电子银行业务风险防范

,电子银行业务风险防范,主要内容,1、概 念,2、风险种类,4、风险管理基本规定,3、涉及的对象,一、电子银行业务风险管理概述,5、目前的风险防控体系,电子银行业务风险,电子银行业务风险管理：在开办电子银行业务过程中对电子银行风险进行识别、分析并采取有效措施进行防范、控制和处理的行为。,1、概念,一、电子银行业务风险管理概述,战略风险,信用风险,操作风险,声誉风险,风险分类,决策或执行不当,系统、网络、 产品缺陷,银行、客户操作使用不当,负面公众舆论,客户恶意违约,违法或制度缺陷,2、分类,一、电子银行业务风险管理概述,3、涉及对象,一、电子银行业务风险管理概述,1,各级机构须建立健全电子银行风险管理体系和内部控制体系，做到事前严密防范、事中有效控制、事后及时处理。,3,各级机构在开展电子银行业务过程中，应遵循外部监管机构的规定，定期组织电子银行业务安全评估工作。,2,电子银行严格执行“双因素”安全认证，判断客户身份合法性和确认交易有效性的标识包括数字证书和密码。,一、电子银行业务风险管理概述,4、风险管理基本规定,4,各级机构须严格按照有关规定加强电子银行业务的自律监管和内控检查，有效控制和防范电子银行业务风险。,6,电子银行渠道发生的所有交易纳入全行反洗钱系统和会计监控系统，统一监测和处理。,5,各级机构须建立健全电子银行业务突发事件应急处理机制，严格执行应急预案，保证电子银行业务正常开展。如遇突发重大事件，应严格按照规定及时上报。,一、电子银行业务风险管理概述,4、风险管理基本规定,(1)严格控制各渠道交易限额,(2)丰富电子银行安全认证体系,(3)组织电子银行业务尽职监督检查,(4)加强对客户安全防范意识的宣传,电子银行业务风险防控体系,5、风险防控体系,一、电子银行业务风险管理概述,（1）严格控制各渠道交易限额,（一）电子银行业务风险管理概述,（1）严格控制各渠道交易限额,ATM转账：每日每卡最高5万元。限额调整后，存量借记卡和准贷记卡客户最高限额自动设置为万元；增量银行卡客户，默认通过自助转账限额为，如使用转账，须在柜台填写原中国农业银行银行卡自助转账服务金额控制约定申请表进行签约，并在最高限额内自行选定转账限额。,转账电话：单笔5万元（默认），签约20万元，最高100万元，单日累计500万元。,一、电子银行业务风险管理概述,二代K宝,手机K码,密宝,网银安全控件,大额交易监管,不断丰富,（2）电子银行安全认证体系,一、电子银行业务风险管理概述,12,规范经营管理行为，提升合规管理水平；发现并化解风险隐患，促进电子银行业务规范、持续、健康发展。,一、电子银行业务风险管理概述,（4）加大对客户安全防范意识的宣传和引导,采取多种形式对客户进行电子银行风险防范和安全操作的宣传，提醒客户采取相应的预防措施，保护个人信息资料，保管好证书介质，强化客户安全意识，提高客户的防范风险能力。,一、电子银行业务风险管理概述,1、应避免在网吧等公共场合和公共计算机上操作网上银行、网上支付业务；避免在公用电话、他人电话、他人手机上使用电话银行或手机银行。2、上网电脑须安装杀毒软件及防火墙，定期更新杀毒软件，及时下载补丁程序，不打开不明的程序、链接、邮件等，防范外部病毒的攻击，建议将浏览器安全等级设置为较高级别。3、勿在不明网站输入银行账号、密码等个人资料，以免被钓鱼网站或网络木马等软件窃取。4、不要向他人透露证书密码和注册账户密码或任何个人身份识别资料，并应不定期更换密码。5、注意密码设置的方法。不要以生日、QQ号码、电话号码、手机号、有规则数字等容易猜测的数字作为支付密码；不同银行卡尽量设置不同的支付密码；在使用电子银行渠道时要注意不要设置与银行卡支付密码相同的查询密码。6、遗失K宝或遗忘证书密码，要立即到银行补办证书。