银行卡与自助设备安全风险管理研究报告样本VIP

HYPERLINK""一、课题概述银行卡及其自助终端风险防范管理研究二、课题目标和任务确定课题目标：接合目前银行卡应用和发展实际情况，研究基于银行卡应用风险管理体系，探索未来3-5年银行卡风险防范和控制路径。三、研究依据和目标（一）研究背景伴随银行卡业务发展，银行卡信息安全问题越来越突出。两大发卡组织有超出4000万个银行卡账户资料被黑客恶意窃取，而各类银行卡犯罪日益展现出集团化、国际化、高科技化特征。银行卡犯罪激增已使很多持卡人产生了放弃使用银行卡念头，确保银行卡信息安全是银行卡业务连续快速发展关键技术支撑。目前银行卡和ATM机犯罪事件频发，关键包含银行卡伪造、信息盗取和利用银行卡和ATM机欺诈交易等三类：银行卡伪造关键包含直接编造信息或利用工作之便窃取信息以后伪造银行卡，其中包含利用高科技手段窃取用户信息后再进行银行卡伪造，也包含利用工作之便盗取储户信息后进行银行卡伪造。对用户银行卡和AMT机信息盗取案件其中多数是利用先用电子银行信息系统漏洞，设置盗取用户信息应用程序或直接破解用户交易密码等窃取用户信息，也有银行内部人员直接作案案例。利用银行卡和ATM机欺诈交易关键包含冒名交易、欺诈交易和对用户直接欺骗等，其中多数是利用电子银行现有业务信息系统漏洞实施冒名消费、恶意注册、恶意消费、虚假交易等简单欺诈行为，少数经过对银行卡消费者欺骗来实现，还有银行内部人员利用业务之便进行恶意交易。依据目前对24家银行调研，有5家银行存在银行卡账号信息泄露情况，占到总数20.8%，其中2家银行因为暴力破解银行卡密码引发，1家银行因为修改监听用户交易数据引发，5家银行因为盗取用户信息引发。目前犯罪分子银行卡犯罪关键由以下原因引发：1、暴力破解。黑客对银行卡实施暴力破解必需含有两个前提条件：一是被针正确系统是只需要账号加密码(或再加简单图形码)输入即可经过校验模式；二是被针对系统没有对用户输人有校验失败次数限制或访问控制。归纳起来，暴力破解实施方法关键有以下两种：固定某账号，采取穷举密码方法试探该账号是否能登录；固定密码，采取穷举账号方法试探该账号是否能登录。对于暴力窃取银行卡账户信息造成信息泄露情况分析，2家银行全部认为被针正确系统是只需要账号加密码(或再加简单图形码)输入即可经过校验模式，1家银行认为被针正确系统没有对用户输人有校验失败次数限制或访问控制。2、信息盗用。不法分子实施信息盗用关键有两种方法：一是盗读磁条及摄录密码，不法分子利用自制机具在ATM银行卡槽口外安装读卡器获取用户银行卡或拷贝其磁条信息，并安装摄像头摄录用户密码方法盗取用户银行卡资金；二是窃取静态密码或其它静态信息。伴随银行提供服务渠道不停增加，很多新渠道新系统在进行用户身份校验时只需用户输入交易密码等静态信息。对于输入交易密码等静态信息情况，即使交易渠道(手机或电话等)在一定程度上能够确保用户身份，不过并线、移动信号截获全部是威胁这些渠道安全一大隐患。目前有10家银行存在不法分子盗用银行卡信息情况，占到总数41.7%，对于窃取银行卡信息情况分析，10家银行认为原因在于不法分子利用自制机具在ATM银行卡槽口外安装读卡器获取用户银行卡或拷贝其磁条信息，并安装摄像头摄录用户密码方法盗取用户银行卡资金，4家银行认为原因在于不法分子窃取静态密码或其它静态信息，包含窃取用户在第三方收单机上留下交易密码等静态信息，且多发生在借记卡上。3、修改或监听用户交易数据。在网络安全方面，MITM(Man-in-the-MiddleAttack)攻击是很广泛，曾经猖獗一时SMB会话劫持、DNS欺骗等技术全部是经典MITM攻击。通常情况下，这种经典攻击会在用户和在线服务供给商之间架设一个欺诈网站或在供给商网站上添加部分对应插件或代码。该网站或插件在服务供给商和用户之间透明转发信息并试图获取真实用户相关信息，如账号、密码等。目前，自助设备(ATM)安全防范日益成为各商业银行面临严峻挑战和迫切需要处理问题。不法分子作案手法多样，防不胜防，案件展现多发态势，防控形势愈加严峻。案件不仅对用户资金安全组成威胁，也对银行声誉造成负面影响，而且还对银行自助业务发展和设备日常运行管理工作带来极大压力。