金融网络欺诈大调查：银行无一不撇清责任(3)

因而，国际反欺诈的模型在中国市场上推广时，并非直接应用成型的模型，而是将技术分析手段和经验引入国内。更重要的是，国内银行反欺诈风险管理的意识需要强化，主动发现更多欺诈交易。

3、反欺诈管理困境

但商业银行也有自己的苦衷。一方面“钓鱼网站”较多，防不胜防，另一方面，即使事后及时采取措施，操作起来也面临多方困境。

近年来的欺诈交易正向团体作案方向演变。犯罪团伙从通过钓鱼网站盗取客户账号、密码，转账，分账到各地多个账户，取现，基本上几分钟，最多十几分钟内就可完成。

为有效防范钓鱼事件，网络安全升级刻不容缓。至2010年11月底，中国反钓鱼网站联盟秘书处累计认定并处理的钓鱼网站达32496个，其中，2010年1－11月，累计认定并处理钓鱼网站20570个，较去年同期大幅上涨136%。

一家深受“钓鱼网站”所扰的股份制银行电子银行部人士表示，假冒该行官网的网站已经有接近100个，且“此关彼出，防不胜防”。

他们一旦发现就立刻与公安部门联系，关闭钓鱼网站。网站注册地和服务器在国内的一般当天即能关掉，若注册地和服务器在国外，公安机关需要协调中国电信部门将其屏蔽，过程需要三四天。可犯罪分子通过钓鱼网站窃取账户信息只需要一分钟时间，从钓鱼到取现整个交易过程也不过十几分钟，此时损失已经发生了。“关闭网站只能做到不让后面更多的客户受骗。”他说。

“钓鱼网站”的监测治理，显然不能单凭商业银行一己之力可为。

上述人士认为，网站的注册成本极低，负责域名注册的有关部门应该提示注册者提供身份验证、资质证明及有无犯罪记录证明。

“保护金融客户的利益，维护网络信息安全，是多个部门的共同职责，不能只让银行去做，银行也做不了。应该调动全社会各种资源的力量，来共同做这个事。”他说。

此外，银行面临的尴尬还有，即使明知交易可疑，从法律层面而言，也无法在犯罪分子取现之前，将涉嫌欺诈交易的各个分账户冻结以保障存款人资金安全。

一位国有银行人士解释说，冻结账户需要法院的冻结书，只要该笔业务程序合法，银行并无权力私自冻结账户。

第三方支付公司也面临同样的困境。汇付天下有限公司合规部人士受访时表示，由于骗子发起的是真实订单，支付公司系统处理成功后，就需要给商户付款；支付公司能做的是将这笔订单的去向告知客户，协助警方追查；但因为法律规定，系统处理成功即需付款，不能冻结该笔资金，否则支付公司就违反了商业合同。

汇付天下合规部人士认为，对于网上欺诈行为，公安部门应加强介入，给予更多支持。

亡羊补牢，未为晚也。各种欺诈交易的集中爆发，促进了商业银行风险防范意识的增强。

中行钓鱼事件后，在网银交易安全上增设了一道保障机制，即推出手机交易码认证，个人客户通过中行网银向他人转账或进行网上支付交易时，除要输入动态口令外，还要输入手机交易码进行验证，方可交易。手机交易码由该行客服电话统一发送。

据了解，目前，各家银行用户端网银安全工具除手机验证外，主要有两种方式，一是动态口令牌，二是数字证书U盾(Ukey)，相当于一个存储了个人数字认证信息的U盘。

动态口令是每次随机生成的一个数字组合，且每个口令只能使用一次。目前看来，“钓鱼网站”大多发生在使用动态令牌的银行中。这是否意味着动态令牌的安全性一定低于U盾？

网上交易采用单一的动态令牌保护显然具有安全漏洞。虽然动态口令有时间限制，每隔60秒就会自动更新一次，但这个时间已足以让不法分子在套取动态口令后迅速用来登录用户的网银，从而盗取资金。而U盾因多了一个类似U盘的物理介质，所以即使被破译出U盾密码，也不容易被窃取资金，除非，用户的U盾与密码同时丢失。(责任编辑：admin)