7、妥善保管动态口令设备，防止他人偷窥、复印或拍照。如遗失卡片或泄露密码，要及时到银行换领。,客户提示,8、确保使用正确的中国农业银行网站（网上银行网址：；手机银行网址：），不使用任何不可靠的链接方式。要正确使用95599客户服务电话，不要向包括银行工作人员在内的任何人泄露账户密码等自身敏感信息。9、通过电子渠道进行转账业务时，要仔细核对正确的收款人账号、户名和转账金额，核对正确后方能提交转账交易。10、网上银行、电子商务业务办理完成或中途有事离开座位,要点击“退出”按钮并关闭浏览器窗口,应将K宝证书立即拔出并妥善保管。11、企业客户要加强企业的内部控制，按照企业财务管理要求严格按照权限操作，并按不同级别妥善保管自己的证书介质和密码。12、不要轻信手机短信或邮件中银行卡交易或中奖等信息，切勿拨打粘贴在自助设备上除95599外的任何联系电话，警惕不法分子利用自助设备转账功能进行诈骗。13、办理自助存取款、转账等业务前，要留意查看自助设备插卡口、出钞口、键盘及机器其它部位是否加装或粘贴异物，注意周围是否有可疑人员；在自助银行门禁系统刷卡前，要留意门禁是否有改装痕迹；发现可疑现象要立即向银行反映。14、在自助存取款、转账等交易过程中不要离开自助设备，尽量避免被他人吸引注意力。交易完成后，应及时退出系统并取回银行卡，注意检查取回的银行卡是否为本人的卡片。,客户提示,主要内容,二、电子银行业务风险事件案例分析,2008-2011年风险案件发生的趋势,二、电子银行业务风险事件案例分析,2011年风险案件分布图,二、电子银行业务风险事件案例分析,2011年风险案件金额损失图,二、常见风险案例及原因分析,业务人员风险防范意识还比较欠缺。,客户风险意识淡薄。,黑客对网银的攻击手段、技术有加快更新的趋势。,风险案件发生的主要原因,外部攻击,客户,内部员工,二、电子银行业务风险事件案例分析,案例1：,案情,原因,对策,客户来我行反映，银行卡从未离身，密码也未曾告知他人，但是卡内余额不翼而飞，经我行工作人员仔细询问后得知，该客户几天前在一离行式ATM进行过查询余额的交易，当时并未发生资金被盗。经我行调阅监控录像后发现，该ATM被不法分子人为安装了测录设备和针孔摄像机，盗录了银行卡磁道信息和支付密码，进而制作伪卡盗取客户资金。,ATM遭到人为破坏，被加装测录设备和针孔摄像机。客户使用自助机具时风险防范意识不强，最终导致资金被盗。,加大ATM巡查力度和频率；对没有密码防窥罩的机具立即配置密码防窥罩；加强客户使用自助机具的安全教育。,二、电子银行业务风险事件案例分析,案例2：,案情,原因,对策,客户A于某日傍晚来到自助银行区取款，一不法分子身着银行服装伪装成“大堂经理”热情为其服务，引导该客户在ATM上操作（从监控画面看，该事件系团伙作案，客户身后排队的两人系同伙，在客户操作时偷看了密码），客户刚输完密码，“大堂经理”在ATM上按了一下，接着对客户说吞卡了，并把客户叫到一旁询问是否带了身份证，客户称没带，“大堂经理”便让客户次日带身份证到柜台取卡。与此同时，其同伙立即上前将客户卡里7000元转走。,客户风险防范意识较差。,对ATM犯罪事件高发的地段加大巡检力度，加强客户使用ATM的安全教育宣传，切实防范测录、诈骗等犯罪活动。,二、电子银行业务风险事件案例分析,案例2：,案情,原因,对策,2010年7月18日凌晨，一不法分子以深夜暴雨作为掩护，秘密潜入某支行自助银行，用自带的钢钎、菜刀等工具撬开卷帘门，ATM加钞间防盗门，然后使用钢钎撬开一台广电运通的ATM保险柜以及钞箱，不法分子迅速将钞箱内的现金放入背篓，迅速离开，后经查实，被盗现金共58万元。,部分品牌ATM防盗措施不严格，监控系统不完善。,对目前在用的所有品牌的ATM的防暴力功能进行全面排查，对未达标的ATM要求厂商尽快升级加固。