(電子行業(yè)企業(yè)管理)電子銀行業(yè)務(wù)作業(yè)風(fēng)險及防范措施

1、雷子金艮行棠矜作棠閩除及防靶措施壹、概述饕於逋來各金融械情所辨各項重子金艮行相（如：余周路金艮 行、金融卡、信用卡、現(xiàn)金卡、H言舌言吾音、行勤金艮行等），多有因 棠者本身封於各項棠矜之作渠安全控管有欠堇，或由於客戶缺乏 基本安全概念，渠者亦未善翥提醒奧教育之JT ,肇致金融械情客戶 之存款遭歹徒扃盜領(lǐng)之彳固案傅，不僮損及存款大冢封於金融安 定信心，亦造成金融械情莫大商警及管渠損失。懸雉各金融械情 辨理雷子金艮行交易之作棠安全，爰蒐集整理各金融械橫近年來辨理 前述各項作棠日寺所彝生之言乍欺舞弊案件，加研SIxm作棠允宜加弓金 注意之事項,供各金融械橫作懸辨理上述棠矜之參考。茲就各 矜之作H及防I

2、6措施分述如次：虱、余罔路金艮行棠矜作棠凰除及防靶措施余周路金艮行因保客戶利用彳固人10簡，藉由懣it IS it械情所核彝之 霜子懣IS,透遇路建至金融械橫之站迤行交易，因此其 作H主要來自於三方面：客戶端作MH登之保管及使用、金融 械橫端#莆典系統(tǒng)之安全防交易息由路傅WJ遇 程是否遭受外來患亥客之干援或截SI；另由於路金艮行交易遇程中均 慮於放璟境之系統(tǒng)架橫，致可能隨日寺遭遇來自金融械橫內(nèi)部/外 部之?dāng)痰涮絷ｔ丈纤?，路金艮行作渠安全之可能如下：主械Hi1安全之漏洞，如：資言*械房叩禁管制欠佳、WJ出入tHU 及通言借管制欠妥、5S留遇多未管制之外接埠、幸艮表及磁性 媒醴管制欠妥等，醇致

3、主械遭破壤、系統(tǒng)遭入侵、防火精被 Hi!速余吉路被改建，作渠人H或客戶資料遭藕取等。作渠系統(tǒng)或系統(tǒng)軟醴漏洞，如：未定期修禱系統(tǒng)程式或未及日寺提開版本、未 描描昊常更新或之系統(tǒng)槽案、未U妥重月面病毒防 I6措施、系 統(tǒng)安控參數(shù)U定不完整，致 使患亥客利用顯溢出漏 洞、植入木焉程式取得特使用者密礁或爽帶植入霜月面病毒以H 瘓主械及防火精系統(tǒng)，或 爽帶木焉程式迤行資料藕取及破壤，或 利用系統(tǒng)安控U定不周延以迤行資料藕取及破壤。路系統(tǒng)安全及管理有缺失，如：未料Jt查I!參數(shù)遇 濾器(Query Parameter Filter )及介面查t1程式遇濾器(CGI Program Filter ),醇致患

4、亥客利用H料I®礁攻擎(SQL Injection ) 交帶程式藕取資料資料；封於資料Jt未U定遹常之存取限， 未建立堇之路金艮行所有程式及余周直之換版程序；或委外 雉之系統(tǒng)遭HU商程式人員爽帶程式不富K示資料原始 碣，造成資料外波；任意下載系統(tǒng)漏洞修禱程式而遭入侵； 路金艮行主械、防火精、»料Jt主械及中心主械所形成之路奧金艮 行內(nèi)部路(Intranet) 未作癌隔，醇致歹徒利用5S先曦藏特定 K或功能，入侵中心主械存取資料。封槽案H料存取控制定欠佳，如：封使用者H料槽未言丁定系統(tǒng) 安全管理烷I6、未限制使用槽案修改工具、W矜分工不富或未落 W,遑 反奉制原即，醇 致歹徒

5、或金融械情內(nèi)部人員藕取未曙藏之 使用者資料槽，加探用字典攻擎法推測出使用者密礁，迤而篡改 資料Jt或槽案內(nèi)容。資料傅WJ遇程安全性欠佳，如：余周路金艮行主械典中心主械資料 之停送未加密，醇致歹徒或金融械情內(nèi)部人H藕取以明礁方式停 送於路金艮行主械及中心主之客戶路金艮行交易密礁，或篡 改輔幅交易資料封包。不安 全的速余吉黑占遇 多，如：internet/ extranet /modems 未It禁 放主械接接功能；未建置防火精、未言丁定系統(tǒng)安全策略、未利 用址輔換(NAT)技彳行曙藏內(nèi)部端/服矜主械之IP位址；未J8禁透遇Internet 速雉主械資料；未利用防火精反扃及 反攻擎(Anti-sp