为了维护商业银行自助业务品牌形象，给用户提供一个安全用卡环境，促进银行自助业务快速发展，制订可行自助设备安全防范方法势在必行。目前有10家银行存在不法分子利用ATM机等自助设备作案情况，占总数41.7%，对于存在作案银行，作案手法关键包含以下几类：手法一：在自助银行门禁上加装读卡装置窃取用户银行卡信息以制作伪卡，偷窥密码或试出密码(若用户密码有一定规律)并伺机作案；手法二：转移用户注意力，在用户进行自助交易过程中将卡调包，偷窥密码或试出密码(若用户密码有一定规律)并伺机作案；手法三：在自助设备出钞口加装挡板或用胶水封住出钞口，造成用户取款下账未吐钞。并经过在自助设备上张贴业务“通告”、“提醒”、“安全使用须知”等，诱使用户拨打指定电话，经过电话对用户进行转账诈骗；手法四：在自助设备读卡器口加装读卡装置盗取用户银行卡信息，经过用望远镜偷窥，在用户键盘表面加装假密码键盘、贴薄膜，在用户键盘上方加装摄像装置等手法盗取用户银行卡密码，然后利用伪卡诈骗用户资金。各类手法比重图1所表示：图1：目前不法分子利用ATM机等自助设备作案手法统计和此同时，很多新兴技术正在被利用于更高水平安全防护领域中，所以，目前我们必需研究新兴技术以用来处理银行卡安全问题及用于防范利用银行卡进行欺骗行为。（二）存在问题造成目前银行卡犯罪关键原因在于以下多个微弱步骤：(1)银行卡密钥管理基础要求落实不到位。密钥是信息安全管理最基础、也是最根本要素，不过有银行密钥管理还存在很大问题。一是密钥更换周期过长，很多行未严格实施定时更换密钥，部分行工作密钥甚至长达十二个月全部未更换，一旦被犯罪分子获取密钥，能在长时间内对用户信息进行解密操作；二是从通用密钥管理技术体系规范看，工作密钥明文不应出现在除加密设备以外任何地方，但部分行以纸质明文形式统计密钥，致使真实密钥失去保密性；三是部分行对工作密钥明文管理未严格交由双人分段保管，弱化了相互制约机制。(2)银行卡运行开发步骤存在漏洞。一是部分行对生产网络和办公网络之间未实施有效安全隔离，为犯罪分子提供了非法下载数据机会；二是部分行在开发测试环境中使用了真实生产数据及密钥，或只是简单进行了变更，没有按要求进行严格脱敏处理；三是关键岗位缺乏双重控制，尤其是在数据库管理员等岗位权限管理和设置方面存在问题，往往是单一人员负责敏感工作，且存在开发、运维人员相互兼岗现象，缺乏最基础监督和制约机制。(3)银行卡信息科技风险管理架构尚不健全。一是大部分行未配置含有专业背景信息科技管理和审计人员，未建立对信息科技关键岗位日常稽核机制，对信息科技及安全方面内部监督和检验流于形式，本局在对各行现场检验中发觉这类问题普遍存在。二是部分行在关键业务数据大集中后，分支机构放松了对科技人员内控管理，部分科技岗位没有作为要害人员管理，人员离职离岗没有严格离任审计。三是部分行对于科技人员从职业发展和企业文化角度关心不够，极易引发一系列思想和道德问题。(4)银行卡技术标准规范陈旧。一是银行卡防盗取、防复制技术相对落后。现在中国银行卡大多采取磁条卡技术，磁条卡信息经过通常设备即可读写，磁条卡所包含信息比较简单，最大弱点是轻易被读到和复制，其安全性较差。二是部分行ATM交易仍采取经过分支机构前置系统中转方法，并保留相关交易明细具体日志，存在较大信息泄露隐患；三是部分行对用户密码信息仍采取单DES算法进行加密，轻易被犯罪分子利用解密工具较快解密。(5)新型支付方法下银行卡信息安全管理微弱。现在银行卡支付方法不停推陈出新，邮购电购、网上支付、有线电视支付和指纹支付等新型支付方法日益涌现。不过，新型支付方法下，除银行和卡组织以外其它支付方法服务提供商直接接触银行卡信息（包含卡号、使用期、CVV2，甚至交易密码等），即通常所称银行卡信息“落地”，隐含大规模信息泄露风险。据调查，多种新型支付方法均普遍存在银行卡信息“落地”现象，前些年美国就发生数起黑客经过脚本程序侵入服务提供商电脑系统，窃取后台数据库违规留存包含磁道信息在内账户信息案件。目前利用ATM等自助设备窃取用户现金关键有几下方法：(1)猜测密码：攻击者能够经过猜测用户身份识别码方法，使用有意义数字组合对ATM进行试探性攻击。