刑事警察局偵九隊大隊長林建隆表示,駭客也會挑軟柿子吃,資安相對不足的銀行會變成網路金融犯罪的目標。

圖片來源: 

攝影/翁芊儒

「FinTech提供民眾更便利的金融服務,但對駭客經濟(Hacker Economy)來說也一樣。」刑事警察局偵九隊大隊長林建隆在一場活動上表示,當金融科技利用網路與數據創新服務的同時,駭客也可能反過來利用金融服務來犯罪,因此,網路銀行必須更積極的避免自身服務被當成犯罪工具。

網路金融犯罪手法主要可分為兩類型,一是以金融機構/客戶為目標,包括用DDoS或勒索軟體阻斷金融服務、駭入網站竊取資料、網路盜轉帳或盜領ATM;另一種,則是利用金融服務作為犯罪工具,包括利用OBU帳戶洗錢、用金融支付或人頭戶詐騙等。

利用金融服務犯罪的手法中,又以ATM繳費所產出的虛擬銀行帳號造成的財物損失最嚴重。虛擬銀行帳號雖為一次性帳戶,但不受「非約定帳戶跨行轉帳單日上限3萬元」的限制,最高限額取決於各電商平台的設定,使得原先的防詐騙機制被打破;而詐騙集團收取詐欺款項後,又能透過虛擬貨幣(如遊戲點數、比特幣、以太幣等)迅速洗錢銷贓,利用網路的隱匿性犯罪。

林建隆舉出第三方支付的案例來輔助說明。首先,詐騙集團利用社群網站張貼拍賣資訊,並誘使被害人加入Line的假帳號並下單;此時,再向遊戲點數賣家購買與被害人下標金額等值的點數,進而產生銀行虛擬帳號;接下來,只要提供該帳號給被害者等對方匯款,犯罪者就能得到相應點數並拿去販售變現,不僅被害者蒙受損失,點數賣家也常成為替罪羔羊。

面對因網路金融服務而衍伸的犯罪,林建隆表示,銀行的KYC(Know Your Customer)客戶安全驗證作業上,除了個人身份的識別,還應該加上客戶端的數位資訊進行分析與驗證,如IP位址、App資訊、載具資訊等。雖然純網銀的服務將所有作業流程數位化,使KYC驗證必須在網路雲端及客戶行動載具間完成,增加了客戶的便利性,但銀行卻少了與客戶的面對面驗證,無法確保客戶的載具或數位資產是否安全。

舉例來說,駭客若已經破解客戶的E-mail帳號,取得包括雙證件掃描檔、信用卡帳單、手機帳單等個資及金融資料,KYC驗證就很容易被破解;而駭客取得更改提款卡密碼的授權後,就能輕易盜轉銀行帳戶,再透過車手到ATM提領。

因此,若能將數位資訊納入KYC驗證因子,透過AI分析各節點(每個帳戶、用戶)的關聯性,進一步以視覺化圖形找出詐欺集團的犯罪網絡,就能偵測可疑用戶,即時進行告警與管理,甚至找出犯罪集團的金流與不法交易動向。例如,發現不同時間用同一個IP開戶,或同一個IP使用不同帳戶交易,就可能是異常行為。

透過行動載具、App、IP位址與帳戶之間的關聯,可以找出犯罪網絡並進行預警。

未來網路金融服務成趨勢,資安則是首要工作。林建隆也提醒:「資安沒有絕對安全,是比較出來的。」換句話說,駭客也會挑軟柿子吃,資安相對不足的銀行就會變成合適的目標,雖然有犯罪動機的人難以預防,但銀行可以強化自身的監察管理能力,來防範金融犯罪的發生。


Advertisement

更多 iThome相關內容