6、oofing/Anti-attack)技彳行防止各槿入侵手段；未利用路捕瞄(INTERSCAN)等路偵測工具程式描描巽常系周 段，醇致歹徒、金融械情內(nèi)部人H或患亥客透遇接接直接迤入主械 或利用雉主械系統(tǒng)之特定余周直，迤入主械修改資料及放不必 要的服矜功能。內(nèi)部及外部人H控管欠佳，如：未®丁公司/H工路公余勺、未 碓有效整:督商人系統(tǒng)、未典商洽言丁保密契系勺、未建 立內(nèi)部安全措施，致 入侵者符IP、防火精燒郎(Firewall Rule ) 等重要資料拷K至儲存媒醴或印成余氏弓H揣出辨公室、或利用 e-mail、ftp、http 符資料利用接接方式!遇防火黯f傅送，以攻 擎金艮行內(nèi)部主

7、械。路金艮行棠矜申辯作渠流程欠佳，如：檀臺整醴作渠流程未符奉 制原即，中心崖裂及核彝雷子懣it、勒H、密礁函不符奉制及械 密性，致客戶資料、霜子懣it、勒H、密礁函遭藕取；封重要重 子懣基礁及密礁保管不富，致行員藉以藕取客戶資料、重要 霜子登、基礁、勒I!及密礁以優(yōu)事不法。欠缺良好的稽核制度，如：未建立警及稽核通幸艮制度、未利用 入侵偵測系統(tǒng)(IDS)防It及檢測；未符通遇防火精之來源端及 目的端主械IP位址、來源通言汽埠褊虢、目的地通言*埠褊虢、通 言孔曲定、登 入登出日寺爵 存 取日寺以及所探取的行勤碓己金條留 存或覆核，致入侵者刪除Log槽，以湮滋其入侵之事1T?？蛻舳藘最}，如：客戶符t

8、Sit磁片隨意放置，致遭歹徒盜用 迤而領(lǐng)存款；客戶本身利用重子金艮行迤行非法之洗活勤；客 戶使用雷子金艮行前或未充分瞭解各XO整利羲矜及操作方式，醇致 益受損；不肖人士仿冒金艮行站，藉以鳥扃取客戶基本資料，損 及金融械情商警。茲列聚余周路金艮行H矜之舞弊案例及分析明其作渠缺失如下： 案例甲：91.4 歹徒在媒醴刊登If告以徵求彩券金肖商加盟店需繳 交保瞪金（金額不等）50離元受鳥扃民冢至XX 金艮行立幅戶，存入曼方事先定金額,或申吾音及余周 路金艮行服矜，嗣彳爰歹徒以查I1各受鳥扃民冢是否依存入 保金懸由，鳥扃取其言吾音密礁，揖先使用言吾音密礁登入 路金艮行系統(tǒng)下載受害人之重子懣it,或隨即透

9、遇路金艮行 輔幅功能，分別盜輔各受害人之存款400千元、500千元、 800千元。本案歹徒保利用客戶於申IB周路金艮行H矜功能 彳爰，未及於燮更密礁，加上至懣it核彝械橫（臺？周路 tSiS公司）申吉青下戴霜子登之空窗期，套取客戶密 礁彳爰，揖先登金條下載重子懣it再予領(lǐng)存款所致。案例乙：歹徒利用工程白市身分，90.3 趁XX金艮行辨理定存系 統(tǒng)雉暫符客戶交易失敗之幅虢、密礁存於系統(tǒng)交易失 MBMB （LOG FILE）之除，藉口雉系統(tǒng)，遙符前述槽 案擅以外掛卜程式反推盜知客戶券路下罩之幅虢及密 礁，再冒名上迤行交易，造成行471千元之損失?？?分析余吉果，主要保ig行資言*軍位封路下軍系統(tǒng)之

