文/華東政法大學(xué) 夏草

域外：全球加緊應(yīng)對網(wǎng)銀犯罪

文/華東政法大學(xué) 夏草

早在1999年的美國統(tǒng)計資料就表明：平均每起計算機(jī)犯罪造成的損失高達(dá)45萬美元，而傳統(tǒng)的銀行欺詐與侵占案平均損失只有119萬美元，銀行搶劫案的平均損失不過4900美元，一般搶劫案的平均損失僅為370美元。據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計測算，一起刑事案件的平均損失僅為2000美元，而一起計算機(jī)犯罪案件的平均損失高達(dá)50萬美元。據(jù)計算機(jī)安全專家估算，近年因計算機(jī)犯罪給總部在美國的公司帶來的損失為2500億美元。

全球范圍內(nèi)，每秒就有18位網(wǎng)民遭受網(wǎng)絡(luò)犯罪的侵害，平均每位受害者蒙受的直接經(jīng)濟(jì)損失總額為197美元。據(jù)估計，全球遭受過網(wǎng)絡(luò)犯罪侵害的網(wǎng)民已超過了歐盟的人口總額。

巴西銀行業(yè)聯(lián)合會登記的數(shù)據(jù)顯示，2011-2012年利用銀行網(wǎng)絡(luò)服務(wù)系統(tǒng)實施的犯罪活動比前一年增長了60%，導(dǎo)致銀行和客戶經(jīng)濟(jì)損失15億雷亞爾（約合7.5億美元）。而據(jù)美國頂級風(fēng)險管控公司FICO（費埃哲）于2013年5月20日發(fā)布的2012年歐盟信用卡詐騙數(shù)據(jù)顯示，法國以29%的損失增長率取代英國（27%）位居歐盟受信用卡詐騙犯罪損失最大的國家。2011年歐盟各國受信用卡詐騙犯罪總額較去年增長6%。而法國受信用卡詐騙的損失從2007年至2012年增長了65%，共計損失增長額為1.74億歐元。英國官方2013年5月調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)欺詐型犯罪導(dǎo)致小企業(yè)每年損失近7.85億英鎊的損失。根據(jù)2013年4月諾頓網(wǎng)絡(luò)安全報告中所述，2012年全球惡意釣魚網(wǎng)站較前一年增加了123%，犯罪分子通過釣魚網(wǎng)站獲取被害人的賬號、密碼以及其他網(wǎng)絡(luò)銀行賬號的信息。使用SSL安全協(xié)議證書（Secure socket layer）令受害者在訪問時誤以為仍在安全上網(wǎng)的惡意釣魚網(wǎng)站數(shù)量較2011年增加了46%。同時2012年韓國的釣魚網(wǎng)站數(shù)量上升明顯，其他的釣魚網(wǎng)站較為活躍的非英語國家有法國、意大利、葡萄牙、中國和西班牙。

犯罪暗潮

跨國團(tuán)伙線上線下聯(lián)合犯罪洗劫銀行

據(jù)路透社今年5月9日報道，美國司法部聯(lián)邦檢察機(jī)關(guān)對一個據(jù)點設(shè)在紐約的跨國網(wǎng)絡(luò)犯罪集團(tuán)的八名多米尼加裔美國籍成員提出指控（其中一名頭目于4月底在多米尼加共和國遇害身亡），該犯罪團(tuán)伙涉嫌利用黑客手段入侵銀行信用卡交易公司的數(shù)據(jù)系統(tǒng)，提高了阿曼馬斯喀特銀行（Bank of Muscat of Oma）和阿拉伯聯(lián)合酋長國哈伊馬角國家銀行（RAKBANK）發(fā)行的萬事達(dá)預(yù)付費借記卡（MasterCard）可用額度和取現(xiàn)額度，并盜取銀行卡號，然后利用工具將銀行卡信息輸入廢舊的酒店鑰匙卡、過期或作廢的信用卡等任何只要是帶有磁條的卡片中，完成銀行卡的偽造。再從27個國家的自動取款機(jī)中盜走4500萬美元，約合人民幣2.8億元。

