國內網銀安全亟待“教育先行”

來源：《金融電子化》雜誌

網上銀行安全的防範是個系統工程，需要政府、銀行、客戶以及全社會共同參與，一起努力，綜合治理。其中對於客戶的安全教育和安全警示是非常重要的一環。

這些年互聯網在全球飛速發展。到2012年6月全球互聯網的普及率達到34.3%。北美洲互聯網的普及率達到78.60%。北歐的荷蘭和瑞士大於90%。

中國國內互聯網的發展也很迅速，到2012年6月，普及率達到40.1%，超過亞洲整個普及率27.5%的12.6個百分點。也超過世界平均普及率34.30%的5.8個百分點。中國成了世界上使用互聯網人數最多的國家，到2012年6月使用互聯網的人數達到5.3億人，佔全球上網人數的1/4。網絡購物用戶規模達到2億。

一、全球網上銀行發展迅猛

互聯網的普及爲全球網上銀行的發展奠定了基礎。據美國時代週刊2011年8月1日報道，網上銀行已經成爲美國民衆的主流選擇，80%有互聯網的家庭目前使用網上銀行，40%的賬單支付也在網上銀行進行。英國泰晤士報2013年10月7日一篇“客戶要求得到銀行更多關心”文章顯示：63%人表示，大部分的銀行業務是通過網上銀行進行，甚至許多市場領先的金融產品只有網上銀行才提供。歐洲的荷蘭銀行用戶約93%是通過網上銀行轉賬進行支付。2013年11月4日一篇“網上銀行在亞洲的角色”的報道，過去五年，亞洲網上銀行的使用率已經增加了28%，2012年亞洲網上銀行的使用頻率已經超過了銀行網點。Japan.internet.com2010年2月做的一個樣本爲“1080”的問卷調查，在日本有2/3的人使用網上銀行。2013年5月17日報道，在新加坡，有85%的消費者使用在線支付，這其中的40%是使用手機支付。據中央電視臺新聞頻道2013年11月15日報道，韓國排名前四位的四家銀行客戶去網點辦理業務的由五年前的43%下降到今天的5.2%。

在國內，11家上市銀行中，有超過6.5億的客戶註冊了網上銀行，交易的替代率已經超過了60%。2012年國內網上銀行的交易規模已達到900萬億元，相當於當年我國國內生產總值GDP（2012年GDP爲51.9萬億）的17倍。2012年三季度末的註冊用戶數爲4.89億。根據公開的報道，2013年2季度國內手機銀行交易額達到2.2萬億人民幣。

十多年來，網上銀行在國內得到飛速發展，網上銀行的產品也日新月異。手機銀行正在步入高速發展時期，微信銀行、直銷銀行也已開始推向市場。網上銀行幾乎涵蓋了銀行的所有業務（特別規定除外）。

由於網上銀行業務發展迅速，和網上銀行密集相關的超級網上銀行、電子商務、互聯網金融、快捷支付等新生事物如雨後春筍，甚至出現了跨銀行和電商的網上金融平臺，如建設銀行“善融商務”、交通銀行的“交博彙平臺”以及正在建設中的“平安銀行供應鏈金融平臺”等。

二、全球網上銀行安全現狀不容樂觀

在享受網上銀行給我們帶來益處的同時，也不能忽略網上銀行固有的風險。這些風險不僅威脅着網上銀行的安全穩定，也威脅到國家的安全以及客戶的利益。同時，由於網上銀行的虛擬化與基於互聯網的特點，監管和打擊的難度也大大增加。

當前，總體上。網上銀行的安全形勢不容樂觀，特別是2011年網上銀行“雙因素認證”被犯罪分子攻破，標識着全球網絡欺詐技術取得了突破。這幾年，全球範圍的網絡欺詐案件又有高發的態勢。以下數據可窺一斑。

據日本共同通訊社報道，2013年10月22日，在日本，黑客通過網上銀行從日本非法轉移客戶資金到俄羅斯和烏克蘭。到目前爲止確定的資金達770萬美元，至少766個案例。另據日本每日新聞2013年8月25日報道，2013年在日本的愛知、岐阜和三重縣網絡詐騙已經導致4730萬日元的損失，是2012年總損失的95倍。截至2013年8月8日，日本全國範圍內損失達到1.16億日元，是有史以來的最高數字。

