纯网银成黑客眼中的肥羊!专家呼吁KYC身份认证多加一道手续

时间回到2016年,当时第一银行发生ATM盗领案,主嫌安德鲁(Peregudovs Andrejs)通过手机就能让银行ATM吐钞,魔术般的手法,一时之间让人们都惊呆了。

安全机制绝对是金融服务的首要工作,这些机制如同“锁”一般,越是安全的锁,便利性肯定比较差、成本又高,但却可以阻挡非法入侵者。从一银盗领案的经验来看,单靠网络就能让ATM吐钞。

在进入纯网银时代,更不能忽视黑客与木马程序带来的安全威胁,刑事警察局呼吁,企业在KYC(认识你的客户)上,必须将“数字信息”纳入验证数据之一。

2016年一银ATM盗领案主嫌Peregudovs Andrejs。

黑客经济随着纯网银蓬勃

在金融科技蓬勃发展的同时,黑客经济也随之兴起。刑事警察局侦九大队大队长林建隆,将网络经济犯罪分成两大面向。

第一种是“以金融机构、客户为目标”的犯罪,像是阻断金融服务(DDoS)、侵入网站窃取数据、网络盗转帐(SWIFT:窃取客户帐号密码)还有ATM盗领;第二种是“利用金融服务作为犯罪工具”,洗钱、欺诈(人头帐户、金融支付、OBU汇款等等)。

林建隆分析,网络特点是有隐匿性,加上电商发展多以盈利为前提,对会员没有太严格的审核机制,各类金流服务的快速便利性,成为犯罪集团最好的工具,其中信用卡、ATM缴费、超商代收付、货到付款这四种金流服务,是诈骗集团最喜欢使用的诈骗工具。除了强化自身跟客户的安全,避免金融服务被利用成为犯罪工具也很重要。

刑事局侦九队:KYC要纳入数字信息

金融企业跟客户创建关系的起始点是KYC(Know Your Custoner),KYC的意思是金融企业必须了解客户的风险承受能力,才能提供合适的商品给客户。

林建隆观察,很多网络企业在完成开户、创建帐号验证后就结束KYC的工作,但后续有可能会有人头户、伪冒身份识别这些问题跑出来,进而产生欺诈跟洗钱的事件。事实上,以一般传统银行来说,在开户的KYC上做的算很严谨,几乎很少发生伪冒身份开户的问题,但却也可能发生用利诱或是诈骗的方式去开户,接着再把银行帐户权限给犯罪集团使用的状况。

林建隆认为,纯网银虽然没有面对面的验证,但却多了许多像是网址、应用程序信息、载体信息等等的“数字信息”。

 

纯网银跟一般银行最大的不同,是所有KYC的作业都是用数字化完成,虽然方便,但较难确认背后是否为诈骗集团。林建隆认为,在没有实体银行开户验证的情况下,当黑客掌握客户载体或数字资产(证件扫描档、帐单、电子邮件等)时,纯网银企业必须思考这些KYC是不是真的还是KYC。

纯网银虽然没有面对面的验证,但却多了像是网址、应用程序信息、载体信息等等的“数字信息”,虽然这些不是直接的个人数据,也应该作为纯网银时代KYC的验证数据之一。

进一步来看,若是诈骗发生,KYC可能在特定时间内,有多个帐号使用相同的验证因素(像是手机号码、网址、email等等),这些就能视为风险信号,纯网银企业应该去分析这类因素彼此的关联性,就能找出诈骗集团犯罪工具网络,达到有效且连锁的警告跟管理。

安全没有绝对安全,要学习与危机共存

接着是最关键的交易阶段,林建隆认为,可以把每个用户跟帐户看成是一个节点(node),节点之间会存在连接(tie),纯网银企业可以通过社会网络分析,以及AI机器学习与深度学习,把每个节点跟关联的各项变量转为数值计算方式,当作社会网络分析的中心性测度中的“量(weight)”,用可视化图形方式,分析犯罪集团群聚以及交易流向,便能侦测出可疑用户、欺诈金流、洗钱交易,以及不法交易流向。

安不安全都是比较出来的,危机的存在,就如同人不可能生活在无菌室中,我们都有可能被感染疾病。

林建隆分析,“有犯罪动机的人”、“合适的目标”、“缺乏有能力的监察者”是导致犯罪的三大因素。 迈入纯网银时代,对金融机构来说已经越来越难监测有犯罪动机的人,可以做的是强化自身的监察管理能力,让自己不会成为“合适的目标”。

“安全没有绝对安全,只有相对安全,”危机的存在,如同人不可能生活在无菌室中,我们都有可能被感染疾病,要学习与危机共存,林建隆认为纯网银企业只有增加犯罪成本跟时间,就能幸免成为目标。