沒有槍支和面具，取而代之的是筆記本和互聯(lián)網(wǎng)。該團(tuán)伙共作案兩起。去年12月，該團(tuán)伙犯罪人員入侵印度一個銀行卡處理器，在兩個半小時的時間內(nèi)從20個國家的自動取款機(jī)非法提取500萬美元；今年2月，該團(tuán)伙再次作案，入侵一個美國處理器，在10個小時的時間內(nèi)從24個國家的自動取款機(jī)實施了3.6萬次交易，竊取4000萬美元，其中在紐約的八人小組從2904臺取款機(jī)中非法提取了240萬美元。涉案兩家銀行尚未回應(yīng)這一案件。據(jù)馬斯喀特銀行2月披露，12張預(yù)付費旅行卡遭境外欺詐，銀行將計提3900萬美元減值損失，這一數(shù)額超過馬斯喀特銀行2013年第一季度利潤的50%。如此快的速度洗劫全球多家金融機(jī)構(gòu)，美國紐約州東區(qū)聯(lián)邦檢察官洛蕾塔·林奇（Loretta Lynch））稱這起案件“為21世紀(jì)銀行大劫案” 。

“所幸”該案的最終受害者并非個人，而是上述兩個中東的銀行。專家分析，該團(tuán)伙之所以會選擇中東的銀行實施犯罪很可能是因為這兩家銀行允許信用卡客戶提款的額度較其他地區(qū)銀行更高，且并不如其他銀行一樣對信用卡使用情況進(jìn)行密切監(jiān)視。目前，這些受害銀行是否能向銀行卡處理器公司尋求被盜損失還不確定，根據(jù)美國法律規(guī)定，銀行必須與相關(guān)銀行卡處理器公司簽訂有關(guān)安全證書方面的協(xié)議，如果處理器公司沒有遵循合約提供安全防護(hù)，則處理器公司將對銀行的損失負(fù)責(zé)。當(dāng)然受害銀行還可以根據(jù)保險政策，向銀行的保險公司或銀行卡處理器的保險公司尋求賠償。據(jù)悉，美方調(diào)查人員已與日本、加拿大、德國、羅馬尼亞、阿聯(lián)酋、多米尼加共和國、墨西哥、意大利、西班牙、比利時、法國、英國、拉脫維亞、愛沙尼亞、泰國、馬來西亞等多國執(zhí)法人員展開合作。類似的案件已現(xiàn)于2009年，犯罪分子用偽造的蘇格蘭皇家銀行預(yù)付費借記卡，在12小時內(nèi)取走九百多萬美元。

非法SIM卡調(diào)換致網(wǎng)銀失竊案暴增

隨著南非許多國家上網(wǎng)費用的降低，南非正遭受移動和互聯(lián)網(wǎng)銀行犯罪的逆襲，造成數(shù)百萬美元的損失。據(jù)報告顯示，南非的手機(jī)移動銀行犯罪案件同比增長8%，網(wǎng)絡(luò)銀行犯罪案件增長3%。據(jù)南非銀行風(fēng)險信息中心（Sabric）商業(yè)犯罪辦公室總經(jīng)理蘇珊（Susan Potgieter）介紹，南非在2011年發(fā)生此類案件的總量不到100起，但在2012年案發(fā)量躍至一千多起。去年南非《華僑新聞報》就報道了一起SIM卡調(diào)換致受害者網(wǎng)銀被盜案件。受害者陳先生于案發(fā)當(dāng)日上午收到一封手機(jī)短信，其內(nèi)容為：您已申請一張新手機(jī)卡，目前使用的SIM卡即將停用，請確認(rèn)。當(dāng)事人看到該信息后，并不以為然。但是，大約上午10點左右，陳先生的手機(jī)果然不能使用。由于外出辦事，當(dāng)事人不能及時到VODACOM公司營業(yè)廳詢問。當(dāng)日下午一點半左右，被害人從妻子處獲知，其使用的南非聯(lián)合銀行賬上被轉(zhuǎn)走了兩筆款項。下午3點多，陳先生查詢自己的網(wǎng)絡(luò)銀行信息時發(fā)現(xiàn)其無法登錄網(wǎng)銀客戶端，自己的用戶名、密碼等信息已被人刪改了。