,二、电子银行业务风险事件案例分析,自助银行案件的特点：,近期在自助设备上发生的案件呈高发态势。发生在夜间。盗卡设备越来越具备隐蔽性，一般客户难以识别。制作伪卡，迅速转移套取现金。张贴虚假告示，诱导客户转账。,1、各行机构、网点引起高度重视，加大对所辖ATM检查的频次和力度，实行蹲守和巡查的方式，加强自助设备的夜间巡查，开展巡检工作时，要将自助银行的门禁系统和自助设备机身是否有非法安装物或张贴物，周边是否有非法录像设备等作为必查项目，并及时记录检查情况，发现异常，妥善处置，并立即报告上级行。2、对新装机具及时安装密码防护罩，对被撬的密码防护罩及时补装。3、在自助设备需要进行运营维护或维修工作时，除维护商人员外，必须确保一名行内员工及一名保安在场，行内员工需佩戴可以标识身份的证件，防止犯罪分子利用维护操作，安装非法设备。4、重点关注自助银行及设备周边可疑人群，密切注意在自助银行及设备周边逗留时间过长、手持异常电子设备的东南亚人，一旦发现异常行为，控制犯罪嫌疑人，并及时报告公安部门。5、落实专人，负责此类紧急事件的快速响应，切实保障客户资金安全。6、自助设备的管理员发现客户账户、密码信息可能泄露的情况，要立即整理卡号等信息上报相关部门，及时联系客户挂失、止付账户，冻结资金。7、在我行自助设备上发现他行卡被盗信息，及时与发卡行客服联系或通过中国银联公司协助联系客户。8、加强客户自助设备使用的安全提示，使用过程中出现问题，第一时间拨打95599联系客户服务中心。9、加强与外部的沟通、协调。积极与公安部门沟通、协调，现场取证，分析作案手段、特点，并主动配合公安部门，争取早日破案，为客户挽回资金损失。,应对措施：,二、电子银行业务风险事件案例分析,案例3：,案情,原因,对策,甲冒用乙公司的资料和使用仿造的乙公司公章、财务专用章和法定代表人印章，注册行审核不严导致甲用虚假资料注册了企业网银 。甲通过网上银行陆续将乙公司账上资金分65笔转出，合计399.832万元。一个月后乙公司找到B分行反映其并未注册网上银行，而账户资金通过网银被转走，要求银行赔偿。公安机关立案侦查过程中发现甲和乙公司存在借贷关系，双方商议一旦借贷资金断裂，甲无法偿还向乙公司所借款项，则诈骗农行承担资金损失。公安机关以涉嫌“金融凭证诈骗”立案侦查，涉案人员已被抓获，案件正在审理中。,银行为客户开通企业网银过程中对客户提供的注册资料审核不严格。,提高业务人员在办理注册、证书激活等风险等级较高的业务时的风险防范意识，严格按照操作规程办理业务，认真审核客户资料，特别是企业客户必须要折角核对印鉴。条件允许的情况下，银行人员可与公司财务主管联系以核实业务办理的真实性。,二、电子银行业务风险事件案例分析,案例4：,案情,原因,对策,分行A在为某单位所有员工批量开卡的时候，私自为所有人开通手机银行渠道，且将卡支付密码与电子银行密码均设置为简单弱密码。犯罪分子通过使用连续手机号码和弱密码尝试重复登录我行手机银行，破解部分银行卡账号与支付密码，并在分行B的电话银行系统上通过缴费业务盗取银行卡资金。后经公安机关，该案件告破。,分行A违规为客户开通电子银行渠道，并设置弱密码，为犯罪分子窥探客户账户情况提供可能。,提高业务人员在办理注册业务时的风险防范意识，严格按照操作规程办理业务，认真审核客户资料。在手机银行渠道应用透传技术，避免欺诈登录。在电话银行缴费业务中增加限额支付。,二、电子银行业务风险事件案例分析,案例5：,案情,原因,对策,客户收到“K宝控件到期升级”的钓鱼短信“尊敬的网银用户：您的K宝控件将于今日过期，请登录我行下载更新，给您带来的不便敬请谅解详询农业银行95599” 。客户登录钓鱼网站，即被要求输入我行账号和密码，并要求插入K宝输入K宝口令，之后将下载所谓安全控件（实为木马病毒），试图以此控制客户K宝并盗取资金。