银行用户范围广，难免会有一部分用户使用自己有意义数字组合进行设置，如儿女生生日、电话号码、身份证号码等，这部分密码通常轻易被攻击者猜测出来。(2)窥探：攻击者能够经过录像设备或本人亲自到ATM周围进行窥视，从而经过按键方法得到用户身份识别码。(3)垃圾搜索：ATM在完成交易后，通常会吐出一张交易凭证，而大量用户将其随手扔掉。攻击者经过拾得用户交易凭证得到和攻击相关信息。这种方法在Et常生活中已被不少不法分子成功使用。(4)网络欺骗：不法分子经过网络或短信，以看上去正当理由骗取用户银行账号和密码，一旦成功，不法分子则能够经过自制银行卡到ATM机上取钱。为处理现有ATM应用安全隐患，最有效和最根本措施是提升ATM身份认证安全性，从而杜绝不法分子投机倒把行为。（三）研究目标和创新点研究以下银行卡和自助设备风险防御体系：(1)主动型防御体系：如基于磁条卡多重保障技术；磁条卡向IC卡迁移；提升用户利用银行卡、信用卡经过电子渠道支付时安全性,提升用户利用银行卡、信用卡经过电子渠道支付时安全性;提升银行卡受理终端系统安全性；(2)预防性防御体系：如银行卡受理点监控管理；实现对欺诈交易实现事前早期预警、事中实时监控和事后分析。在此基础上，提出和验证针对目前城市商业银行银行卡和自助设备风险管理方法。四、研究方向和关键点（一）关键研究方法包含定性分析、定量统计、发放调查问卷、文件研究、跨学科研究、个案研究、探索性研究等。（二）研究调研一级目录二级目录调研专题调研对象调研地域账户信息保障关键体系银行卡多渠道身份认证技术调研防盗读持卡使用情况和其关键引发风险；分析哪些多渠道身份认证技术能降低经过盗取用户信息后伪造用户身份盗取银行卡资金案件引发风险；分析现代生物技术在身份证技术中未来应用前景24个城市商业银行和国有大中型银行，具体包含：渤海银行、工行浙江省分行、光大银行、杭州银行、嘉兴银行、交通银行浙江省分行、民生银行、民泰银行、南京银行杭州分行、宁波银行杭州分行、浦发银行、绍兴银行、中信银行、深圳发展银行杭州分行、省建行、台州银行、温州银行、上海银行、又出银行、浙江农行、浙商银行、中国银行、恒丰银行、广东发展银行杭州银行卡受理点账户信息安全防范技术关键调研POS机银行卡账户信息安全认证银行卡芯片化机制调研目前中国外IC卡密钥管理和分发；调研和借鉴欧洲和其它国家IC迁移是怎样降低迁移成本银行卡网上支付时风险防范方法调研目前用户银行卡网上支付风险关键起源在哪里改善目前ATM机身份认证机制将生物认证技术利用到ATM机身份认证机制中外围保障体系银行卡交易实时监控调研目前大中行交易行为实时监控；分析基于规则引擎银行卡交易实时监控在大中行未来实施可行性银行卡交易风险早期预警和事后分析调研高风险交易行为挖掘分析等模型、具体实施策略和所碰到困难ATM机等自助设备硬件和软件加强方法调研目前自助设备安全防范技术和方法，包含硬件方法和软件方法，这些方法有哪些不足；调研目前自助设备系统软件（ATMC）业务操作步骤存在哪些风险依据初步调研，目前和“十二五”时期各家银行银行卡账户信息安全保障关键关注度图1所表示：图2：目前和“十二五”时期各家银行银行卡账户信息安全保障关注度统计目前和“十二五”时期各家银行银行卡外围安全保障关键关注度图3所表示：图3：目前和“十二五”时期各家银行银行卡外围安全保障关注度统计（三）目前研究内容1银行卡账户信息安全保障关键体系1.1多渠道身份认证技术分析不法分子采取多个手段，我们能够看到，暴力破解技术含量低，实施难度大，对安全体系和防护策略完善银行系统不组成大安全威胁；修改或监听用户交易数据需要对用户物理网络布署很了解，且需要入侵更改ISP服务器上DNS服务、控制路由器，具体实施难度很大；盗取用户信息是多个技术手段中现在犯罪分子最常使用、案发率最高、破坏性最大一个。目前防范银行卡信息盗取技术关键包含：(1)防范盗读磁条；(2)防范窃取静态密码等静态信息；(3)多渠道认证防范信息盗用。目前防范窃取静态密码等静态信息和多渠道身份认证防范信息盗用技术采取率还不高，需要在“十二五”时期深入强化。其中，对于防范窃取静态密码技术方法关键包含一次一密动态密码硬件、账户手机安全认证等。