银监会关于做好网上银行风险管理和服务的通知
银监办发[2007]134号
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮储银行:
近一时期,我国商业银行网上银行业务规模高速增长,服务效率稳步提高,网上资金交易和转移日益频繁,银行客户对电子渠道服务的依赖程度不断加深,为促进网上银行健康持续发展,积极防范针对网上银行的不法活动,维护商业银行和客户权益,现就商业银行做好网上银行风险管理和服务提出如下要求:
一、加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
商业银行可根据业务发展需要和风险控制要求对本行网上银行高风险账户操作进行具体界定。高风险账户操作应至少包括:向非本人(不含与本行签订业务合作等法律协议和客户预先约定的指定账户,如:代收费、第三方支付、贷款还款帐户等)账户转移资金单笔超过1000元或日累计超过5000元。对于身份认证强度相对较弱的网上银行账户操作,商业银行应充分评估风险,相应进一步采取控制措施(如:限制资金转移功能、限定资金转移额度等)进行有效防范。商业银行还应积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
商业银行应综合平衡经济效益和社会效益,不断降低网上银行客户双重身份认证的使用成本,促进双重身份认证的推广普及。
对于其他电子银行业务类型,商业银行可依据其安全程度自行确定是否参照网上银行管理,但应保证其他电子银行业务类型不构成网上银行的安全管理漏洞。
二、加强公众网上银行安全教育。商业银行应切实承担起对网上银行客户的安全教育责任,内容应至少包括:(一)通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码;(二)在本行网站首页显著位置开设网上银行(电子银行)安全教育栏目;(三)印制并向客户配发语言通俗,形象直观的网上银行安全宣传折页或手册;(四)在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
三、加强网上银行安全防范,及时进行风险提示。商业银行应将扫描查找假冒本行网上银行网站及其它针对电子银行的犯罪活动纳入日常工作程序,定期搜索与本行相关的假冒网站(邮件、电话、短信号码等),检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报。发现风险应立即采取防范措施,并通过本行网站及其他渠道向公众进行通报提示。
四、妥善处理客户投诉,减少投诉事件的发生。商业银行应建立规范的网上银行(电子银行)业务投诉处理机制,建立客户投诉的登记、统计制度,指定专门的人员或部门及时处理客户投诉,并对客户投诉情况进行研究分析。对于客户投诉集中的电子银行业务环节和产品,应及时制定有效的解决措施,加以改正。
五、加强对第三方机构的法律责任约束。商业银行应加强对与本行系统存在技术和业务连接的第三方机构的管理,通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任,向客户充分披露银行与第三方机构的业务流程和责权关系,积极防范法律风险和声誉风险。
六、其他银行业金融机构开展网上银行(电子银行)业务,应按照本通知中的各项要求执行。
银监会指出网上银行用户70%不懂使用金融安全证书
银监会政策法规部创新业务处处长尹龙指出,国内各银行的网银业务共拥有1800万个人用户和60万企业用户,但懂得如何使用中国金融认证中心安全证书的用户尚不到三成。
今年上半年,能窃取账号、密码和验证码的黑客软件“网银大盗”被屡次曝光,最近的“假银行网站事件”也给网上银行的声誉蒙上一层阴影。
在网银信誉面临考验的情况下,中国金融认证中心联合全国16家商业银行共同发起了“放心安全用网银”宣传活动,准备在明年掀起一次宣传浪潮。
中国金融认证中心总经理李晓峰指出,除了最易被攻破的“账号加密码”的简单方式外,网上身份认证机制还有更好的选择——数字证书认证机制,不法分子即使窃取了账号和密码也取不到钱。该中心一直在推广这项技术,并已在工行、建行、交行、中信实业等20多家商业银行建立了证书注册审批系统。 如果发生安全问题,中国金融认证中心承诺对网银用户进行赔付:对企业高级证书用户赔付上限为人民币80万元,对企业普通用户赔付上限为50万元,对个人用户赔付上限为2万元。
分析:银行应承担网银安全教育责任
网上银行作为电子商务和网络金融的快速发展而产生的新兴事物,一直以其便利性和快捷性而受到网民的欢迎,但由于网上银行安全事故的频繁发生,对网银安全性的担忧一直是广大网民不敢或不愿尝试使用网上银行的最主要原
网上银行作为电子商务和网络金融的快速发展而产生的新兴事物,一直以其便利性和快捷性而受到网民的欢迎,但由于网上银行安全事故的频繁发生,对网银安全性的担忧一直是广大网民不敢或不愿尝试使用网上银行的最主要原因。
今年3月份发生的中国建设银行网上银行用户资金被盗事件使广大网民对原本就充满安全疑惑的网上银行又增添了几分不信任感。网上银行的安全性问题到底是怎么了,究竟是广大网民的粗心大意还是银行的技术不成熟,或是银行的失职所致,还是与政府的监管不利有关呢?