,我行网银转账交易需要验证k宝证书或者IE证书动态口令卡，因此K宝证书和动态口令成为众多网络黑客、木马病毒的攻击对象。,加强网银客户安全意识。,风险事件三（针对我行的钓鱼欺诈）,客户收到钓鱼短信,;;;,案例5：,二、电子银行业务风险事件案例分析,案例6：,案情,原因,对策,客户A由于经常使用网银，所以将K宝长时间插在电脑上不拔出。某日客户突然收到短消息动账通知，称账户中20万元被转出。客户马上登录网银系统查看账户余额，发现账户资金所剩无几。客户来到开户行申请查询并要求冻结账户，客户声称K宝一直在自己手中，并从未泄露密码给他人。后经公安机关侦查，该案告破。,客户A电脑上面没有定时更新杀毒软件，给黑客植入木马病毒留下可乘之机。当客户A不在电脑跟前，犯罪嫌疑人通过木马远程劫持K宝登录网银盗取资金。,尽快推广二代K宝，逐步淘汰一代K宝，尽快在网银系统增加拔K提示功能。加强网银客户安全意识。,二、电子银行业务风险事件案例分析,作案流程：,二、电子银行业务风险事件案例分析,案例7：,案情,原因,对策,2010年9月14日，某客户在淘宝网购买产品，与卖家沟通后准备购买。沟通过程中，卖家以有事离开为由，告诉该客户客服QQ号，让其直接跟“客服”联系。“客服”提供了一链接给客户，客户根据链接向导支付了400元的货款，但客服说“卡单”（而当时该客户确实已经成功支付了400元的货款）。“客服”引导客户提供银行卡交易明细，进而客服掌握了该客户的卡余额（金额为920.64元）。客服继续引导客户“拍下一个取代信息回执链接”，页面显示金额为1元的，要求该客户迅速付款。客户支付后发现实际支付金额变成了920元，卡上余额只剩下0.64元。,犯罪分子通过制作假的支付页面，诱骗客户进行支付交易。,加强客户安全教育，提升客户风险防范意识。,二、电子银行业务风险事件案例分析,案例8：,案情,原因,对策,客户A接到来电显示为010-95599的电话致电，电话另一端声称是农行工作人员，要求客户为前期在某淘宝商户消费的账单办理分期付款业务，建议客户A去附近农行自助机具上办理。客户按照电话中的“工作人员”的提示，来到自助机具，输入电话中要求的账号和金额，最后转账到他人账户。,犯罪分子使用变号器将普通电话号码修改为我行95599客服电话，利用客户对我行客服的信任，骗取客户资金。,加强客户安全教育，提升客户风险防范意识。,二、电子银行业务风险事件案例分析,案例9：,案情,原因,对策,客户A向银行反映，其借记卡存款23万元不翼而飞。经查，其存款通过我行转账电话渠道（转账电话机主为客户B，绑定电话为3817010）被转出到客户B的借记卡中，后客户B通过网银渠道分散到8张银行卡中，最后通过ATM提现取款。经核查，客户B在办理转账电话业务不久后即办理移机业务，后在异地通过电话变号器接入我行转账电话系统继续使用。,客户A在加装了测录装置的ATM上使用银行卡导致磁条信息丢失，不法分子制作伪卡后通过转账电话渠道窃取客户资金。,加强客户安全教育，提升客户风险防范意识。加强对转账电话客户的日常巡查和管理，随时掌握转账电话客户的变动情况，对电话停机客户、对长期（半年以上）不动户及时进行销户处理。,主要内容,1、注册、注销、维护环节,2、账务处理环节,4、自助银行管理环节,3、电子商务管理环节,三、重点环节中关键风险点介绍,5、转账电话管理环节,6、其他环节,利用虚假印鉴冒充客户办理业务,法人客户代理人无委托书或委托书虚假,（1）客户身份资料虚假,客户提供虚假身份证明,他人冒充客户办理注册、变更和注销网银、电话银行等业务,1、注册、注销、维护环节,表 现,将客户有效身份证件与本人进行核实鉴别；,将客户签章与预留印鉴进行对照。,联网核查,对客户有效身份证件真伪进行鉴别,对使用第一代身份证的客户要求提供辅助身份证明。