其中一次一密动态密码硬件实现需要用户在柜台申请（比如，该动态密码硬件拥有液晶屏能在用户做交易时即时显示动态密码且易携带，申请了该动态密码硬件用户在每次进行交易时只需输入硬件上显示密码即可）；其它关键包含U-KEY数字证书等。其中，基于手机动态密码技术研制是“十二五”时期防范静态密码窃取关键。对于银行卡安全认证新技术研究和应用，目前关键包含银行卡加固、非传统银行卡引入和现代生物技术应用，其中非传统银行卡引入包含经过手机银行在银行卡支付双方建立信任介质或渠道，实现现有银行卡功效，现代生物技术引入包含比如经过人脸识别、视网膜识别、指纹（掌纹）识别、脑波介入技术等帮助实现银行卡安全认证。研究发觉，银行卡芯片化机制和手机支付技术是“十二五”时期研究和推广关键。1.2银行卡网上支付时风险防范方法在网上支付过程中，用户和商家、商家和银行、用户和银行之间全部存在着相互关联。在支付过程中难免会有风险，这些风险有些可控，有些不可控。目前中国银行卡网上支付因为支付系统结构不完善、支付系统功效实现存在不足和支付系统外部环境影响等原因会存在很多网上支付风险。目前各家银行网上支付风险依次为信用风险、技术风险和流动性风险。针对网上银行技术风险，银行卡网上支付系统需要实现以下四种安全服务：(1)针对假冒攻击提供认证服务；(2)针对窃听攻击提供保密服务；(3)针对完整性侵犯提供完整性服务；(4)针对业务否认提供不可否认服务。这四种服务目前各家银行采取已比较高，目前各家银行银行卡网上支付系统说提供安全服务功效已经比较完善。网上支付信用风险关键包含针对资金和道德风险和针对银行卡风险。针对资金和道德风险，目前各家银行向中央银行提出了以下意见和提议，来对第三方支付账户做以下哪些规范管理：提议一：中央银行应该要求中转账户必需是一个特殊或临时账户，第三方无权获取要求时限外滞留资金利息收入，时限外利息收入应为用户拥有。只有第三方提供支付服务获取服务费用才含有正当性，在交易时限内正常滞留资金利息可归第三方全部；提议二：中央银行应要求第三方严格区分自有资金和中转资金，中转资金不能用于第三方本身任何运行，更不能许可第三方利用中转资金进行风险投资，以此来确保第三方支付平台中广大用户利益；提议三：中央银行应该要求第三方应在其开户银行存有一定数额确保金，一旦第三方出现什么问题银行能够立即冻结这部分资金来抵御风险，保障广大用户资金安全；提议四：加强第三方支付账户实名认证机制。针对银行卡风险，目前各家银行向中央银行提出了以下意见和提议，从而立即建立个人信用体系以加强内部刮泥，建立健全内控体系和风险管理制度：提议一：一是建立完善内控体系，做好授权、挂失、止付等工作。发卡机构在开户、制卡、发卡、收卡、授权、挂失、止付、关键凭证及止付信息传输过程中要严格根据规章制度办理。实施“三分离”，即制卡人员和电脑程序员相分离、会计复核员和授权人员相分离、记账员和发卡员相分离，形成一个相互制约、相互协调、相互监督机制。提议二：建立健全风险管理制度。应依据银行卡卡种属性、业务种类及其风险特点，制订对应规章制度，规范各类信用卡资信审查、开户、授权等操作；从制度上明确发卡行、受理行、持卡人和特约商户之间权利义务关系；对新开发卡产品要立即制订操作步骤。提议三：将银行卡业务纳入银行统一风险管理体系统一管理。目前各家银行银行卡网上支付中流动性风险百分比不大，针对银行在网上支付过程中可能碰到流动性风险，目前各家银行向中央银行提出以下意见和提议：提议一：中央银行应对商业银行存款准备金进行监管并对每个账户转账金额设定上限；提议二：中央银行应经过报表分析、监测银行资金需求，从而降低银行周转风险；提议三：中央银行应建立健全流动性风险预警机制。1.3银行卡受理点账户信息安全风险防范方法目前各家银行现在使用银行卡受理终端依据各家银行采取率排序依次为自助终端、销售待（POS）终端、电话POS、转账POS、电话POS、非接触式银行卡信息终端、多用途金融IC卡支付终端、有线电视等。目前各家银行银行卡收单业务说面临关键风险依次为信用卡套现、伪卡、恶意调单、洗单等。对于伪卡，现在展现出三大特点：（1）从卡片信息盗取到最终发生欺诈消费，已形成完整黑色产业链。（2）伪卡交易形态更为隐蔽。（3）伪卡集团和商户勾结案例频频出现。