银行卡及自助设备安全风险管理详解.docVIP

银行卡自助设备安全风险管理重点研究一、 （一）研究背景 随着银行卡业务的发展，银行卡信息安全问题越来越突出。两大发卡组织有超过4000万个银行卡账户资料被黑客恶意窃取，而各类银行卡犯罪日益呈现出集团化、国际化、高科技化的特征。银行卡犯罪的激增已使许多持卡人产生了放弃使用银行卡的念头，确保银行卡信息安全是银行卡业务持续快速发展的重要技术支撑。 当前银行卡和ATM机犯罪事件频发，主要包括银行卡伪造、信息盗取和利用银行卡和ATM机的欺诈交易等三类： 银行卡伪造主要包括直接编造信息或利用工作之便窃取信息之后伪造银行卡，其中包括利用高科技手段窃取用户信息后再进行银行卡伪造，也包括利用工作之便盗取储户信息后进行的银行卡伪造。 对客户银行卡和AMT机信息盗取的案件其中多数是利用先用电子银行信息系统的漏洞，设置盗取客户信息的应用程序或者直接破解客户交易密码等窃取客户信息，也有银行内部人员直接作案的案例。 利用银行卡和ATM机的欺诈交易主要包括冒名交易、欺诈交易和对客户的直接欺骗等，其中多数是利用电子银行现有业务信息系统的漏洞执行冒名消费、恶意注册、恶意消费、虚假交易等简单的欺诈行为，少数通过对银行卡消费者欺骗来实现，还有银行内部人员利用业务之便进行的恶意交易。 根据当前对24家银行的调研，有5家银行存在银行卡账号信息泄露的情况，占到总数的20.8%，其中2家银行由于暴力破解银行卡密码引起，1家银行由于修改监听用户交易数据引起，5家银行由于盗取用户信息引起。 当前犯罪分子的银行卡犯罪主要由以下原因引起： 1、暴力破解。黑客对银行卡实施暴力破解必须具备两个前提条件：一是被针对的系统是只需要账号加密码(或再加简单图形码)的输入即可通过校验的模式；二是被针对系统没有对用户输人有校验失败次数限制或访问控制。归纳起来，暴力破解的实施方法主要有以下两种：固定某账号，采用穷举密码方式试探该账号是否能登录；固定密码，采用穷举账号方式试探该账号是否能登录。 对于暴力窃取银行卡账户信息导致信息泄露的情况分析，2家银行都认为被针对的系统是只需要账号加密码(或再加简单图形码)的输入即可通过校验的模式，1家银行认为被针对的系统没有对用户输人有校验失败次数限制或访问控制。 2、信息盗用。不法分子实施信息盗用主要有两种方式：一是盗读磁条及摄录密码，不法分子利用自制机具在ATM银行卡槽口外安装读卡器获取用户银行卡或拷贝其磁条信息，并安装摄像头摄录用户密码的方式盗取用户银行卡资金；二是窃取静态密码或其他静态信息。随着银行提供服务渠道的不断增加，很多新渠道新系统在进行客户身份校验时只需用户输入交易密码等静态信息。对于输入交易密码等静态信息的情况，虽然交易渠道(手机或电话等)在一定程度上能够保证用户身份，但是并线、移动信号截获都是威胁这些渠道安全的一大隐患。当前有10家银行存在不法分子盗用银行卡信息的情况，占到总数的41.7%，对于窃取银行卡信息的情况分析，10家银行认为原因在于不法分子利用自制机具在ATM银行卡槽口外安装读卡器获取用户银行卡或拷贝其磁条信息，并安装摄像头摄录用户密码的方式盗取用户银行卡资金，4家银行认为原因在于不法分子窃取静态密码或其他静态信息，包括窃取用户在第三方收单机上留下的交易密码等静态信息，且多发生在借记卡上。 3、修改或监听用户交易数据。在网络安全方面，MITM(Man-in-the-MiddleAttack)攻击是很广泛的，曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击。通常情况下，这种典型的攻击会在用户和在线服务供应商之间架设一个欺诈网站或在供应商网站上添加一些相应的插件或代码。该网站或插件在服务供应商和用户之间透明转发信息并试图获取真实用户的相关信息，如账号、密码等。 当前，自助设备(ATM)的安全防范日益成为各商业银行面临的严峻挑战和迫切需要解决的问题。不法分子作案手法多样，防不胜防，案件呈现多发态势，防控形势更加严峻。案件不仅对客户资金安全构成威胁，也对银行声誉造成负面影响，而且还对银行自助业务的发展和设备的日常运营管理工作带来极大的压力。为了维护商业银行自助业务品牌形象，给客户提供一个安全的用卡环境，促进银行自助业务的快速发展，制订可行的自助设备安全防范措施势在必行。 当前有10家银行存在不法分子利用ATM机等自助设备作案的情况，占总数的41.7%，对于存在作案的银行，作案手法主要包括以下几类： 手法一：在自助银行门禁上加装读卡装置窃取客户银行卡信息以制作伪卡，偷窥密码或试出密码(若客户密码有一定规律)并伺机作案； 手法二：转移客户注意力，在客户进行自助交易过程中将卡调包，偷窥密码或试出密码(若客户密码有一定规律)并伺机作案； 手法三：在自助设备出钞口加装挡板或用胶水封住出钞口，造成客户取款下账未吐钞。并通过在自助设