文章提供：圖文資通組

文章來源：https://www.bnext.com.tw/article/53262/online-banking-cyber-security

純網銀成駭客眼中的肥羊！專家呼籲KYC身分認證多加一道手續

發佈日期：2019/05/13     消息來源：數位時代

2019.05.13 by 高敬原

圖片來源：shutterstock

時間回到2016年，當時第一銀行發生ATM盜領案，主嫌安德魯（Peregudovs Andrejs）透過手機就能讓銀行 ATM 吐鈔，魔術般的手法，一時之間讓台灣民眾都驚呆了。

安全機制絕對是金融服務的首要工作，這些機制如同「鎖」一般，越是安全的鎖，便利性肯定比較差、成本又高，但卻可以阻擋非法入侵者。從一銀盜領案的經驗來看，單靠網路就能讓ATM吐鈔。

在進入純網銀時代，更不能輕忽駭客與木馬程式帶來的資安威脅，刑事警察局呼籲，業者在KYC（認識你的客戶）上，必須將「數位資訊」納入驗證資料之一。

駭客經濟隨著純網銀蓬勃
在金融科技蓬勃發展的同時，駭客經濟也隨之興起。刑事警察局偵九大隊大隊長林建隆，將網路經濟犯罪分成兩大面向。

第一種是「以金融機構、客戶為目標」的犯罪，像是阻斷金融服務（DDoS）、侵入網站竊取資料、網路盜轉帳（SWIFT：竊取客戶帳號密碼）還有ATM盜領；第二種是「利用金融服務作為犯罪工具」，洗錢、詐欺（人頭帳戶、金融支付、OBU匯款等等）。

2016 年一銀 ATM 盜領案主嫌 Peregudovs Andrejs。圖片來源：內政部移民署

林建隆分析，網路特點是有隱匿性，加上電商發展多以營利為前提，對會員沒有太嚴格的審核機制，各類金流服務的快速便利性，成為犯罪集團最好的工具，其中信用卡、ATM繳費、超商代收付、貨到付款這四種金流服務，是詐騙集團最喜歡使用的詐騙工具。除了強化自身跟客戶的安全，避免金融服務被利用成為犯罪工具也很重要。

刑事局偵九隊：KYC要納入數位資訊
金融業者跟客戶建立關係的起始點是KYC（Know Your Customer），KYC的意思是金融業者必須了解客戶的風險承受能力，才能提供合適的商品給客戶。

林建隆觀察，很多網路業者在完成開戶、建立帳號驗證後就結束KYC的工作，但後續有可能會有人頭戶、偽冒身分識別這些問題跑出來，進而產生詐欺跟洗錢的事件。事實上，以一般傳統銀行來說，在開戶的KYC上做的算很嚴謹，幾乎很少發生偽冒身分開戶的問題，但卻也可能發生用利誘或是詐騙的方式去開戶，接著再把銀行帳戶權限給犯罪集團使用的狀況。

林建隆認為，純網銀雖然沒有面對面的驗證，但卻多了許多像是網址、應用程式資訊、載具資訊等等的「數位資訊」。圖片來源：shutterstock

純網銀跟一般銀行最大的不同，是所有KYC的作業都是用數位化完成，雖然方便，但較難確認背後是否為詐騙集團。林建隆認為，在沒有實體銀行開戶驗證的情況下，當駭客掌握客戶載具或數位資產（證件掃描檔、帳單、電子郵件等）時，純網銀業者必須思考這些KYC是不是真的還是KYC。

純網銀雖然沒有面對面的驗證，但卻多了像是網址、應用程式資訊、載具資訊等等的「數位資訊」，雖然這些不是直接的個人資料，也應該作為純網銀時代KYC的驗證資料之一。

進一步來看，若是詐騙發生，KYC可能在特定時間內，有多個帳號使用相同的驗證因子（像是手機號碼、網址、email等等），這些就能視為風險訊號，純網銀業者應該去分析這類因子彼此的關聯性，就能找出詐騙集團犯罪工具網絡，達到有效且連鎖的警告跟管理。

資安沒有絕對安全，要學習與危機共存
接著是最關鍵的交易階段，林建隆認為，可以把每個用戶跟帳戶看成是一個節點（node），節點之間會存在連結（tie），純網銀業者可以透過社會網絡分析，以及AI機器學習與深度學習，把每個節點跟關聯的各項變數轉為數值計算方式，當作社會網絡分析的中心性測度中的「量（weight）」，用視覺化圖形方式，分析犯罪集團群聚以及交易流向，便能偵測出可疑用戶、詐欺金流、洗錢交易，以及不法交易流向。

安不安全都是比較出來的，危機的存在，就如同人不可能生活在無菌室中，我們都有可能被感染疾病。圖片來源：shutterstock

林建隆分析，「有犯罪動機的人」、「合適的目標」、「缺乏有能力的監察者」是導致犯罪的三大因素。 邁入純網銀時代，對金融機構來說已經越來越難監測有犯罪動機的人，可以做的是強化自身的監察管理能力，讓自己不會成為「合適的目標」。

「資安沒有絕對安全，只有相對安全，」危機的存在，如同人不可能生活在無菌室中，我們都有可能被感染疾病，要學習與危機共存，林建隆認為純網銀業者只有增加犯罪成本跟時間，就能倖免成為目標。