所以，目前亟需研究针对这些伪卡交易伪卡识别技术，比如在收单机实施监控系统要研究和实现专门针对这些伪卡交易识别机制。针对目前银行卡受理点账户信息安全风险防范，应该采取以下方法：（1）收单行布署实时监控系统；（2）打破部分地域银联"直联"垄断局面；（3）完善相关法律法规。其中收单行所要布署实施监控系统应该包含交易处理模块、交易处理模块、商户管理模块和帐务管理模块。对于部分地域银联"直联"垄断局面打破，依据我们调研，目前有17家银行终端机经过收单银行直接和银联络统相连，占总数70.8%，其中大部分是因为银联要求才这么做，目前这17家银行认为收单机直接和银联相连有存在以下缺点：缺点一：收单机无法对交易进行监控，从而无法对商户进行严格监管。缺点二：因为在"直联"模式下，商户终端机直接和银联络统相连，此间并不经过收单行，故收单行无法看到交易数据；所以，目前应该由监管机构出面，统一银行卡收单市场秩序，支持商业银行自主选择终端布设方法，势在必行。目前各家银行对于目前中国银行卡收单业务法律法规完善，提出了以下意见和提议：意见一：部分违规行为在目前银行卡收单市场规范条款中未有明确定义，如危害极大套现行为；意见二：部分违规行为在目前条款中缺乏相关罚则；意见三：部分条款未能被很好实施，如《相关规范和促进银行卡受理市场发展指导意见》明确了收单业务开展中公平自愿、公平竞争、联网通用标准，但实际实施情况并不尽如人意。所以，业界期盼已久《银行卡条例》应立即出台，以对银行卡组织、发卡行、收单行、第三方机构、外包商等责职和行为进行愈加好定义和规范。另外，应加紧制订针对套现等新型银行卡犯罪法律法规，认为这类案件立案侦办提供可依据法律准则。1.4银行卡芯片化机制在银行卡用卡安全问题日益成为社会关注焦点背景下，怎样从技术层面深入提升银行卡安全性以保障持卡人权益，成为目前亟待处理问题。芯片银行卡是以芯片作为介质银行卡，又称金融IC卡或智能卡，在种类上分为纯芯片卡和磁条芯片复合卡。芯片卡能够存放密钥、数字证书、指纹等信息，以功效多、信息难以破译或仿造和能够实现一卡多用等特点，受到社会各界关注和青睐，被广泛应用于金融、通信、交通运输、医疗卫生、教育、娱乐、企业管理、个人安全识别等领域。信息承载量大、安全性能高芯片银行卡不仅能节省银行系统资源，更能有效提升银行卡安全性，保障广大持卡人权益。依据调研，目前各家银行在“十二五”时期实现银行卡芯片化机制关键是因为迁移后金融IC卡安全、一卡多用且存放量大。其中，安全表现在新推行金融IC卡关键采取CPU芯片，含有独立运算、加解密和储存能力，IC卡可存放加密机密数据，所以能预防银行卡数据被复制伪造。现在使用磁条卡很轻易磨损，信息存放量小，更大缺点是磁条易读出和伪造，很轻易就能盗取磁条上资料，制造一张假卡；一卡多用表现在金融IC卡能够在社保、医疗、交通、文化、休闲等领域使用，实现生活和消费“一卡通行”。央行数据显示，现在中国已经有200多万台销售点终端(POS)已可受理金融IC卡，占POS机总量2/3左右；存放量大表现在可脱机交易：存放器能够存放几十个至几千个汉字，能够分为若干个应用区，便于一卡多用；同时金融IC卡可实现可脱机消费（支付不用连接银行后台），持卡人能够设定电子现金初始余额，系统将自动从信用卡额度中向电子现金进行充值。和电子现金和电子钱包类似。又增添了新功效。目前各家银行认为在“十二五”时期实现银行卡芯片化机制关键难点包含新旧卡转换工作量大、投入加大和宣传工作滞后。目前各家银行认为在“十二五”时期实现银行卡芯片化机制中以下几步工作量较大或需要投入较大成本（按成本从高到低排列）：终端机具改造系统改造；信息转接系统改造；卡片设计开发；密钥管理体系建立依据查阅文件，我们提出了以下四点推进芯片化业务稳定发展对策和提议，供银监局和各家银行参考：(1)主动开展多个形式宣传活动。(2)采取“先试点后推广”方法稳步推进磁条卡向芯片卡过渡。(3)加紧芯片卡受理设施升级改造步伐。(4)财政要合适给补助。1.5ATM机身份认证机制改善依据调研，目前ATM机交易过程存在缺点，不法分子能够经过以下手段进行窃取用户现金：(1)猜测密码。(2)窥探。(3)垃圾搜索。