中国银监会办公厅关于网银系统有关风险提示的通知
(银监办发〔2009〕23号)
各银监局,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:
2008年12月31日至2009年1月4日,某银行成都分行发生一起网上银行客户资金被盗事件,涉及被盗账号12个,总金额12万元。由于该行处置及时、措施得当,犯罪嫌疑人已被抓获,被盗资金已全部追回。目前,网银业务正处于快速发展阶段,为吸取教训,加强风险管理,提高类似事件的防范及应急处置能力,现将案情及该银行所采取的措施进行通报,并作风险提示如下:
一、案件基本情况犯罪嫌疑人通过本人及雇佣他人在银行办理借记卡并开通个人网银业务,以合法身份进入该银行大众版网银系统,然后利用网络下载的黑客软件对该银行大众版网银系统进行攻击和破译,发现漏洞后作案。犯罪嫌疑人利用网银客户端交易数据包未对转出卡号、转入账号客户隶属关系进行校验,而且主机系统对网银服务端上传的个别交易数据验证不充分的程序逻辑缺陷,通过模拟浏览器与服务端通讯的方式,非法截获并篡改交易数据,盗取他人账户资金,尝试攻击总数171笔,其中成功59笔,单笔最小和最大金额分别为0.01元和2万元,共涉及客户11名。
二、应对措施该银行业务部门收到客户因短信提醒得知其银行账户资金被盗用情况的反映后,第一时间通知了本行科技部门,并采取了定位、监视、跟踪涉案账号,及时果断冻结相关账号,安抚受害客户,紧急修补程序漏洞等一系列措施,使损失和不良影响降到最低。与此同时,该行将此事件向当地监管部门报告,并立即向公安机关报案,提供犯罪嫌疑人作案所涉及的IP地址、ATM机记录等资料,为抓获犯罪嫌疑人提供了有价值信息。
三、风险提示网银业务的快速发展需要有一个安全、稳健的环境,各银行业金融机构应吸取本案的经验教训,立即对网银系统进行全面梳理,查找漏洞,及时修正,防止类似事件的发生,并加强业务部门和信息科技部门的沟通与合作,检查、完善相关预案,切实保障在出现紧急事件时能够快速响应,使损失和不良影响降到最低。同时,各银行业金融机构应充分利用短信提醒等方式使客户参与风险预警。请各银监局督促辖内银行业金融机构做好相关工作。