今年5月南非聯(lián)合銀行集團(tuán)（ABSA）向其用戶發(fā)布警告，解釋SIM卡調(diào)換欺詐的流程：首先，受害者將收到一個由罪犯假冒銀行發(fā)出的短信，聲明受害者的銀行賬戶出現(xiàn)問題，稍后將有專員與其取得電話聯(lián)系。第二步，幾分鐘后，受害者果真會收到一個電話，要求受害者回答幾個問題來確認(rèn)一些賬戶信息，比如受害者的銀行卡號，使用的手機(jī)型號，最近呼叫的幾個電話號碼等。第三步，罪犯向受害者的手機(jī)運營商申請SIM卡更換，這將令罪犯接收由受害者銀行發(fā)出的手機(jī)確認(rèn)信息，從而方便將受害者銀行卡中的錢款通過網(wǎng)絡(luò)銀行劃出。第四步，一旦受害者發(fā)現(xiàn)自己的電話無法使用，其銀行卡中的錢款已經(jīng)被犯罪分子劃出。

南非聯(lián)合銀行數(shù)字銀行主管艾德里安（Adrian Vermooten）在接受電臺采訪時稱，這些案件90%以上是由于受害者在不經(jīng)意間向釣魚網(wǎng)站或他人透露了自己的網(wǎng)銀信息，只有很少的幾個案子是因為罪犯使用間諜軟件或鍵盤記錄軟件獲取被害人的網(wǎng)銀登錄信息。同時非洲信息和通信技術(shù)發(fā)展中心（Africa Center for ICT Development）分析師說，如今釣魚工具包在網(wǎng)上可以很容易地被不法分子獲得，使得網(wǎng)絡(luò)犯罪不再需要訓(xùn)練有素的黑客即可實施。

是銀行內(nèi)控失職還是電信商換卡失職

根據(jù)馬來西亞銀行協(xié)會公布的電子銀行犯罪統(tǒng)計中，最常見的犯罪手段為釣魚網(wǎng)站，緊接著是短消息和電話詐騙。

當(dāng)然銀行內(nèi)控失職也常為網(wǎng)絡(luò)銀行犯罪提供溫床。2005年6月我國的《經(jīng)濟(jì)參考報》曾報道一名為彭博的年輕人，為了證明自己的實力而參加黑客大賽，利用網(wǎng)絡(luò)破譯銀行銀信用賬號，涉嫌盜竊近2萬人民幣。在庭審時，其為自己辯解，并不想通過這種手段盈利，持卡人姓名是其胡亂填寫，目的就是考慮到銀行不會收單，就不會讓自己的行為給他人帶來財產(chǎn)損失。殊不知銀行還是無視了銀行持卡人姓名的錯誤信息，將錢款劃撥了出去。事實上，很多網(wǎng)絡(luò)銀行犯罪之所以能夠成功問題就出在銀行內(nèi)部人員工作疏忽。

在27國特大萬事達(dá)預(yù)付費借記卡詐騙案中（該案的案件名稱為U.S. v. Lajud-Pena et al.），有一個名為維爾維斯（Elvis Rodriguez）的嫌疑犯曾在今年1月時計劃去羅馬尼亞旅行，其向該旅游組織方支付了30萬美元。但是美國航空公司取消了維爾維斯的預(yù)訂，因為航空公司懷疑該筆預(yù)訂欠款可能系使用偷來的信用卡支付的。雖然預(yù)訂被取消，但最終維爾維斯還是用現(xiàn)金支付了旅行費用。在這段小花絮中美國航空公司對信用卡支付的警覺與中東兩大受害銀行形成鮮明對比。側(cè)面印證北京大學(xué)金融法研究中心副主任白建軍教授早在2006年就在媒體上指出針對愈演愈烈的網(wǎng)絡(luò)金融犯罪，最根本的解決辦法是提高銀行內(nèi)控力度。