(4)网络欺骗。依据查阅相关文件，我们提出了一个高安全性ATM身份认证机制，供银监局和各家银行参考，见附件《一个高安全性ATM身份认证机制》。1.6生物认证技术在ATM身份认证机制中应用和实现生物认证技术包含到计算机技术、网络技术、电子学、微电子学、光学、医学、生物学、人工智能等近代学科理论和应用技术。在ATM上取现时身份认证技术，应本照着“可接收性、方便、快速、拒识率低、正确识别率高、设备简易、成本低、应用技术成熟、高识别速度、宽温区、低功耗、适应环境、仿伪能力强”标准，上述生物特征中，就现在应用技术，指纹、人脸、声纹特征，应用于ATM上取现时身份认证是可行。目前有3家银行计划在“十二五”时期在ATM机上使用生物认证技术，以提升ATM安全性，占总数12.5%。假如采取生物认证技术来改善ATM机身份认证机制，则目前各家银行会选择指纹识别、人脸识别、声纹识别和多个生物识别技术综合利用，具体见附件：《生物认证技术在ATM身份认证机制中应用和实现》。目前各家银行采取生物认证技术来提升ATM安全性关键存在以下难点：难点一：在ATM上使用生物认证技术进行银行卡身份认证，需要预留用户生物特征，需要建立生物特征数据库，对服务器硬件和网络有更高要求，走向技术成熟和达成普及应用，需要有个过程；难点二：增加银行认证系统成本，尤其是增加ATM场地维护成本和负担人为破坏风险；难点三：在有效预防盗刷银行卡同时，正当持卡人家人也不能使用银行卡，感到有所不便。2研究针对目前银行卡安全外围保障体系依据调研，目前有10家银行存在不法分子利用ATM机等自助设备作案情况，占总数41.7%，对于存在作案银行，作案手法关键包含以下几类：手法一：在自助银行门禁上加装读卡装置窃取用户银行卡信息以制作伪卡，偷窥密码或试出密码(若用户密码有一定规律)并伺机作案；手法二：转移用户注意力，在用户进行自助交易过程中将卡调包，偷窥密码或试出密码(若用户密码有一定规律)并伺机作案；手法三：在自助设备出钞口加装挡板或用胶水封住出钞口，造成用户取款下账未吐钞。并经过在自助设备上张贴业务“通告”、“提醒”、“安全使用须知”等，诱使用户拨打指定电话，经过电话对用户进行转账诈骗；手法四：在自助设备读卡器口加装读卡装置盗取用户银行卡信息，经过用望远镜偷窥，在用户键盘表面加装假密码键盘、贴薄膜，在用户键盘上方加装摄像装置等手法盗取用户银行卡密码，然后利用伪卡诈骗用户资金。2银行卡外围安全保障体系2.1ATM机硬件安全防范方法依据调研，目前各家银行针对ATM机等自助设备硬件安全防范方法关键包含以下多个部分：方法一：对自助银行门禁系统进行改造，用户进入和退出时按开关打开门，而进入时不再需要刷卡，杜绝了不法分子经过门禁系统作案；方法二：自助设备用户键盘安装密码防窥罩，预防不法分子偷窥用户密码；插卡口安装欺诈设备抑制器(FDI，绿色卫士)，也称“卡喉”或读卡器异型口，欺诈设备抑制器装在自助设备读卡器人口之前，特殊设计使得用户几乎不可能把卡插入加装有捕卡装置读卡器内；方法三：采取增强卡驱动或抖动(ECD)方案。该方案利用对读卡器中卡进出优化控制，使得磁条信息复制装置(假如被安装了)接收是扰乱信号，这种信号会使不法分子复制磁条信息变得更为困难；方法四：自助设备安装带有VI标志防护罩(自助设备上方和正前方有遮挡物)，预防不法分子偷窥用户密码；方法五：升级自助设备显示器为防窥显示器或安装防窥屏，避免摄像装置对屏幕信息窃取，尤其是使用触摸屏输入密码时；方法六：实施自助设备联网集中监控。将自助设备监控、报警设备，自助银行门禁控制设备纳人远程监控报警联网系统，在自助设备现场安装语音、报警装置，经过远程喊话、报警和控制门开启，抑制和打击不法分子作案。这些硬件方法实现难点关键包含以下几部分：硬件升级投入巨大，成本较高；增强卡驱动或抖动(ECD)方案对磁条卡磁性有一定影响，同时也轻易造成吞卡，部分银行暂不便于实施；防窥罩等硬件防范方法存在轻易脱落或被犯罪分子利用在内部安装微型探头问题，无人银行用户对语音对话，报警装置使用不熟悉；犯罪分子暴力破坏防范方法、定时巡查难度大；加装防护罩后，增加了自助设备设置成本，也提升了房屋结构、面积等要求，一定程度上增加了选址设置难度。