艾瑞市场咨询研究发现,网上银行的安全性问题既涉及网民的意识问题、银行的责任问题,还涉及到网银的技术问题和政府的监管问题。
用户安全意识亟待加强
网银的不安全形式主要表现在两个方面,一是网银系统本身,二是网银客户端。目前所发生的网银安全事故几乎都是案犯利用客户的身份进入银行的网银系统进行作案的。而案犯之所以能比较容易的窃取用户的密码和资金主要是由于广大用户的安全意识不强所导致,比如用户在网吧或公共场合使用网上银行、未使用数字证书或USBKey、被假银行网站欺诈、被木马程度或病毒窃取密码、不小心泄露身份证号和密码以及设定网银密码的疏忽等。艾瑞分析认为,网银的安全事故的发生主要原因在于广大用户的安全防范意识不强,如果广大网银用户能在安全意识上有所加强,很多网上银行事故其实是可以避免的。
技术问题已不是安全障碍
从网上银行产生开始,针对网上银行安全的技术问题一直是各大银行关注的焦点,目前各大银行的网上银行在技术上已经过关,常见的安全保障形式主要有:USBKey形式、数字证书、动态密码等,这些安全保障措施对于防范木马、病毒、黑客以及假网站已经绰绰有余,除非证书、账号、登陆密码以及支付密码被同一个人窃取。艾瑞分析认为,目前市场上所发生的网银安全事故几乎很少是由于网银技术不够而带来的,技术问题已经不是网银安全发展的障碍,只要广大用户能加强安全防范意识,使用专业版网上银行的数字证书或USBKey,便可以放心使用网上银行。
银行应承担安全教育责任
网上银行是一个新兴的事物,银行作为网上银行的发起者和推动者有责任和义务对广大网民进行安全意识的教育和宣传,而目前广大网银用户的安全意识不强在很大程度上与银行的宣传教育和提示不够有关。此外各大银行推出的大众版网上银行由于仅仅采用简单的“卡号+密码”的登陆方式,目前已成为网银安全事故发生的主要环节。不可否认大众版网上银行由于开通简单,有利于网上银行业务的推广,但因其较低的安全性不应为广大网民所使用。艾瑞分析认为,目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。 监管政策要跟上发展步伐
目前我国政府部门对网银安全的监管以及广大网银用户的权益保障问题并没有明确的法律法规,网上银行一旦发生安全事故,究竟是谁的责任以及责任如何划分和界定还是模糊和有争议的。此外目前中央银行对商业银行的监管还停留在传统银行上,而在网上银行时代,账务收支的无纸化、处理过程的抽象化、机构网点的虚拟化,使得现有监管方式在效率、质量等方面大打折扣。监管上缺位已经导致网银产业链上的各个主体,银行、网络技术公司、金融认证机构、客户等缺乏系统的权责安排。艾瑞分析认为,网银安全性问题的解决需要相关金融监管部门能对网民的网上银行安全和权益问题给予法律保护和支持。
艾瑞市场咨询分析认为,网上银行在我国尚处于行业发展的初级阶段,整体上还处于用户培养阶段,网上银行的健康发展需要产业链上各方的合作和努力。目前安全性问题已成为我国网上银行业务继续普及和深入发展的最大瓶颈,想要突破这个瓶颈,既需要广大用户自身加强网银的安全防范意识,也需要银行在技术和管理上加强创新、教育和培养用户的安全意识,更需要政府和监管部门加强网银安全的立法和监管工作。
银监会:谨防网上银行欺诈风险
在各种金融诈骗陷阱面前,网络金融诈骗是目前应重点防范的领域之一。中国网上银行业务拓展迅猛,从1996年中国银行首次将传统银行业务延伸到Internet上,目前国内几乎所有大中型商业银行都推出了自己的网上银行或在互联网上建立了主页和网站。尽管网上银行业务的发展进一步满足了公众消费、理财的需要,并提高了效率,更为便利,但同时也带来了一些风险隐患,中国银监会曾特别提醒广大公众,个人消费投资应谨防各类风险,重点提到了要谨防网上银行欺诈风险。