,控制措施,1、注册、注销、维护环节,（2）客户注册资料有误,申请表要素填写不全或填写不正确、不完整，缺少企业签章签字,操作员权限维护与客户申请内容不符,1、注册、注销、维护环节,1、认真审核服务协议填写是否完整，不符合规定的，要求客户进行补正；,3、审核业务申请表填写的内容是否完整，不得涂改，必须由客户本人签名；,4、经办员与复核员双人仔细核对客户申请资料的真实性、有效性和完整性。,2、刷卡或刷折，系统读取账户信息并核对相关信息的一致性；,控制措施,1、注册、注销、维护环节,柜员核对申请表内容，严格按客户申请内容办理注册业务，打印电子银行业务注册表后审核注册表内容与客户申请内容相一致,开通渠道标志选择错误，或错误添加收款方账户；客户不知情的情况下，柜员擅自将他人账户登记到客户的电话银行收款方帐户中；客户操作员权限、业务申请内容为空或填写不清楚，柜员擅自代客户确定；注销业务处理结果与客户申请内容不一致，出现电子银行渠道或者账户的漏注、错注。,（3）未按客户申请办理业务,控制措施,表现,1、注册、注销、维护环节,一、电子银行业务操作风险介绍,特别提示：,个人电子银行虚假注册,未按客户真实意愿办理电子银行业务的注册业务擅自为批量开卡的集团客户开通电子银行业务对大量农户、低保对象、在校中学生等低效客户群体捆绑注册网银，两码证书未由客户亲签亲收。,企业网银违规注册,为企业客户办理开通企业网银的时候，注册行未与企业的财务主管进行确认核实,控制措施：1、妥善保管资料，客户申请资料按会计档案管理；2、加强人员监督，复核客户资料，严禁擅自复印、留存、盗用客户资料。,（4） 客户资料保管不善,表现：1、客户书面及电子文档资料遗失、损毁；2、调阅客户资料不符合相关制度规定；3、银行人员利用工作便利，对客户资料进行擅自复印、留存或挪做它用进行非法交易。,提示：目前有些企业客户会在其提供给银行的复印件上注明“仅供农业银行办理XX业务使用”。,1、注册、注销、维护环节,（5）蓄意为客户提供非真实动态口令卡,表现为：银行人员为客户办理绑定动态口令卡交易后，未将已经绑定的口令卡交付客户,为盗用客户资金提供便利。,1、注册、注销、维护环节,（6）银行人员泄漏客户两码信息,表现：1.两码信封未当面交付给客户；2.将有开启痕迹的两码信封交付给客户；3.未使用专用两码信封打印客户两码信息；4.打印位置不准确或客户使用两码信封不当，造成客户两码信息泄漏。,控制措施：1.严格按照操作规程进行操作；2.加大客户的宣传，告知客户保存好两码信封，证书下载前一旦丢失，立即到柜台申请补办证书。,1、注册、注销、维护环节,1、网上银行风险介绍及案例,伪造落地业务凭证，人为制造转账串户,柜员对落地业务重复扣帐,错误更改落地业务处理状态,（1）落地业务风险,无客户申请即办理撤单,2、账务处理环节,落地业务凭证必须由电脑打印，不得手工填制或涂改；,复核人员必须对落地业务凭证中的会计要素进行认真核对，发现凭证上有“补打”字样的借方凭证，应核对有无同样业务信息的借方凭证，如果发现重复扣账或错误扣账的，应对错账进行抹账处理。,处理完落地业务，要及时、准确更新落地业务状态。,严格按客户电子指令处理落地业务，办理落地业务撤单须客户本人提出撤单申请，并在申请书上签字，撤单处理须经过三级主管授权，在信息备注栏里注明取消交易的原因，并将客户书面撤单申请书随传票装订。,控制措施,2、账务处理环节,（2）网银虚增交易,控制措施：落实各级行领导的监督责任；加强日常监控，完善考核机制；加强各级行电子银行部门自律监管，整顿虚假交易。,表现：两个或者多个账户之间的多笔大额资金循环转账交易，虚增网上银行交易笔数和交易金额，加大我行法律风险和经营风险。,2、账务处理环节,（1）银行审核商户身份注册资料未尽职,2.受理行未验证商户经办人及商户操作员身份的真实性、有效性。