所以，目前需要研究处理硬件方法实施难点相关策略。2.2ATM机软件安全防范方法依据调研，目前各家银行针对ATM机等自助设备软件安全防范方法关键包含以下多个部分：方法一：银行在读卡器口加装欺诈设备抑制器后，在用户操作界面(屏幕)上显示带有“你看到读卡器像这个样子吗?”提醒动画，使用户能够经过提醒动画知道欺诈设备抑制器是银行加装，从而使用户增强对读卡器及欺诈设备抑制器认知；方法二：在用户操作界面增加密码防窥文字警示性“通告”或图片，提醒用户保护好自己账号和密码信息；方法三：针对出钞口恶意操作，使用相关软件进行监测并采取对应方法；方法四：改善自助设备系统软件（ATMC）业务操作步骤。软件方法实施难点不多，部分银行提出在实施用户操作界面提醒动画现在需要系统改造同时，同时影响用户操作界面空间，现在各家银行还未普及；当ATM出钞挡板被挡时ATM停止出钞一定时间控制精度和操作命中率还有待提升等，更多银行指出目前用户自我保护意识较弱是最大问题。其中，对于方法三中针对出钞口恶意操作，目前各家银行关键采取以下软件方法：方法一：经过自助设备系统软件(ATMC)对出钞模块进行相关监测。对同一台连续出现几笔(提议2-3笔，也可依据实际情况进行调整)进行回收动作(出现用户取款下账未吐钞交易等情况时)自助设备进行停机或暂停服务等控制，同时实时向银行后台监控系统报警，并经过手机短信方法通知设备管理人员，立即到设备现场排除隐患；方法二：经过自助设备后台应用软件进行相关监测。用户在进行取款交易而因出钞模块发生故障或超时取不出现金时，应对该用户银行卡转账功效在要求时间内进行屏蔽或拒绝交易等控制，用户转账失败后自助设备画面提醒用户拨打银行用户服务热线进行咨询；方法三：对取超超时会自动关闭出钞口，拒绝用户该笔交易，如系统模块错误，也会直接提醒，并拒绝用户交易，对于一台连续出现多比交易，后台会有统计，由相关部门监管，并采取对应管理方法；同时经过远程监控系统实时监控等。其中部分银行指出方法A和B具体实现存在部分难度，比如：后台应用软件进行相关监测正确性有待提升；一台机具统一账户连续交易就做吐钞限制那是不现实，现在没有一家银行如此处理，假如按此处理，将会影响用户正常交易；机具模块错误是银行设备问题，而非用户责任，如所以而屏蔽用户卡功效将会影响用户交易，并造成大量用户投诉。所以，未来需要深入研究针对这些难点出钞口恶意操作规避方法。我们查阅了相关文件，提出了一个新ATMC业务操作步骤改善方案，见附件《一个新ATMC业务操作步骤改善方案》，供银监局和各家银行参考：目前各家银行针对银行自助设备安全防范管理方法关键包含以下多个部分：方法一：加强自助设备营业时间和夜间安全巡查工作力度；方法二：在自助设备表面喷洒汽车表板蜡预防非法粘贴物，并和营业网点或自助设备周围有保安昼夜值班单位达成联防协议，从而加强对自助设备安全管理；方法三：对自助设备交易流水统计和监控录像进行事后分析，发觉可疑交易信息后，由安全保卫部门或其它相关部门调阅交易流水统计和录像排查风险隐患并立即处理；方法四：做好自助设立案件防范宣传工作，提升用户安全用卡意识。其中，部分银行指出，目前实施这些方法关键难点以下：二十四小时监控安全防范方法不能100%堵住监控漏洞；很多自助设备网点周围无保安昼夜值班单位，难以形成联防。现在较为有效是经过后台监控，进行实时智能监察管理；事后监控和巡查只能是治标不治本方法，犯罪分子完全能够避开银行相关方法进行欺诈行为；自助银行是公共场所，安全防范方法有时防不胜防，我们要在各个渠道反复宣传，提升用户安全用卡意识，提升防范能力；夜间巡查难度较大；人员短缺、力量不够；安全巡查费用较高；难点更在于怎样提升用户安全用卡意识。所以，未来需要深入研究针对这些难点自助设备安全防范管理方法。目前各家银行针对银行自助设备安全防范宣传工作关键包含以下多个部分：工作一：商业银行应和媒体合作，向大众广泛宣传自助设备安全使用知识及多种可疑迹象分辨，提醒用户不要轻易拨打自助设备旁张贴电话号码；工作二：经过营业网点和相关服务窗口，加大宣传力度，如经过用户服务热线电话，提醒用户提升警惕，不要相信手机短信或向任何人泄露银行卡密码，谨防受骗受骗；工作三：引导用户常常更换银行卡密码，因为一次性密码安全性最高，密码每使用一次，安全性就降低一级；工作四：一旦发生案件应立即报警并和银行用户服务中心取得联络以寻求合适处理措施。