登录 注册 设为主页
分站
大河金融频道

最新推荐: 中国光大银行金华分行正式开业 光大银行阳光理财·资产配置平台轻松实
您现在的位置:首页>银行>银行>

网上银行存有漏洞 信息被盗

来源:东方网    发表时间:2012-05-28 

  “我们手中掌握着1.5亿中国中高端消费者的信息。”这是今年央视“3·15”晚会上曝光罗维邓白氏公司贩卖个人信息时的一个令人胆寒的对白。涉个人信息犯罪总体可分为三个层次,而且环环相扣:“源头”向汽车销售、房地产、保险甚至银行等行业收集加工个人信息“中间商”从“源头”购买信息后向各地倒卖,彼此间再不断进行买卖和交易,获取新的信息,掌握海量数据,从而构成兜售信息的数据平台非法调查公司、讨债团伙等购买信息后,从事下游犯罪活动。

  记者在调查采访中也发现,多部门已经采取各种措施打击,通过各种论坛和QQ群,检索“个人信息”很难找到有价值线索,但如果具体到“车主资料”、“婴儿资料”等具体信息,依然可以找出不少相关的网站和信息。

  当个人信息沦为某些人眼里的“商品”甚至“金矿”,甚至引发全社会焦虑的时候,各界要求对此进行专门立法的呼声也日益增多。据了解,我国目前有几十部法律法规涉及个人信息保护,但内容分散、层级偏低。

  东方网5月27日消息:据《新闻晚报》报道,银行卡在手,账户内的钱却被人悄悄转走;远隔千里,电话那头的陌生人却直呼你的全名,甚至熟知你的住所和车牌号;多次搬家,神秘讨债人仍能夺门而入……身处信息化社会,人们在享受各种便利的同时,却深感“隐私”越来越远,甚至让人有种绝望的无助。

  供职于某商业银行人力资源部的余波刚不会想到,由于公司工作邮箱故障,自己为应急用个人外网邮箱发送的一封邮件竟成了犯罪分子眼中的“大鱼”。2011年4月,仅有初中文化的80后河北人李金(化名)通过猜密码的方式获取了余波刚邮箱内发送的员工工资卡信息资料数百条,并通过网上银行系统盗刷其中7名员工信用卡共计人民币55634元。近日,李金被静安区人民检察院依法提起公诉。同时,针对此案中暴露的问题,静安检察院专门发出《检察建议》。

  用户名密码相同埋隐患

  余波刚是某商业银行上海分行人力资源部的员工,出于安全保密需要,公司规定涉及工作内容的邮件均需通过专门的工作邮箱发送。然而,有一次由于公司工作邮箱出现故障,余波刚为应急,便利用外网上的个人邮箱发送了一封电子邮件。

  这封邮件中包含了单位员工的工资卡卡号、身份证号码等文件。更要命的是,余波刚的个人邮箱用户名所用数字与邮箱密码一致。但余波刚当时并未预料到这一疏忽可能造成的严重后果。

  据犯罪嫌疑人李金供述,2011年4月,他在某商业银行网上商城的论坛内看到一个用户的用户名是jack33(化名)。当时,李金并不知道该用户是一家商业银行上海分行人力资源部的员工余波刚。

  抱着试试看的态度,李金用该用户名的后六位数作为登陆密码成功进入该帐户,并发现一个雅虎的邮箱和另一个hotmail的邮箱。这两个邮箱同样属于余波刚,且两个邮箱密码都是831021.

  泄露百条信息被盗刷5万

  李金成功进入余波刚的hotmail邮箱后,意外地在一个excel文件里获得了二、三百条银行相关人员的银行卡卡号、持卡人名字、身份信息。当看到这些极其隐私的信息后,李金如获至宝,在他眼里,这些信息的背后可能隐藏着巨大的财富。

  李金生于1987年,老家在河北省保定市,由于只有初中文化一直没有固定职业。喜欢上网的李金在获得持卡人名字、银行卡号、身份证号等信息后,立即登陆网上银行,先把猜出的持卡人生日密码输入,再利用人工和按键精灵软件对该银行三位数CVN2码进行随机测试,取得相关银行卡对应的三位CVN2码并记录下来。随后他就冒用持卡人名义使用这些卡在网上第三方交易平台进行无卡充值、消费。