客户在享受网上银行提供便利的同时,也要防范网上银行带来的风险问题。目前,网上银行客户资金欺诈案件发生的具体形式包括使用弱密码、将网银密码设为与其他网站密码相同的密码、登录假网站上当受骗、被木马病毒盗取密码等。
名词解释
在使用网上银行的时候,有两种选择:一是只做普通客户,也叫非签约客户;二是签约客户。
普通客户能进行简单的业务,基本上不涉及账户资金的流动。比如,只能查询余额、查询积分、浏览交易记录等;即使有的银行提供普通客户的转账,但对转账金额及转出、转入账户也有比较严格的限制。
签约客户可以享受到更多的银行服务。除了一般的查询、转账、汇款、缴费、挂失、网上支付这些最基本的业务以外,投资外汇、国债、各种理财产品也都可以在网上个人银行里完成。而且还有银行为签约客户提供个人消费信贷、出国金融服务财务分析、股票实盘买卖等服务。
骗术一欺诈邮件
【案例】市民小张收到所谓“中国工商银行客户安全警告”的邮件,由于小张有工行的卡,就点击了邮件。邮件的内容大体是:“客户安全须知:尊敬的某某先生,您好,我们是中国工商银行网银安全科。由于您的账号在网上银行登录,输入错误密码次数过多,可能您的账号和密码被不法分子盗用,近日已临时冻结您的账户。请您尽快点击下面链接,登录中国工商银行e通道修改您的密码。”
小张赶紧点开了链接,进入到邮件提供的网站,在上面修改了密码。结果工资卡里的钱都给人取走了。
骗术二短信引诱
【案例】:不法分子通过发送短信,称客户在异地消费,如有疑问,可电话咨询,并留下电话号码。受骗客户拨打电话咨询时,不法分子称已经查询到客户在异地消费,受骗客户当即否认,不法分子称可能是银行卡被盗用,要求客户报案,并留下“报案电话”。受骗客户拨打“报案电话”,如实交代资金被盗情况,由于受骗客户认为是公安机关的报案电话,一般放松警惕,将身份证件、账号,甚至密码等信息如实告知,不法分子在“报案电话”中称,公安机关已经受理了类似案件,相当重视此类案件,已经和“银联中心”紧密合作,目前案件进展顺利,“银联中心”已经建立了报警系统,一旦“犯罪分子”再次盗用银行卡作案,可立即实施抓捕,并要求客户拨打“银联中心”电话,设置报警系统。受骗客户对“报案电话”深信不疑,再次拨打“银联中心”电话,“银联中心”称可为客户建立报警系统,需要客户到银行网点签约网上银行,并要求客户不要将此事透露给任何人,包括银行柜员。受骗客户按照不法分子要求办理网上银行签约,并将签约信息、密码等信息提供给“银联中心”。不法分子在得到这些签约信息后,立即登录网上银行下载客户证书,将该客户资金转出。
骗术三假冒签约
【案例】不法分子通过某种手段,得知客户的身份证号码、账号、密码等信息(由于此时不法分子无法获得客户证书,无法盗取资金),通过网上银行注销原客户信息,以客户身份重新申请成为非签约客户,伺机作案。一旦客户到银行网点,签约网上银行后,不法分子立即下载证书,将客户资金转出。
骗术四套取网银信息