據mailonline2012年9月27日報道，英國目前釣魚網站猛增；犯罪團夥利用客戶端攻擊達到網絡欺詐的目的；針對智能卡和pin碼卡技術的引入，犯罪改變了方法。在英國，201 2年上半年網上銀行詐騙躍升超過1/4。被盜資金達到2160萬英鎊，比2011年同期上升28%。2012年上半年大約11萬多的釣魚網站被識別，是2011年同期的3倍。2012年上半年欺騙犯罪導致卡賬戶的資金損失達到1.85億英鎊，比2011年同期上升了9%。

2013年11月4日，merrittherald.com報道，加拿大每年因爲欺詐而花掉的費用超過100億美元。2013年5月17日報道，今年第一季度，新加坡有932宗由於惡意軟件導致的網上銀行案件，同期全球有112981宗這類安全事件。印度孟買“時代報”2013年8月13日報道，達喀爾牙醫帕蒂爾超過12萬盧比被人從異國分七次取走。

來自CyberSource的研究報告顯示，2012年，北美地區公司網上欺詐損失平均爲總電子商務收入的0.9%。2012年北美地區電子商務欺詐損失大約35億美元。欺詐訂單佔整個訂單數的比例有所上升，由2011年的0.6%上升到2012年的0.8%。

在中國，2012年6月到2013年6月，一年的時間內，超過6000萬網民因網絡詐騙損失300多億元。

“道高一尺魔高一丈”，網上犯罪分子根據技術的發展正在不斷變換手法。今天看似安全的措施明天未必安全。比如網上銀行的“雙因素認證”工具目前是國際通用的做法，2011年有報道說，犯罪分子已經有攻破“雙因素認證”的手段了。根據2012年6月26日ComputerWord網站上的文章，網絡罪犯已經使用繞過“雙因素認證”的自動化詐騙技術，實施網上銀行詐騙。2012年3月以來，研究人員根據來自歐洲的攻擊數據推斷，犯罪分子企圖利用這種欺詐技術盜取的金額達7500萬美元至25億美元。這種欺騙往往瞄準那些高金額賬戶。研究人員說，“通過物理設備實現的‘雙因素認證’的安全失守，是欺詐的一個重大突破，金融機構必須認真對待，因爲這種新的欺詐技術也可以繞開其他物理安全設備。”

網上銀行安全以及網絡欺詐如果不能很好控制，將極大影響網上銀行的正常發展。據新加坡最新報道，很多客戶因爲擔心安全而不敢使用網上銀行。

三、安全教育與安全警示不容忽視

網上銀行安全的防範是個系統工程，需要政府、銀行、客戶以及全社會共同參與，一起努力，綜合治理。其中對於客戶的安全教育和安全警示是非常重要的一環。國外政府和銀行都非常重視對客戶的網上銀行安全的教育。

新加坡金融管理局在2008年下發的《網上銀行技術風險管理指引》的第十一章“金融機構信息披露及客戶教育”中對客戶教育重要性和要求給與了詳細闡述，指出，“對客戶進行金融機構交易的安全性和可靠性方面的教育至關重要，不可低估。客戶對金融機構的網上產品和服務信賴與否，很大程度上取決於他們是否理解和遵守了與金融機構賬戶運作及交易服務相關的安全要求。”又指出“金融機構要給客戶提供及時的信息和持續的教育，指導幫助他們認識和理解安全要求，知道如何以正確的步驟報告安全問題。”

在日本，2011年的愛知、岐阜和三重縣網上銀行盜竊的資金損失爲820萬日元，2012年由於政府、銀行採取包括客戶教育在內的安全措施後，只有愛知縣損失了50萬日元，岐阜和三重縣沒有損失。據報道，2013年日本瀨戶、愛知縣以及橫山縣的警察局在公共汽車站進行網上銀行的安全教育。說明日本政府、銀行對大衆進行網上銀行安全教育的重視，並收到很好的效果。

銀行對客戶網上銀行的安全教育負有不可推卸的責任。國外銀行對此非常重視，而且做得很細。以美國USBank爲例，該行網上銀行交易規模在全美排名列前10。從這家銀行網上銀行的頁面可看出該行對安全教育的重視程度。具體展示如下。

通過http://www.usbank.com/index.html鏈接進入該銀行的網上銀行。頁面的左下角顯著位置有個很大的圖標，上面寫有“你的安全是我們的責任。USBank幫助您如何防止網絡欺詐。”點擊該國標，進入安全教育頁面。