  经查,从2011年4月30日至5月13日,李金利用上述手法成功将7张该家商业银行卡内总计55634元转入自己在快钱等第三方支付平台控制的帐户。

  李金为了防止刷卡时,被害人收到短信提醒,还通过拨打银行声讯台或登录银行个人网银更改了持卡人在银行预设的消费短信提示手机号码。这样冒用后持卡人不会收到消费提醒,使得被害人无法及时获知信用卡被冒用情况,扩大了经济损失。

  主动投案被判3年缓刑3年

  2011年5月3日,该银行一名员工陈某用工资卡为手机充值时,发现卡内出现五笔“异地消费”,自己被人窃走5000元。通过银行内部系统追查钱款的去向,该员工发现被窃钱款已进入到北京快线支付平台中。

  与此同时,类似情况在该银行接二连三被发现,由此引起银行高层和上海警方的重视。2011年6月,警方对李金实施了上网追逃。2011年9月上旬,自知能躲过初一躲不过十五的李金向当地公安机关投案自首。到案后,李金交代自己的妻子刚生了一个女儿,现在才11个月大,而他作案大多是在半夜里。李金称,由于被害人采用生日作为信用卡的密码,他得以顺利地盗刷7张信用卡,总计到手金额2万余元。李金利用这些盗刷的钱款,小部分用于给女儿购买尿片、婴儿食品等商品,大部分则被用于购买充值游戏币和手机话费充值。

  近日,上海静安法院开庭审理此案。鉴于李金犯罪后能自动投案自首并退还了全部犯罪所得,静安法院依法对李金从轻作出了判决,以信用卡诈骗罪判处李金有期徒刑3年,缓刑3年,并处罚金人民币2万元。

  检察院向银行发《检察建议》

  在承办此案过程中,静安检察院的检察官发现,犯罪嫌疑人通过猜密码的方式轻易获取银行人力资源部员工在外网邮箱内发送的员工工资卡信息资料数百条,并通过银行网上银行系统盗刷其中7名员工信用卡共计人民币55634元。而该案犯罪嫌疑人系初中文化,并没有高深的电脑技术,其能够通过网络获取他人信用卡信息并冒用,反映出银行存在一些问题。据此,静安检察院先该商业银行上海分行发出一份《检察建议》。

  该《检察建议》指出,银行主要存在下列问题:

  一是内部保密管理存在较大疏漏,HR李某违反内部规定,利用外网上的个人邮箱发送包括单位员工的工资卡卡号、身份证号码等内部文件。

  二是网上银行系统存在严重漏洞,该行网上银行交易系统只需输入卡号、密码、证件号码、CVN2、验证码即可登录。CVN2码是卡背面的3位数字,从000到999随机试验即可获得,未设置若干次输错当天无法交易或者锁卡等安全措施。

  三是对持卡人的安全防范教育有待加强。被害人缺乏安全意识,多个密码等都是简单以生日作为密码。犯罪嫌疑人更改持卡人在银行预设的消费短信提示手机号码时银行未予核对,导致冒用后持卡人不会收到消费提醒,扩大了经济损失。

  相关案例

  初始密码忘改股票账户不保

  静安区检察院的检察官在办案中发现,密码过于简单往往是诱发犯罪的因素之一。例如网上证券操作系统方便,用户们输入密码就能在线买卖证券。但如果用户马大哈,不及时把初始密码改成自己的密码,就可能被人利用。孙鑫(化名)就是利用这一漏洞控制客户账户,私自盗卖他人证券,变相取出他人钱款。30岁的孙鑫2007年曾在一家证券公司做证券经纪人,对证券操作有一定的了解。2008年他又无业在家,靠透支信用卡维持生活。到2010年7月,孙鑫共计透支12万元多,面对银行的不断催款,他动起了盗卖他人证券账户内证券牟利的歪脑筋。

  由于他曾经做过一段时间的证券经纪人,他发现很多客户忘记修改初始密码。于是他通过试用户名和初始密码进入他人账户,将他人账户内证券抛售,获取账户内资金后,高价买进自己账户内低价抛出的企业证券。从而使自己账户获利十余万,造成多名被害人账户损失共20多万。