,3.受理行、注册行未对商户提交资料的完整性进行审核；,4.商户申请资料填写要素、签章不全或涂改；,5.商户提供虚假申请资料。,3、电子商务管理环节,1.受理行对商户进行实地调查，全面了解商户情况；,3、受理行、注册行应严格按照规定对商户提交资料的完整性、真实性、合规性进行审查。,2.通过联网核查系统对经办人以及商户操作员的有效身份证件进行查询核实，并将打印的核查信息与身份证复印件一起装订留存；,控制措施,3、电子商务管理环节,3.错账处理不及时；,4.银行未按照会计核算管理的要求进行人工调账，例如入错账、擅自为客户调账等。,（2）银行与商户调账处理不当,1.银行与商户在每日的对帐中,发现帐务不平,未以支付网关记载的网上交易记录为准进行调账处理。,2.银行与银行卡收单系统对帐时,发现帐务不平,未以支付网关交易流水为准,并以手工进行调整处理。,表现,3、电子商务管理环节,2.网上支付系统账务管理员每日从网关下载网上支付交易流水，通过比对程序与分行前置、后台的交易流水进行对比如发现账务不平，以支付网关为准，依据有关规定进行人工调账处理。,1.各级行应设专人负责与网上支付业务的账务管理和处理，及时调整错账；,控制措施,3、电子商务管理环节,（3）银行未定期核查商户,2.商户经国家有关部门认定已无经营资格,3.商户销售国家禁止流通、限制流通商品或提供非法服务；,4.商户与客户串通诈骗银行资金；,5.商户对客户存在欺诈行为。,3、电子商务管理环节,2.监督、检查商户的运作情况，发现异常及时处理，对不良商户要报上级行备案，对涉及经营非法交易活动的商户要立即关闭其电子银行业务。,1.至少每半年调查商户的信誉状况，如发现商户在合作期间信誉状况恶化或存在违反协议的情况，应及时要求商户纠正，超过一个月仍未纠正的，应终止合作关系；,控制措施,3、电子商务管理环节,发展网上平台类商户未由一级分行初审后报经总行审批；,发展网上普通类商户各级行审批通过后未向总行报备；,发展不受电子支付卡限额限定的B2C网上普通类商户未经总行审批。,（4）各级行未按商户类别执行审批报备制度,1.各级行发展的网上平台类商户应严格实行总行审批制；,2.对于网上普通类商户，各级行审批通过后，应按规定向总行上报备案；,3.对于不受电子支付卡限额限定的B2C网上普通类商户，受理行报一级分行初审，一级分行初审通过后报总行审批。,表现,控制措施,3、电子商务管理环节,吞卡,本行卡和国际卡，自吞卡日起保存20个工作日；他行卡由于发卡机构吞卡指令吞没的卡片，自吞卡次日起保存3个工作日；吞卡逾期持卡人未领取要剪角作废。客户领取吞卡时，须严格执行身份审核,各级行安全保卫部门要定期、不定期调阅自助设备监控录像资料，定期调阅间隔时间不超过1个月。自助设备监控录像资料的保存时间不少于三个月。,长短款,每日必须核对自助设备账务报表，核查清单，核对账款。发现错账、冲账或者其他异常情况需进行登记，查明错款原因后进行相应处理，并上报相关部门。,故障,自助设备出现故障时，管理员应先做自检，如无法排除故障，应及时通知运行监控中心或外包公司进行维护。防范人为破坏柜员机或在柜员机上加装非法插件或其他设备定期巡查。,ATM操作风险管理,4、ATM操作风险管理环节,监控,密码和钥匙管理,严格执行自助设备钥匙和密码管理，每半年进行一次密码重置。自助设备钥匙和密码必须实行保管登记制度，双人平行保管，严禁交叉管理。,密码和钥匙管理,自助设备的钞箱视同金库管理，实行双人开箱、双人复核、双人装钞制度。备用密码和钥匙非急需不得启封，如需启封，必须经有关负责人批准，使用完毕后立即密封入库保管。,巡检,在行式设备，当班网点管理员每日营业前和营业终了要进行两次巡检；离行式设备巡检由支行或营业网点负责，日常巡检一周不少于两次。,ATM操作风险管理,