純網銀成駭客眼中的肥羊!專家呼籲KYC身分認證多加一道手續

2019.05.13 by
高敬原
shutterstock
安全機制絕對是金融服務的首要工作,進入純網銀的時代,絕不能輕忽駭客與木馬程式帶來的資安威脅。刑事警察局偵九大隊大隊長林建隆建議,純網銀應該加入「數位資訊」,作為純網銀時代KYC的驗證資料之一。

時間回到2016年,當時第一銀行發生ATM盜領案,主嫌安德魯(Peregudovs Andrejs)透過手機就能讓銀行 ATM 吐鈔,魔術般的手法,一時之間讓台灣民眾都驚呆了。

安全機制絕對是金融服務的首要工作,這些機制如同「鎖」一般,越是安全的鎖,便利性肯定比較差、成本又高,但卻可以阻擋非法入侵者。從一銀盜領案的經驗來看,單靠網路就能讓ATM吐鈔。

在進入純網銀時代,更不能輕忽駭客與木馬程式帶來的資安威脅,刑事警察局呼籲,業者在KYC(認識你的客戶)上,必須將「數位資訊」納入驗證資料之一。

2016 年一銀 ATM 盜領案主嫌 Peregudovs Andrejs。
內政部移民署

駭客經濟隨著純網銀蓬勃

在金融科技蓬勃發展的同時,駭客經濟也隨之興起。刑事警察局偵九大隊大隊長林建隆,將網路經濟犯罪分成兩大面向。

第一種是「以金融機構、客戶為目標」的犯罪,像是阻斷金融服務(DDoS)、侵入網站竊取資料、網路盜轉帳(SWIFT:竊取客戶帳號密碼)還有ATM盜領;第二種是「利用金融服務作為犯罪工具」,洗錢、詐欺(人頭帳戶、金融支付、OBU匯款等等)。

林建隆分析,網路特點是有隱匿性,加上電商發展多以營利為前提,對會員沒有太嚴格的審核機制,各類金流服務的快速便利性,成為犯罪集團最好的工具,其中信用卡、ATM繳費、超商代收付、貨到付款這四種金流服務,是詐騙集團最喜歡使用的詐騙工具。除了強化自身跟客戶的安全,避免金融服務被利用成為犯罪工具也很重要。

刑事局偵九隊:KYC要納入數位資訊

金融業者跟客戶建立關係的起始點是KYC(Know Your Custoner),KYC的意思是金融業者必須了解客戶的風險承受能力,才能提供合適的商品給客戶。

林建隆觀察,很多網路業者在完成開戶、建立帳號驗證後就結束KYC的工作,但後續有可能會有人頭戶、偽冒身分識別這些問題跑出來,進而產生詐欺跟洗錢的事件。事實上,以一般傳統銀行來說,在開戶的KYC上做的算很嚴謹,幾乎很少發生偽冒身分開戶的問題,但卻也可能發生用利誘或是詐騙的方式去開戶,接著再把銀行帳戶權限給犯罪集團使用的狀況。

林建隆認為,純網銀雖然沒有面對面的驗證,但卻多了許多像是網址、應用程式資訊、載具資訊等等的「數位資訊」。
shutterstock

純網銀跟一般銀行最大的不同,是所有KYC的作業都是用數位化完成,雖然方便,但較難確認背後是否為詐騙集團。林建隆認為,在沒有實體銀行開戶驗證的情況下,當駭客掌握客戶載具或數位資產(證件掃描檔、帳單、電子郵件等)時,純網銀業者必須思考這些KYC是不是真的還是KYC。

純網銀雖然沒有面對面的驗證,但卻多了像是網址、應用程式資訊、載具資訊等等的「數位資訊」,雖然這些不是直接的個人資料,也應該作為純網銀時代KYC的驗證資料之一。

進一步來看,若是詐騙發生,KYC可能在特定時間內,有多個帳號使用相同的驗證因子(像是手機號碼、網址、email等等),這些就能視為風險訊號,純網銀業者應該去分析這類因子彼此的關聯性,就能找出詐騙集團犯罪工具網絡,達到有效且連鎖的警告跟管理。

資安沒有絕對安全,要學習與危機共存

接著是最關鍵的交易階段,林建隆認為,可以把每個用戶跟帳戶看成是一個節點(node),節點之間會存在連結(tie),純網銀業者可以透過社會網絡分析,以及AI機器學習與深度學習,把每個節點跟關聯的各項變數轉為數值計算方式,當作社會網絡分析的中心性測度中的「量(weight)」,用視覺化圖形方式,分析犯罪集團群聚以及交易流向,便能偵測出可疑用戶、詐欺金流、洗錢交易,以及不法交易流向。

安不安全都是比較出來的,危機的存在,就如同人不可能生活在無菌室中,我們都有可能被感染疾病。
shutterstock

林建隆分析,「有犯罪動機的人」、「合適的目標」、「缺乏有能力的監察者」是導致犯罪的三大因素。 邁入純網銀時代,對金融機構來說已經越來越難監測有犯罪動機的人,可以做的是強化自身的監察管理能力,讓自己不會成為「合適的目標」。

「資安沒有絕對安全,只有相對安全,」危機的存在,如同人不可能生活在無菌室中,我們都有可能被感染疾病,要學習與危機共存,林建隆認為純網銀業者只有增加犯罪成本跟時間,就能倖免成為目標。

延伸閱讀

每日精選科技圈重要消息