部分银行指出，目前实施这些方法关键难点以下：用户对宣传知识较麻木，存在侥幸心理，极难起到实际效果；不法分子作案手段不停翻新，安全宣传防范方法有时候显得滞后；部分用户比如老人轻易有贪图廉价心态，容量受骗，记忆力也比较差，需要对这类用户进行针对性面对面反复宣传。所以，未来需要深入研究针对这些难点自助设备安全防范宣传工作。2.3基于数据挖掘银行卡交易风险早期预警和事后分析目前各家银行认为，数据挖掘技术银行卡交易行为整合和分析方面关键有以下作用：为银行受理、审查、审批、交易监控、账户管理、催收等各步骤提供决议依据，有利于实现决议系统化、作用周期长、作用面广；愈加好支持数据分析，更客观可见分析业务发展过去、现在和未来，依据分析结果，有利于各项方法开展和落实；在银行卡交易中能够分析用户交易习惯和划分用户分类，从而愈加好为用户服务。挖掘技术更能表现数据正确性；愈加全方面、系统地分析用户交易行为背后展现交易习惯，有利于后续愈加正确定向营销；能有效填补联机系统风险防范先天不足，更有效帮助银行做好风险管控，正确定位风险交易，做好事后分析处理工作；更有效帮助银行做好风险管控，正确定位风险交易，做好事后分析处理工作；同规则引擎技术相比，数据挖掘优势还集中表现在以下多个方面：有利于对用户连续行为分析；对大信息量数据进行分析和决议目前各家银行在布署和实施商业智能系统时，关键存在以下问题：系统需求不明确,和业务割裂：如实施商业智能项现在，没有专门咨询顾问，甚至没有专门人员对系统需求进行调研和细化，造成最终商业智能系统只是单纯进行数据抽取和报表统计，没有充足考虑到数据分析关键；系统贪大求全：因为商业智能系统是多层次，其规模超出大多数业务处理系统。假如数据仓库容量未达成TB等级，建立数据仓库不仅花费资源，还会带来种种问题；无法提供高质量数据：比如数据仓库数据来自于多个数据源，因为标准不统一，所以数据一致性极难得到确保，所以这些信息需要专业工具来清洗和改良；系统易用性较差：商业银行中只有较少数人员在实际工作中采取了商业智能工具。大多数人员需要是便捷、自动获取信息，而不是被迫学习一个全新环境，或依靠于银行IT部门帮助。对于这些问题处理，目前各家银行提出了以下处理思绪：在使用中依据业务开展需要不停提出新系统需求，实时改善系统功效；明确业务需求，充足考虑到数据分析关键；全部数据源采取统一标准，同时提升数据质量检验，确保数据可靠性选择有多家金融开发经验商家，加强业务部门和科技研发部门沟通、合作；依据行内人员需求，外聘经验人员并同时培养内部人才，同时进行专门有针对性培训；不停改善系统操作界面和功效，实现操作界面简练明了，易用性强；计划深入研究和引进优异工具，提升系统可用性。目前有11家银行已拥有面向大量异构数据集成管理平台，占总数45.8%，部分银行商业智能现在还在逐步实施阶段。这11家银行现在数据管理平台提供服务包含以下多个部分（依据所采取百分比排序）：大量异构数据统一管理；智能数据业务分析；智能用户行为分析；正确营销分析；数据挖掘和商业智能；OLAP；业务规则和业务模式智能教授分析。目前各家银行银行卡交易风险早期预警和事后分析关键难点以下：发卡时间较短，可供分析数据较少；现在针对银行卡交易风险数据仓库只做到简单分析，无法深入挖掘并分析；对于交易预警模型建设还未形成完善体系，这和银行对于风险模型认识有很大关系，用户行为是多样化，风险模型也是不停改变，极难做到全方面风险覆盖，这在各家银行全部是相同情况；比较欠缺这方面业务和技术人才，也缺乏经验；针对这些难点处理思绪以下：伴随发卡增多，建立数据仓库系统；加深对用户行为挖掘，尽可能简历完整风险模型，同时借鉴她行经验，尽可能涵盖用户交易风险各个方面；加强系统建设，以愈加好支持分析结果应用；筛选规则制订；一步完善预警模型和事后分析模型；经过实际操作和不停探索，逐步改善，建立预警出发点和规则。总而言之，目前有多家银行开始或立即在“十二五”时期采取基于数据挖掘商业智能系统来对银行卡交易风险做早期预警和事后分析。