在安全教育頁面中，左上角大字體開門見山提示你：電腦和手機是通往信息、娛樂和服務的一扇大門，不幸的是犯罪分子爲欺詐之目的，也能利用它盜取你個人信息和財務信息。進一步點擊，出現如何識別欺詐、什麼是網絡釣魚，什麼是電子郵件詐騙，什麼是欺詐網站以及什麼是電話和短信詐騙等按鈕，通過進一步點擊，可得到詳細警示信息。

畫面中央的菜單，分別是預防欺詐、手機安全、報告可疑事件以及如何保護身份信息。可分別點擊獲得更多幫助信息。比如，點擊“預防欺詐”這一欄，它涵蓋以下信息：欺詐防護，你的皮夾丟了怎麼辦？有關你的敏感信息的紙質文件丟了這麼辦？什麼是身份盜竊？如何保護你的計算機。它會告訴你，“欺詐”是罪犯分子使用您的個人信息訪問你的銀行賬戶、獲得貸款、購物、以你的名義租一套公寓、找一份工作、獲得醫療服務，或以其他方式使用你的身份爲犯罪分子所用。

如果你進一步點擊子菜單裏的“欺詐防護”鏈接，又會告訴你，銀行是如何保護客戶的安全：它告訴你銀行有專門的安全團隊一直在預測風險、尋找風險點並幫助你防止安全威脅；全天候地監視，並嚴格控制對銀行系統的訪問；如果你登錄網上銀行後15分鐘內沒有活動，銀行會自動讓你退出，以減少有人從一個無人看管的計算機上進行未授權訪問你銀行賬戶的風險；銀行的移動應用（智能手機，iPad和其他移動設備）如果登錄後五分鐘內沒有活動也會讓你退出，縮短註銷期有助於減少因爲手機被盜、丟失而發生的未經授權的對你賬戶的訪問；我們對您敏感的銀行數據從你的客戶端到銀行系統實施全程加密；爲了檢測欺詐，我們對可疑交易的支付渠道實施監控，同時有個pdf告訴你，自己該如何防範欺詐。

該銀行網頁最下方中間區域包括，客服、報告欺詐、常見問題、給銀行發email，以及銀行各服務渠道等。

網頁右上方有24小服務熱線。右下方是安全學習pdf文件，客戶可以隨時下載，包括身份盜竊、身份盜竊後的措施、社交網站、預防欺詐、丟了皮夾該做什麼。

網頁下面內容是，皮夾遺失後，客戶該如何處理的PDF文檔，包括丟失以下物品你該如何處理的內容。

遺失護照：如果你的護照已經丟失或被盜，提示你要及時報告美國國務院（文檔會明示電話號碼）或提交表單ds-64聲明護照遺失或被竊。

遺失US銀行的信用卡和借記卡：立即向US銀行報告卡丟失或被盜，文檔會明示US銀行欺詐聯絡中心電話。

遺失其他信用卡和借記卡：儘快報告遺失或被盜的信用卡發行單位，大多數公司都有免費電話和24小時服務。

遺失社會安全卡：立即聯繫社會保障管理局熱線電話。並詳細告訴你如何處理。

遺失駕駛執照：各州報告和更換駕駛執照的程序不同，文檔會告知你與具體汽車管理部門聯繫。

遺失支票：如果你遺失了USBANK銀行的支票，會告知你電話號碼。如果遺失他行支票，告知你立即和該銀行電話聯繫。如果支票已被盜和被冒用，點擊那裏會尋求到幫助。

遺失綠卡：如果你遺失了綠卡，告知你去美國公民移民服務的網站，然後單擊“更新或更換我的綠卡”。

遺失保險卡：如果醫療，汽車，或其他保險卡丟失或被盜，聯繫你的保險公司。如果擔心未經授權的索賠，可以更換保單號碼。

遺失會員卡：如圖書館卡，健身卡和其他會員卡，告知你聯繫發行單位。

關於如何防範欺詐，pdf文檔會提示如下信息（下面只列出大標題）：（1）不要在郵件、電話或短信中提及你的個人信息，即使對方要你提供。（2）列出你錢包中物品清單。（3）和US銀行簽署安全報警協議。（4）採用無紙化辦公。（5）關注你的文件陳述、票據和在線賬戶。（6）只和你熟悉信任的公司做生意。（7）更新病毒軟件。（8）小心共享電腦。（9）保護你的密碼。（10）看護好美國的郵政信件。