10、新槿渠 矜不別熟稔，且遇度信賴商封於igxM系統(tǒng)安全防 械制之保it典作H雉,未於軟H彝展遇程中提出契合於 行之系統(tǒng)安全規(guī)格需求，上彳爰亦未比照主械系統(tǒng)作渠 J8格控管，致歹徒得以藉雉系統(tǒng)械曾，以外掛卜程式入侵 作渠系統(tǒng)，再以所盜取之客戶幅戶及密礁資料，冒名迤行 余周路下罩交易，趁械出脫手中持股所致。粽上，帚納金融械情辨理路金艮行防I6措施如下： 一、余周路金艮行資言借安全管理tg子輔幅、交易性指示等金融交易言*息或雷子文件傅輸，weIS符合來源辨性、言*息曦密性、完整性、不可重性、不可 否ts傅息等uth鷹用程式鷹避免崖生顯溢位系 統(tǒng)漏洞，以免遭人利用爽帶不常指令藕取資料。雨道（Gatewa

11、y ）系統(tǒng)建置或燮更通言孔等輔換內(nèi)容，鷹建立符合 內(nèi)控原期之控管程序；封昇常迤出雨道之事件鷹留存余己金條借 查；封重大巽常狀況鷹建立警示械制及追雕管理措施。封提供客戶使用之軟H、密礁或其他有層制資料，其提供、敬用、 或更新之程序鷹符合內(nèi)控原即。封雉客戶資料（含密礁）曦密性鷹妥懸Uth尤鷹注意保密 性，密礁鷹以葡L礁化方式It存。資言孔部叩 mO周路金艮行資言*系統(tǒng)軟、硬UtH莆雉之耳哉矜鷹有 遹富分工，其建置奧建更鷹妥善控管，或留存可供追雕查核之 稽核亦。重月面械房叩禁鷹加弓金，涉及儲存客戶資料之莆鷹J8加控管。 有私密金it、登資料或窗L礁基礁及各XM相層辦善密性資料， 於崖生、燮更、存日寺

12、鷹加弓金控管及符合內(nèi)控原即；金編晨度 鷹符合主管之規(guī)定。封聊外站典內(nèi)部路或1O面系統(tǒng)之路彳圣鷹加以控管；封未 防火精之逮端存取鷹予遇濾及管制；封未授或遑?zé)?常存取或迤出站情形，鷹UtHjI測、警示及追雕之械制，加 U有防IO罔K遭鼠改之控管措施。二、系統(tǒng)可用性管理鷹言丁定故障5S防（如病毒防I6、偵測、警示等）程序、系統(tǒng)借援 及系統(tǒng)彳復(fù)原等措施，加定期演糠、橫言寸、改善。三、奧客戶、委外商或其他第三者鷹言丁定典客戶、委外商、第三者（含登械橫、清算械橫、 商家、供鷹商等）利羲矜皆豺系契余勺，加視情況隨璟境定期旅 言寸，以碓保遹法性及周延性。封重要軟硬HI!置、租用或委外虞理，鷹押估商信警、

13、狀況、研贊支援能力、內(nèi)控制度，以避免衍生相 若探委外作渠管理，鷹碓1T依金融械情委外注意事辨理。四、承搪管理金融械橫鷹依法令規(guī)定，寄酌承搪能力；言丁定交易凰限 鷹依交易別分別限制每次交易金額、每日交易累金額 及定典非定幅戶輔幅金額。鷹封懣ittSit械情之管建及信賴度迤行fH古，以免崖生相 B。封客戶聊it、服矜及建外路通言*安全鷹有防止內(nèi)部及外部人 H入侵措施，加奧內(nèi)部有言*系統(tǒng)安全余吉合，建立例外管理 制度，U立聚急通幸艮冏題慮理及追雕管理程序。五、客戶作渠端管理規(guī)I6鷹提供客戶路金艮行渠矜或服矜之辭余田操作明文件。封客戶益、資言*安全及曦密性等允宜加弓金注意事XM,鷹以善 面且敕醒目之方

14、式告知客戶注意。封各路金艮行渠矜之客戶往來情形，鷹提供封幅罩以釐清典客 戶之木整責(zé)，加加弓金事彳爰追雕查核。言丁定客戶止路金艮行往來之慮理程序，以免其幅戶遭盜用。封首次往來客戶身分之碓ts,鷹有碓IS程序以避免有假冒他人 戶或往來之情形彝生。六、代理懣iH主冊作渠管理如代理主冊作H ,鷹言丁定代理懣it音主冊作H工作原期及工 作站管理辨法。金艮行符代理言主冊資料上傅至IS it公司或懣it資料下傅失敗日寺，鷹由系統(tǒng)留存作己金條(log file )加以控管；言主冊申言青程序 鷹依符合內(nèi)控之程序辨理。代理言主冊肇敦、登雉放行日幸艮表等相表幸艮內(nèi)容，鷹定 期交互勾稽核封，以碓登昊勤奧申言青碓1T相

