,不幸的是犯罪分子为欺诈之目的,也能利用它盗取你个人信息和财务信息。进一步点击,出现如何识别欺诈、什么是网络钓鱼,什么是电子邮件诈骗,什么是欺诈网站以及什么是电话和短信诈骗等按钮,通过进一步点击,可得到详细警示信息。

画面中央的菜单,分别是预防欺诈、手机安全、报告可疑事件以及如何保护身份信息。可分别点击获得更多帮助信息。比如,点击“预防欺诈”这一栏,它涵盖以下信息:欺诈防护,你的皮夹丢了怎么办?有关你的敏感信息的纸质文件丢了这么办?什么是身份盗窃?如何保护你的计算机。它会告诉你,“欺诈”是罪犯分子使用您的个人信息访问你的银行账户、获得贷款、购物、以你的名义租一套公寓、找一份工作、获得医疗服务,或以其他方式使用你的身份为犯罪分子所用。

如果你进一步点击子菜单里的“欺诈防护”链接,又会告诉你,银行是如何保护客户的安全:它告诉你银行有专门的安全团队一直在预测风险、寻找风险点并帮助你防止安全威胁;全天候地监视,并严格控制对银行系统的访问;如果你登录网上银行后15分钟内没有活动,银行会自动让你退出,以减少有人从一个无人看管的计算机上进行未授权访问你银行账户的风险;银行的移动应用(智能手机,iPad和其他移动设备)如果登录后五分钟内没有活动也会让你退出,缩短注销期有助于减少因为手机被盗、丢失而发生的未经授权的对你账户的访问;我们对您敏感的银行数据从你的客户端到银行系统实施全程加密;为了检测欺诈,我们对可疑交易的支付渠道实施监控,同时有个pdf告诉你,自己该如何防范欺诈。

该银行网页最下方中间区域包括,客服、报告欺诈、常见问题、给银行发email,以及银行各服务渠道等。

网页右上方有24小服务热线。右下方是安全学习pdf文件,客户可以随时下载,包括身份盗窃、身份盗窃后的措施、社交网站、预防欺诈、丢了皮夹该做什么。

网页下面内容是,皮夹遗失后,客户该如何处理的PDF文档,包括丢失以下物品你该如何处理的内容。

遗失护照:如果你的护照已经丢失或被盗,提示你要及时报告美国国务院(文档会明示电话号码)或提交表单ds-64声明护照遗失或被窃。

遗失US银行的信用卡和借记卡:立即向US银行报告卡丢失或被盗,文档会明示US银行欺诈联络中心电话。

遗失其他信用卡和借记卡:尽快报告遗失或被盗的信用卡发行单位,大多数公司都有免费电话和24小时服务。

遗失社会安全卡:立即联系社会保障管理局热线电话。并详细告诉你如何处理。

遗失驾驶执照:各州报告和更换驾驶执照的程序不同,文档会告知你与具体汽车管理部门联系。

遗失支票:如果你遗失了USBANK银行的支票,会告知你电话号码。如果遗失他行支票,告知你立即和该银行电话联系。如果支票已被盗和被冒用,点击那里会寻求到帮助。

遗失绿卡:如果你遗失了绿卡,告知你去美国公民移民服务的网站,然后单击“更新或更换我的绿卡”。

遗失保险卡:如果医疗,汽车,或其他保险卡丢失或被盗,联系你的保险公司。如果担心未经授权的索赔,可以更换保单号码。

遗失会员卡:如图书馆卡,健身卡和其他会员卡,告知你联系发行单位。

关于如何防范欺诈,pdf文档会提示如下信息(下面只列出大标题):(1)不要在邮件、电话或短信中提及你的个人信息,即使对方要你提供。(2)列出你钱包中物品清单。(3)和US银行签署安全报警协议。(4)采用无纸化办公。(5)关注你的文件陈述、票据和在线账户。(6)只和你熟悉信任的公司做生意。(7)更新病毒软件。(8)小心共享电脑。(9)保护你的密码。(10)看护好美国的邮政信件。