依法治網(wǎng)

全球加緊應(yīng)對網(wǎng)絡(luò)金融犯罪

2001年11月23日，歐洲理事會在匈牙利布達(dá)佩斯召開的網(wǎng)絡(luò)犯罪大會上舉行了《關(guān)于網(wǎng)絡(luò)犯罪的公約》（Convention on Cyber-crime）的開放簽署儀式。這就是布達(dá)佩斯網(wǎng)絡(luò)犯罪公約（the Budapest Convention on Cybercrime）。該公約由歐洲理事會的26個歐盟成員以及美國、加拿大、日本和南非等30個國家的政府官員共同簽署。2004年3月18日立陶宛國正式批準(zhǔn)，滿足了其生效要件，這個由歐洲理事會（Council of Europe，COE）主導(dǎo)的網(wǎng)絡(luò)犯罪公約于2004年7月1日正式生效，成為全球第一個針對網(wǎng)絡(luò)犯罪而成立的國際公約。該公約制定的目標(biāo)之一是期望使國際間對于網(wǎng)絡(luò)犯罪的立法有一致共同的參考標(biāo)的。公約也創(chuàng)建了一個全天候的“協(xié)作網(wǎng)絡(luò)”，可以在締約國間進(jìn)行24小時不間斷的情報交流及相關(guān)協(xié)助。

網(wǎng)絡(luò)銀行犯罪涉及兩部分犯罪，這兩部分可以是分開的行為，也可以是整合的：其一，信息系統(tǒng)攻擊獲取身份信息；其二，通過網(wǎng)絡(luò)詐騙或偷盜被害人網(wǎng)上銀行錢款。針對包括網(wǎng)絡(luò)銀行犯罪在內(nèi)的網(wǎng)絡(luò)犯罪，世界上大多數(shù)國家均在國內(nèi)規(guī)定了計算機(jī)安全的單行法，或?qū)π谭ㄟM(jìn)行了修正。美國1984年通過的第一部關(guān)于計算機(jī)安全與犯罪的法案《欺詐存儲裝置與計算機(jī)欺詐、濫用法》在1996年10月11日修訂后，改為美國聯(lián)邦刑法第18篇第1030條，名為“與計算機(jī)相關(guān)的欺詐及其行為”。其他相關(guān)立法還有《與存取設(shè)備有關(guān)的欺詐及其他行為法》《聯(lián)邦計算機(jī)安全處罰條例》以及《計算機(jī)欺騙與濫用法》等。英國1990通過了《計算機(jī)濫用法》。2000年印度通過《信息技術(shù)法案》。1986年8月1日德國刑法修正案也加入了若干涉及計算機(jī)安全與犯罪的條款。1987年日本修訂刑法，增加了若干關(guān)于計算機(jī)安全與犯罪的條文，現(xiàn)行日本刑法關(guān)于電子商務(wù)領(lǐng)域刑事立法條文規(guī)定使用計算機(jī)詐騙的行為屬于犯罪行為。