15、符?？蛻羯暄郧嗝芙附釯1作H ,鷹符作己金條列印，加鷹典分行解 申言青善及解Utt子垂B件裝言丁供主管覆核。七、防火精管理鷹言丁定除余周路防火精安全政策，定期fH古防火精燒即內(nèi)容之 妥遹性或予遹日寺整。telnet 、finger 、http 等高凰IW 服矜(service ) 鷹予 以卸載 (disable )。鷹俟碓IS最新之修禱程式(patches )碓瓢冏魅彳爰，才予安裝。 重要槽案均鷹借援；防火精文件鷹依人Hit矜軌掌、文件械密 性及重要性程度限制取封作己金條(log file )、稽核IO亦(Audit Trail )及昇常迤 出系己金條等鷹留存完整，人整:控，且鷹建立警示械制，

16、視 情況作遹富反鷹及追雕慮理。言丁定符合內(nèi)控原期之燮更管理程序，或予以落1T,內(nèi)部典外部 余周址封鷹層豺系之建置奧建更鷹妥懸控制。防火精不鷹U定懸信賴主械(trust host ),另控制臺自勤fg 住(console auto lock )功能鷹敬勤。Kf 客 11M戶(GUESTaccount )鷹予以刪除，除 root、powerdown、 daemon checksys、bin、makefsys、uucp、mountfsys、sysadmin、 umountfsys 等使用者幅戶(account )外，其他使用者幅戶不 可定特木整使用者(supervisor )幅戶。NIS ( Net

17、work Information System )之 /etc/passwd 或 /etc/group 不可有'+*:0:0:',以避免瓢密礁之使用者幅戶亦可筵入(log on )系統(tǒng)。八、伺服器管理鷹言丁定伺服器安全管理政策；封敕具性之服矜及路通言* 曲定，遹富fH古加遹富眉級主管核準(zhǔn)彳爰始予放。封系統(tǒng)管理者幅虢鷹更改名耦（rename ） , 客（guest ） K虢 鷹予作IO已金條（Log File ）及稽核tH亦（Audit Trail ）鷹有事人盛 控，或作遹富反鷹慮理。各目金條存取限鷹依內(nèi)部分工予以授木整。鷹依攜（內(nèi)控原即言丁定系統(tǒng)參數(shù)，而不鷹H堇以商安裝之初始值

18、 來U定系統(tǒng)參數(shù)。豕 金融卡H矜作H凰除及防靶措施金融卡H矜自81.12臺中市XX信合社遭10面雉工程白市利用雉 系統(tǒng)械曾，藉械藕取客戶資料裝作偏卡盜領(lǐng)客戶存款伊始，每隔 相富畤日即有IS似案件再度褻生，犯案手法即大致如出一率I攵，均保 金十封金融卡本身之安全械制或漏洞予以U法破解或入侵，因此金融 卡作It原建置之安全械制，如：密礁窗1礁化基礁（Pin Protection Key）、客戶密礁（Pin Key ）、金融卡磁修第三fl資料（幅虢或卡 虢Actno、密礁偏移值Ofset、密礁ig次數(shù)及卡片登礁Cac） 等，往往成懸有心者貌覦目檄，其可能使用手法及取得管道即大致 如下：一、金融械情資

19、言*中心人H （或HIT雉之重月簡摩商）利用雉系 統(tǒng)械曾藕取金融卡磁僚第三fl資料；或利用裝作金融卡密礁函 日寺取得客戶密礁（Pin）;或藕取密礁窗L礁化基礁或篡改程式符密 礁解密；或重新軌行裝作密礁函程式藕取密礁等。二、ATM端末Jt商雉修人員（或金融械情程式人員）非法藕改ATM 端末程式，客戶金融卡第三fl資料及密礁彳爰，俱造金融卡盜領(lǐng)客戶存款。三、管H罩位保管金融卡或密礁函之主管、辨整:守自盜。四、歹徒利用客戶提款日寺陽娛錄客戶金融卡磁僚瓷料及撮金融俞入之密 礁，或懣以裝作倡卡領(lǐng)客戶存款。五、歹徒利用存戶封iglt矜操作程序不熟悉或警！性不足，以扃 手法套取存戶密礁資料或依其指示符款項斡