关于身份被盗后如何处理的pdf文档内容包括:(1)联系US银行及具体电话号码。(2)告诉有生意和账务往来的相关单位和银行。(3)锁定你的账户。(4)告知征信公司,让你的潜在债权人在放款之前看到你身份被盗的警告,可以更新;记录你报告的日期,保留信函的副本。并提供了三家征信公司联系电话。(5)给美国联邦贸易委员会(FTC)提交一个“身份被盗的投诉或口供”,给联邦贸易委员会热线打电话或点击这里申请网上投诉,提交你的投诉后,在线打印一份保留。(6)向警方报告。(7)创建一个身份盗窃报告。(8)解决身份欺诈导致的信用问题。(9)解决账户欺诈交易的问题。(10)解决盗用你的身份开立的新账户的问题。

关于社交网站的安全提醒内容如下。

当你使用社交网站,请遵循下面的安全提示保护自己:(1)使用强密码。每种服务使用不同密码,定期更改密码。(2)如果一个网站还要求回答安全问题,一定要选出最晦涩难懂的问题。如果有必要,编造答案或使用字母、数字及符号的组合。(3)软件保持最新。保持对杀毒软件的更新,防止病毒。(4)警惕插件。下载前要仔细考虑。(5)不要分享机密信息。小偷利用“数据挖掘”技术从不同的网站了解你的习惯,哄骗你泄露机密信息。(6)客户化设置。设置安全选项可以限制他人访问您的个人资料。审计网站的隐私政策并调整隐私设置。定期检查你的设置。(7)发布的信息是公共的、也是永久的。记住,一旦是在互联网上,它永远不会被完全删除,可能重新发布,转发或复制。(8)网络上慎交朋友。(9)对所有链接持怀疑态度。通过社交网络收到的所有链接都要怀疑,即使是朋友发过来的。

一句话,USBank网上银行网页上安全提示内容全面,可操作性强。既包括了如何保护好银行安全信息也包括个人隐私信息和重要证件文件信息,既告诉了客户,银行采取了哪些安全措施,也提醒客户应该如何保护自己的安全。同时告知客户万一出现问题该如何处理。不仅提供了具体的方法,而且有具体的电话、链接甚至物理地址。银行的安全警示不仅包括和银行有关的安全,也包括和银行安全间接相关的内容。真正体现了银行对客户全方位关心和服务精神。

四、改进国内网上银行安全教育

习总书记在对共十八届三中全会通过的《重大决定》的说明中特别强调“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战。”为此要“整合相关机构职能,形成从技术到内容、从日常安全到打击犯罪的互联网管理合力,确保网络正确运用和安全。”

网上银行是互联网应用的产物,对它的安全治理同样是个系统工程,除了加大互联网的治理力度、加大网上银行监管力度改进监管方法、法律上加大立法和惩罚力度、技术上不断改进安全措施外,客户的安全意识和安全知识尤为重要,绝大多数网上银行的安全事件都是和客户自己的个人信息保护不当有关。

国内银行对客户网上银行安全教育明显不够。开户环节,业务人员只是指导客户填写表格,对安全风险不提示或少提示。国内网上银行网站上有关安全教育信息非常简单,有的银行甚至只提供了客服电话。达不到对客户安全教育的目的。

借鉴国外银行和政府的做法,按照新巴塞尔协议的要求,应增强网上银行安全信息的披露力度,加大对客户的网上银行的安全意识和安全知识的教育和培训。国内网上银行的安全提示内容完全可以增加、而且很容易做到。要把和客户隐私信息相关的安全保护内容添加进去。针对网络欺骗的高发态势,增加防范网上欺诈的内容及防护的方法。同时客户经理应利用网上银行开户环节,对新开网上银行的客户进行安全意识和知识的培训教育。

借鉴日本做法,国内相关部门可以用多种形式开展网上银行的安全培训教育,舆论也应加强对网上银行安全的宣传教育力度。必要时候,可以参照股指期货开户的做法,先考试后开户。

 

文章来源:《金融电子化》杂志

Copyright © 1998 - 2017 北京宏基恒信科技有限责任公司    京ICP备17073448号-1