關於身份被盜後如何處理的pdf文檔內容包括：（1）聯繫US銀行及具體電話號碼。（2）告訴有生意和賬務往來的相關單位和銀行。（3）鎖定你的賬戶。（4）告知徵信公司，讓你的潛在債權人在放款之前看到你身份被盜的警告，可以更新；記錄你報告的日期，保留信函的副本。並提供了三家徵信公司聯繫電話。（5）給美國聯邦貿易委員會（FTC）提交一個“身份被盜的投訴或口供”，給聯邦貿易委員會熱線打電話或點擊這裏申請網上投訴，提交你的投訴後，在線打印一份保留。（6）向警方報告。（7）創建一個身份盜竊報告。（8）解決身份欺詐導致的信用問題。（9）解決賬戶欺詐交易的問題。（10）解決盜用你的身份開立的新賬戶的問題。

關於社交網站的安全提醒內容如下。

當你使用社交網站，請遵循下面的安全提示保護自己：（1）使用強密碼。每種服務使用不同密碼，定期更改密碼。（2）如果一個網站還要求回答安全問題，一定要選出最晦澀難懂的問題。如果有必要，編造答案或使用字母、數字及符號的組合。（3）軟件保持最新。保持對殺毒軟件的更新，防止病毒。（4）警惕插件。下載前要仔細考慮。（5）不要分享機密信息。小偷利用“數據挖掘”技術從不同的網站了解你的習慣，哄騙你泄露機密信息。（6）客戶化設置。設置安全選項可以限制他人訪問您的個人資料。審計網站的隱私政策並調整隱私設置。定期檢查你的設置。（7）發佈的信息是公共的、也是永久的。記住，一旦是在互聯網上，它永遠不會被完全刪除，可能重新發布，轉發或複製。（8）網絡上慎交朋友。（9）對所有鏈接持懷疑態度。通過社交網絡收到的所有鏈接都要懷疑，即使是朋友發過來的。

一句話，USBank網上銀行網頁上安全提示內容全面，可操作性強。既包括瞭如何保護好銀行安全信息也包括個人隱私信息和重要證件文件信息，既告訴了客戶，銀行採取了哪些安全措施，也提醒客戶應該如何保護自己的安全。同時告知客戶萬一出現問題該如何處理。不僅提供了具體的方法，而且有具體的電話、鏈接甚至物理地址。銀行的安全警示不僅包括和銀行有關的安全，也包括和銀行安全間接相關的內容。真正體現了銀行對客戶全方位關心和服務精神。

四、改進國內網上銀行安全教育

習總書記在對共十八屆三中全會通過的《重大決定》的說明中特別強調“網絡和信息安全牽涉到國家安全和社會穩定，是我們面臨的新的綜合性挑戰。”爲此要“整合相關機構職能，形成從技術到內容、從日常安全到打擊犯罪的互聯網管理合力，確保網絡正確運用和安全。”

網上銀行是互聯網應用的產物，對它的安全治理同樣是個系統工程，除了加大互聯網的治理力度、加大網上銀行監管力度改進監管方法、法律上加大立法和懲罰力度、技術上不斷改進安全措施外，客戶的安全意識和安全知識尤爲重要，絕大多數網上銀行的安全事件都是和客戶自己的個人信息保護不當有關。

國內銀行對客戶網上銀行安全教育明顯不夠。開戶環節，業務人員只是指導客戶填寫表格，對安全風險不提示或少提示。國內網上銀行網站上有關安全教育信息非常簡單，有的銀行甚至只提供了客服電話。達不到對客戶安全教育的目的。

借鑑國外銀行和政府的做法，按照新巴塞爾協議的要求，應增強網上銀行安全信息的披露力度，加大對客戶的網上銀行的安全意識和安全知識的教育和培訓。國內網上銀行的安全提示內容完全可以增加、而且很容易做到。要把和客戶隱私信息相關的安全保護內容添加進去。針對網絡欺騙的高發態勢，增加防範網上欺詐的內容及防護的方法。同時客戶經理應利用網上銀行開戶環節，對新開網上銀行的客戶進行安全意識和知識的培訓教育。

借鑑日本做法，國內相關部門可以用多種形式開展網上銀行的安全培訓教育，輿論也應加強對網上銀行安全的宣傳教育力度。必要時候，可以參照股指期貨開戶的做法，先考試後開戶。