  静安区检察院的检察官指出:这是一起犯罪嫌疑人为贪财盗窃证券公司用户资金的盗窃犯罪案件,孙鑫通过非法侵入证券公司客户资金账户,与其实际控制的证券账户交易,高买低卖,从而获利数万元并造成被害人损失20万余元。检察官提醒市民,初始密码,最好第一时间进行修改,确保账户安全,不能让不法分子有机可乘。

  信息泄露“源头”在内部

  日前,记者从公安部官方网站获悉,4月下旬,在公安部统一部署指挥下,上海、北京、河北、山西等20个省区市公安机关开展集中行动,严厉打击侵害公民个人信息违法犯罪活动取得重大战果。据统计,各地共抓获犯罪嫌疑人1936人,依法刑事拘留978人,挖出非法出售公民个人信息的“源头”44个,破获各类刑事案件3024起,狠狠打击了此类违法犯罪活动的嚣张气焰。

  据公安部相关负责人介绍,侵害公民个人信息违法犯罪活动,已经形成了犯罪网络和利益链条。一些犯罪分子大肆向掌握信息的部门内部人员购买信息,并通过网络相互买卖,形成了公民个人信息的网络交易平台。且不法分子通常内外勾结,许多信息源头都在内部。大量倒卖信息的源头,来自掌握公民个人信息的单位和部门,个别“内鬼”为了经济利益非法出售大量公民个人资料。遭到非法倒卖的公民个人信息,与电讯诈骗、暴力讨债等下游犯罪相互交织,危害巨大。

  令人头痛的是,此类犯罪作案具有很强隐蔽性,极易销毁证据。犯罪分子主要是利用网络进行倒卖信息活动,用的都是虚拟身份,为了逃避打击,经常变换身份,交易成功后立即销毁作案证据,给侦查工作造成很大的困难。

  公安部负责人表示,公安部高度重视打击侵害公民个人信息违法犯罪活动,此次集中行动是公安部直接部署指挥、打击侵害公民个人信息违法犯罪的第一仗,今后将始终对此类犯罪保持严打高压态势,坚决维护公民个人信息安全和人民群众合法权益。在强化打击的同时,公安机关将积极配合有关部门开展源头治理,堵塞监管漏洞,完善内部管理,采取切实有效措施保护公民个人信息安全。

  公安机关提醒广大群众,要切实增强个人信息保护意识,不要轻信或轻易将个人信息提供无关人员;发现个人信息被泄露并造成严重后果的,要及时向公安机关报案。

  律师:出售个人信息将被追究刑责

  近日,记者采访了上海市律师协会信息网络与高新技术专业委员会主任商建刚律师。商律师表示,当今社会,消费者常常受到这样的侵害,去证券公司开个股票账户,从此各种投资理财、基金、贵金属交易、股票咨询的营销电话不断向其骚扰,去报名参加一个培训班,从此类似培训消息也络绎不绝,去看过一个楼盘,从此房产中介相关电话便不曾停歇等等。

  商律师表示,2009年刑法修正案七出台,将出售个人信息的行为列入刑法。《刑法》第二百五十三条第三款明文规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”

  “这是我国对于个人隐私保护突破,接下来我认为,对于这种包含了大量客户个人信息的公司也要有一个约束,国外有法律规定,如果公司的客户信息被泄露,查实之后,公司方面将要面临非常高额的罚款,这就使得公司方面不得不详尽一切办法来保护自己客户的信息,所以这也是我国法律保护个人信息的一个趋势。”商建刚表示。

  不少法律界人士指出,我国保护公民个人信息安全,最终是要通过专门立法,界定个人信息保护范畴,建立个人信息保护体系,完善信息安全监管机制,明确法律责任和追责标准。然而,自2003年就已开始酝酿的“个人信息保护法”,立法之路已近10年,由于多种原因,目前还未进入立法程序。远水难解近渴,在有关法律尚未出台的情况下,如何有效遏制当前利用个人信息违法犯罪的势头,是一个新课题。 (来源:东方网)

欢迎加入河南理财沙龙QQ群:262719859。交流理财心得,投诉理财欺诈,维护财富权益!

责任编辑:大河金融

大河网版权所有 经营许可证编号:豫B2-20040031 豫ICP备07006354号-1 网络视听许可证1607212号

未经大河网书面特别授权,请勿转载或建立镜像

违者依法追究相关法律责任