各國成立計算機(jī)犯罪專業(yè)偵查部門

為打擊網(wǎng)絡(luò)犯罪，許多國家建立了專門的計算機(jī)犯罪偵查部門。比如，2001年，墨西哥組建了拉美第一支網(wǎng)上警察部隊；2003年，巴西聯(lián)邦警察局設(shè)立專門機(jī)構(gòu)，對網(wǎng)絡(luò)犯罪實施監(jiān)管和打擊。2004年烏拉圭首支“網(wǎng)絡(luò)巡邏警察”部隊在首都蒙得維的亞成立；韓國國家警察局建立的黑客調(diào)查隊是國家警察局國際刑警分局的一部分，其任務(wù)是搜查國際互聯(lián)網(wǎng)和本國計算機(jī)系統(tǒng)，以發(fā)現(xiàn)潛在的系統(tǒng)入侵者留下的行蹤。2012年韓國政府開始啟動“白色黑客”（具有善意目的的黑客）培養(yǎng)計劃，計劃投入19億韓元（約合167萬美元），培養(yǎng)大約六名“白色黑客”，以加強(qiáng)韓國信息安全部門的力量。日本也存在專門的計算機(jī)警察，他們是從中年計算機(jī)專家中遴選而來；在德國，為了打擊internet上的犯罪行為，特別設(shè)立了網(wǎng)絡(luò)警察組織；在英國，倫敦有一家名叫CCV的倫敦警察局犯罪部，專門負(fù)責(zé)計算機(jī)高科技犯罪的偵探工作，除了應(yīng)付計算機(jī)犯罪之外，還幫助開設(shè)計算機(jī)調(diào)查技術(shù)課程以培訓(xùn)警察，并幫助公眾排除因計算機(jī)病毒而帶來的麻煩，據(jù)說這是歐盟打擊網(wǎng)絡(luò)犯罪中心（EC3）的前身；在法國，巴黎警察分局的信息技術(shù)偵察處，有十多位計算機(jī)警察，他們都是計算機(jī)方面處理存儲、傳播信息的專家，他們專門對付電話線路盜用、互聯(lián)網(wǎng)絡(luò)上的計算機(jī)盜竊等犯罪。在中國大陸，公安部十一局（網(wǎng)監(jiān)局）便是整體負(fù)責(zé)網(wǎng)絡(luò)與計算機(jī)安全的警察機(jī)構(gòu)。

更有國家在國內(nèi)增加網(wǎng)絡(luò)監(jiān)管培訓(xùn)，并與相關(guān)國內(nèi)外偵查組織合作。美國匹茲堡的國家網(wǎng)絡(luò)取證培訓(xùn)聯(lián)盟（National Cyber-Forensics & Training Alliance）就與歐盟打擊網(wǎng)絡(luò)犯罪中心EC3有合作。澳大利亞聯(lián)邦警察局（AFP）和澳大利亞銀行家協(xié)會（ABA）就聯(lián)合起來為廣大網(wǎng)民提供網(wǎng)絡(luò)銀行犯罪的警示。各國還有一些管理結(jié)構(gòu)和協(xié)會，比如英國的“互聯(lián)網(wǎng)監(jiān)察基金會”、澳大利亞的“網(wǎng)絡(luò)警示機(jī)構(gòu)”、互聯(lián)網(wǎng)從業(yè)者或ISP行業(yè)協(xié)會以及其他非政府組織在防治網(wǎng)絡(luò)犯罪方面起到關(guān)鍵作用。

美國成立互聯(lián)網(wǎng)欺詐投訴中心鼓勵報案

美國聯(lián)邦調(diào)查局（FBI）與國家白領(lǐng)犯罪中心（National White Collar Crime Center -NW3C）合作建立了互聯(lián)網(wǎng)犯罪投訴中心（Internet Crime Complaint Center-IC3），專門負(fù)責(zé)調(diào)查和打擊網(wǎng)絡(luò)犯罪行為，受害者可以隨時登陸該中心網(wǎng)站報案或投訴。因為網(wǎng)絡(luò)金融犯罪受害者中企業(yè)和商家占多數(shù)，但他們在受害后，礙于擔(dān)心社會公眾可能會對其安全系統(tǒng)以及信譽(yù)產(chǎn)生懷疑，而選擇對犯罪保持承諾，拒不報案。而多數(shù)遭受小額網(wǎng)絡(luò)金融犯罪的個人受害者也會認(rèn)為數(shù)額太小，而不進(jìn)行舉報，這樣不利于政府及時發(fā)現(xiàn)和打擊網(wǎng)絡(luò)金融犯罪。因此除了像我國或美國部分地區(qū)規(guī)定強(qiáng)制報案制度外，還有不少國家的警察局或組織，如新加坡警察局、澳大利亞聯(lián)邦警察局等國家或組織官方網(wǎng)站上就建立了網(wǎng)上報案系統(tǒng)，接受并鼓勵網(wǎng)絡(luò)金融犯罪受害者報案，讓受害者可以迅速和有效地與執(zhí)法部門分享有關(guān)信息。

編輯：黃靈 yeshzhwu@foxmail.com