20、出至其所 幅戶。茲列聚金融卡渠矜之舞弊案例，加分析明其作H如下：案例甲：89.11歹徒自市法日本曾彝生全球首件偏造假提款械盜領(lǐng)案 手法，藉 由坊得之提款械相零件及用以速接提款械 面板典陽恒錄金融卡內(nèi)礁之H卡械介面程式，合俱裝成XX 金艮行提款械，再趁不知情民冢於其偏冒提款械提款日寺，同日寺 陽娛錄金融卡密礁和磁僚資料，再攜!以輔金泰俱造金融卡，至他 行提款械領(lǐng) 27家金艮行客戶存款共600 MMo分析全案固 由於一般民冢普遍疏於辨ti提款械真偏，且 封於瓢法正常提 款日寺，多未警H鷹即日寺燮更密礁或通幸艮igJS金融械情查明原 因；另各金融械情即多僮注意其轄下各提款械械醴之安全防 措施，且封於

21、幸艮屢提款械之虞置金肖毀流程未殿加控管，亦 案彝生之主因。案例乙：92.2 XX金艮行資言*慮接貍臺北市警局大安分局通知，於他 行自勤服矜癌內(nèi)，截貍?cè)鹑诳ūI嫌犯，起出遭偏造之 行不同幅戶磁卡46晅 且已成功2,753千元；92.6有 客戶持三彳固拆自XX金艮行南勢角分行ATM上裝置陽暝條器之假 筵然向中和分局南勢角派出所幸艮案，損 失金額因部分疑遭仰 金條客戶瓢法取得聊1!而瓢法碓定；91.4、92.4及92.6各月 共有八家行局通幸艮所率害分行中有客戶存款遭歹徒於他 行持偏卡盜領(lǐng),損失金額即由30千元1,921千元不等，其 中或有一位向XX金艮行投！?損失100千元之客戶，曾於91.9

22、向同軍位投其金融卡資料遭領(lǐng) 250千元。各案分析， 其犯案手法或彳系向閾除偏卡集困瞞得之偏卡領(lǐng)得逞，或保 藉各槿手段U法取得存款戶幅戶資料及密礁彳爰裂作偏卡答 至於裂作偏卡所需資料來源及管道即可能源自金融械情內(nèi)部不肖作渠人員、1O簡雉商提供，或保趁民冢提款畤 以附加或曦藏之械具（假筵然、金十孔撮影械、磁僚陽暝條器等） 陽娛錄。另各金艮行封於金融卡密礁函相皆制資料之保管、筐裂、 樊送等作棠安全控管欠AO堇，或 未落1T封於行外瓢人自勤化 作渠展、委外裝填之提款施之定期（不定期）清查 檢測；未封存戶教育提款密礁正碓使用知ti （如注意燮更及 保管），致其存款再度遭到或有未落1T封於戶|g照 之查瞬

23、，致歹徒得以利用偏造身分ttlg立人H戶，或作懸斡 幅洗遇渡幅戶等，均可能肇致各案似情事持生。案例丙：言乍鳥扃集有閾稅局退稅款、SARS禱助款、中聿信H 信費溢收等款項可領(lǐng)，惟須利用提款械辨理輔幅存入，再利 用一般民冢不音音提款械操作流程且食小便宜心理，以msw tt遙控吉青民冢至提款械依其指示W(wǎng)J入輔幅幅虢、金額等交易 內(nèi)容，藉 由輔幅入戶方式分批符民冢幅戶內(nèi)存款斡出至歹徒 5S先立之人H戶，再予盜領(lǐng)一空。因歹徒不斷利用各槿款 XM名目鳥扃民冢上富，1T除受鳥扃事件及損失金額瓢法粽th 惟分析此案件歹徒盜得逞，除肇因於民冢不熟悉提款 械所提供功能及服矜內(nèi)容，且迤行輔幅交易畤ig信歹徒指 示，