【案例】不法分子在报纸上刊登“无需抵押、银行贷款”的小广告,并留下了手机号码。受骗客户拨打手机号码向不法分子就无需抵押的银行贷款进行咨询时,不法分子要求客户到银行网点开立一个零余额账户并签约网上银行,提供网上银行签约信息、密码等,受骗客户按照不法分子要求开立了账户,进行了网上银行签约,并将签约信息、密码等信息提供给不法分子。不法分子在得到这些签约信息后,立即登录网上银行下载客户证书。之后不法分子要求客户再开立一个账户,并存入贷款金额30%的保证金,不法分子将进行验资,验资合格后进行放款。不法分子还提醒客户要保存该账户密码,不要透露给任何人,以赢得客户信任,同时要求受骗客户将此账户签约网上银行。受骗客户以为持有账户介质,账户密码也未透露他人,资金应该是安全的。在受骗客户将存有保证金的账户签约网上银行后,不法分子立即通过网上银行将该账户的资金转走。
专家说法
目前,假银行网站是网银诈骗的一个重要途径。不法分子通过电子邮件冒充银行,以系统升级等名义诱骗不知情的用户点击进入这些假网站,或者利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。用户一旦输入真实信息,诈骗者就利用骗取的用户真实卡号和密码,制作假银行卡,在ATM自动取款机上盗取钱款或进行网上支付、转账等活动,使用户蒙受经济损失。假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。客户在登录网上银行的时候,应该留意核对所登录的网址和协议书中的法定网址是否相符,尽量少点击链接的网站。此外,还有人通过网络上的木马病毒来盗取银行密码等信息。
防骗贴士
专家为读者提供了下面几个值得借鉴的网银使用安全措施。
1.在任何情况下不能将密码和身份资料透露给他人,包括不要将密码告诉银行工作人员,在任何情况下,银行工作人员也不会要求客户口头或者书面提供密码,也绝对不要回复要求你确认密码的电子邮件,因为这可能是个圈套。
2.网上银行要使用“个人客户证书”,这个证书可以拷在盘中随身携带,但在使用其他电脑后必须删除,以保证安全。所以,还是比较适合在家里自己的电脑上使用。
3.不要在网吧查询账户,因为网吧的设备是诈骗者选择的目标,并可能装有间谍软件。在使用网上银行时,最好不要直接用键盘输入密码,而用“密码软键盘”输入密码,因为相比之下“密码软键盘”的安全性更高。
4.使用网上银行的电脑加装防火墙及木马克星,并及时进行更新,定期查杀病毒,避免不法分子侵入电脑系统窃取信息。
5.确认进入正确的网上银行网址,注意识别假冒的银行网页(见链接)。
6.密码不要设置为简单密码。有些客户在设置密码时,为了便于记忆和操作,将密码设得过于简单,由于简单密码具有较为明显的规律性和客户信息的针对性,极易被他人猜测、被黑客破解。
7.在进行网上交易后,注意关闭电脑,不要让电脑处于休眠状态。
相关链接
国外相关案例
2004年美国花旗银行曾警告它的客户,不要相信一封自称来自银行的欺骗邮件,该邮件要求他们去一个假冒的网站验证银行账号是否被篡改。银行的发言人说这是一个骗人的手法,实际上这些邮件是发自欺骗者那里;
2005年巴西银行和金融机构因网络诈骗而损失的金额约为3亿雷亚尔(约合1.3亿美元),比2004年增加了20%;
自2006年9月以来,瑞典最大银行北欧金融集团多次被一犯罪团伙利用互联网进行诈骗,诈骗金额高达800万瑞典克朗(1美元约合7.1瑞典克朗),这是瑞典有史以来情节最严重 且金额最大的一次针对银行的诈骗活动。
各银行的官方网址
建设银行:www.ccb.cn
中国银行:www.boc.cn
工商银行:www.icbc.com.cn
农业银行:www.abchina.com
交通银行:www.bankcomm.com
招商银行:www.cmbchina.com
广发银行:www.gdb.com.cn
兴业银行:www.cib.com.cn
中信银行:www.ecitic.com