考拉超收
您当前的位置:主页 > 行业资讯 >

ATM交易存在的安全问题

2019-07-25 来源:安全付 作者:Memory

  由于自助银行具有自助服务、无人值守和信息化程度高等特点,近年来ATM交易中各种犯罪案件和纠纷不断增加,对银行和客户都造成了极大的风险。ATM交易中存在的风险分为两类,即外部风险和内部风险。

  (1)外部风险。外部风险主要表现为:不法分子为盗取客户资金,利用种种手段对ATM实施外部作案。2008 年,公安部公布了银行卡和银行自助设备( 主要是ATM)犯罪活动的十种常见手法。

  手法一:不法分子冒用银行或发卡机构等金融部门名义,在ATM上粘贴“温馨提.示”等虚假“通告”,然后用透明胶带塞进ATM吐钞口,使机器里的钞票无法正常吐出,前来取钱的客户不能取钞,情急之下就会拨打ATM上虚假“通告”提供的“服务热线”,被不法分子诱骗进行转账操作。

  手法二:不法分子使用铁钩、镊子、胶带和假键盘等工具,将一个特制的铁钩放人ATM的插口,造成银行卡被吞的假象,诱骗客户按提示操作,泄露银行卡密码,等客户走后,犯罪分子再拉出钩子,取出银行卡窃取现金。

  手法三:在客户使用ATM取款时,不法分子上前搭话,分散其注意力,设法窃取客户银行卡账户信息和密码,或调换客户银行卡。

  手法四:不法分子在键盘上安装盗码器,贴在银行提款机的按键上,客户按下的密码会被自动记录下来并直接发射出去。

  手法五:不法分子利用假插卡槽作案。不法分子将假的ATM插口固定在原来真插口的位置,客户将银行卡插入假插口后,假插卡槽内部设置的读写装置能复制卡上全部信息。

  手法六:不法分子在广告夹里藏摄像镜头。在一些ATM旁边有一个广告夹,这个广告夹里可能藏着一个微型摄像机,通过摄像机将键盘和荧屏上的资讯拍下来,并传到200米之外的不法分子手上。

  手法七:不法分子在ATM上安装秘密摄像装置,窃取持卡人密码。同时,捡拾持卡人取款后遗弃的取款凭条获取持卡人卡号,再利用电脑、读写磁机将卡号写人另一-张磁卡上,变造银行卡后使用。

  手法八:不法分子在自助银行门上的刷卡器上安装自制的磁条读写装置,假冒成门禁系统以遮挡住原来的门禁系统,并贴上“刷卡后请按密码确认”等提示语言字样,误导客户操作,窃取银行卡卡号和密码,制造假卡行骗。

  手法九:不法分子采用有记忆功能的键盘或类似塑料薄膜的物质覆盖在ATM键盘上,窃取持卡人密码,并利用吞卡装置取得持卡人银行卡。

  手法十:不法分子用胶水封堵自助银行自动门的刷卡器,在旁边安装另一个有输人密码的刷卡器,里面有一通信电话卡,只要持卡人输人密码后刷卡,其信息资料(卡号、密码)就以短信的形式发往犯罪嫌疑人的手机上。

  商业银行作为金融机具的所有者和金融服务的提供者,应该针对这些诈骗手段,在ATM上采取有针对性的管理措施和技术手段进行防范。

  另外,外部风险还表现在客户的自我保护意识不强。随手丢弃存取凭条或交易凭证、在无保护状态下进行密码输人等情况相当严重,磁道信息或账户密码极易被犯罪分子获得,为变造、伪造、克隆银行卡和进行网上犯罪提供了便利;有的客户账户交易密码设置过于简单;有的为了避免忘记密码,将卡、折和密码- -起存放。这些都会给犯罪分子留下可乘之机,埋下风险隐患。

  (2)内部风险。内部风险指因银行内部管理不善给ATM带来的风险和隐患。在ATM日常管理中,伴随着大量的现金及账单流动;与ATM相关联的部门也很多,不仅包括保卫、信息技术、运营保障、会计结算等部门,还涉及设备保修公司、网络运营公司等。内部风险主要包括以下几个方面:

  ①风险意识淡薄、警惕性不足。自助银行货币形态的电子化、服务方式的虚拟性、业务边界的模糊性、经营环境的开放性,使银行得以在更大的时空范围内提高资源配置效率、更好地满足个人和企业客户丰富的个性化金融服务需求,但同时也使银行面临诸多有别于传统业务的电子化新风险,例如,运营和管理经验相对缺乏;对风险的认识和警惕性不够;在安全方面投人不足;对内部员工的风险警示教育相对薄羽等。

  在享乐主义、拜金主义等社会不良思想和风气的影响下,风险意识储备不足的银行内部员工极易在思想上产生变化,甚至因一念之差走向犯罪,对银行财产和信誉造成一定的损害。风险频发不仅会对成长中的国内自助银行业务的发展造成严重影响,而且已经成为事关维护银行信誉和金融秩序的重大问题,传统的风险防控理念难以完全适应金融电子化、信息化快速发展的客观现实。因此,提高银行工作人员的认同感、归属性和责任感,控制其道德风险非常重要。

  ②软件系统和8常维护管理不严。自助银行是高技术的机电一体化和IT产品,业务在系统程序控制和人机交互作用条件下自动实现,并且具有高度的自助服务和自动运行特点。自助银行系统的程序在没有严格的风险控制和保密制度的约束下,存在代码泄露的可能性。

  ③银行卡产品技术设计上的缺陷,为犯罪分子提供了可乘之机。银行卡的密码控制一般采用卡磁道信息和后台校验双重控制方式,而目前有相当一部分银行卡的密码控制采用单一的后台控制方式。从技术上讲,采用双重控制的银行卡的磁条上存有一个密码偏移量,该参数在卡操作时要作为一个重要变量被计算机提取,连同其他磁道信息一并被上送后台参与密码校验。面采用单一控制方式的银行卡并无此机制,其单一的后台控制方式使卡磁道信息与密码控制相分离。单一控制方式下的密码设计漏洞,给许多犯罪分子通过“卡复制”进行诈骗提供了方便。

  ④自助设备硬件上的风险。目前,各银行的ATM涉及的品牌多,型号复杂,与各品牌相配的钞箱型号和配件也多种多样,存在相同型号的ATM上箱体钥匙通用、钞箱钥匙通用的现象,加大了管理的难度。

  ⑤服务响应风险。由于ATM的硬件维修、系统维护、数据车系统和应用软件的维护以及网络通信服务依赖于各开发商和服务供应商,一旦出现设备故障、网络故障、系统瘫痪、数据库损坏、通信中断等情况,就可能存在这些外部公司不能提供快捷及时的服务响应和服务支持。

  同外部风险相比,内部风险隐蔽性较高,而一旦发生,造成的损失往往比外部风险要高得多。从许多案例来看,内部风险的防范比外部风险更为重要。