24、致疏忽提款械螯幕上所K示之各項言*息外，各金融械情 或有未善翥教育客戶之羲矜，或未依規(guī)定於各提款械上弓IO占 或K示警示言*息提醒民冢，或有未落1T封於戶照之查 瞬，致歹徒得以利用偏造身分立人H戶，均保扃 10案件眉出不鱷主因。金融械情辨理金融卡H矜之防I6措施如下：一、窗L礁化U借、基礁及鷹用程式控制之管理懸雉乍H窗L礁系統(tǒng)正常建作，及碓保葡L礁化U借及作渠 之安全，鷹言丁定符合內(nèi)控原期之跨行HL礁系統(tǒng)安全控管辨法。 窗L礁化U借鷹使用硬H,且鷹每日列印使用言己金條查核。各XM基礁之建置或建更鷹有申言青核準(zhǔn)之善面系己金條，其基礁建置 彳爰鷹倩分或由安全控管人H封存。鷹避免以客戶同一身分it或

25、統(tǒng)一褊虢，作懸輔幅之控制基型（各 幅盧可自由輔幅），以防止歹徒偏造身分立另一幅戶， 盜領(lǐng)客戶存款。二、自勤檀倩及自勤化服矜癌之管理鷹依財政部所fg金融械情自勤槽員械安全防即及金 融械橫管渠埸所自勤化服矜1H箱管理辨法言丁定各XM自勤檀H 械之安全防措施30售1T軌行。自勤化1H箱之U置及裁撤鷹碓1T申幸艮主管封於幸艮座之自 勤化服矜U借，鷹殿格控管或金肖毀，或注意杜被重新裝之 可能性。鷹定期全面清查管渠埸所內(nèi)、外自勤化服矜械器及路有瓢附 加非法tHU,或系統(tǒng)內(nèi)有瓢安裝或爽帶非法程式截取客戶金融 卡磁僚資料及密礁。自勤化服矜U倩及贊給客戶之使用手冊典金融卡，均鷹言已載24 小日寺聊格軍位及重言舌

26、、昇常情形之虞理方法（如即刻於他臺 CD/ATM燮更密礁或通知所JS金融械情及必要日寺掛卜失止付等） 等，受理mr軍位鷹U簿言己金條控管或儒速追蹦慮理及回幸屋 ATM交易錄借重51鷹注意雉持清晰，日寺定鷹正碓，或 借有充分金條影帶俾供敕是期之交易金條裂及保存。自勤檀匙奧密礁鷹分由不同人umr保管，現(xiàn)金之裝 卸、清黑占宜由主管人n曾同迤行；商人n派n雉修或保餐自 S&WMfttgffi,提供身分it明文件，或全程整:督及留存雉 修系已金條借查，若有整軟I1或更換磁片畤鷹查明原因，磁碟械 嘉入口鷹由主管及辨共同封筵。三、金融卡、密礁函之裂作管理裂作自勤化服矜U借之金融卡、密礁函及建置跨行通

27、基礁等 作鷹留存稽核tn亦、分人辨理且符合奉制原即。金融卡（含密礁函）之裂作程序鷹符合奉制原即，裂卡埸所鷹 管制人n迤出於曙密安全霓，裂作卡數(shù)鷹殿格控管，裂卡 械器密礁、ir匙、裂卡磁片之使用及保管鷹符合奉制原即，裂 卡械使用狀況鷹予系己金條或作遹?？毓?。裝卡罩位樊送至管n軍位之金融卡及密礁函，鷹分寄送或追 雕其收迄回修，以碓ts管n罩位碓已分別收妥?？瞻捉鹑诳棿娣澎栋踩睾谡迹漕I(lǐng)用保管鷹殿予控管，或 定期、不定期施坐黑占；作座之金融卡鷹碓辨理金肖毀，留置 於CD/ATM金融卡鷹碓登金條或寄回原罩位，掛卜失卡片鷹碓登 金條。四、客戶投及相幅矜慮理之管理封客戶投其存款繪額有疑遭盜領(lǐng)之累常狀

28、況，鷹建立通幸艮械 制及慮置措施，或予以追查原因；封於碓定保JS金融卡被偏 造盜事件，鷹依規(guī)定於二日內(nèi)符ig幅戶相皆制ATM交易資料送 財金資言*公司查查碓H彳爰30”甫足客戶被盜領(lǐng)款XM及依 規(guī)定通幸艮。閾內(nèi)金融卡、閾除金融卡、閾除信用卡、閾內(nèi)信用卡典相清 算之清算基金幅矜鷹相等，如不符鷹即查明原因或慮理。 自勤檀UftP甫tM乍棠如保委外辨理者，其金額交付受！£械 1 12橫日寺，鷹有妥遹之余已金條以明IT任，之金額及勤矜安排鷹 有效掌握，且鷹有禱tH售IS之械制；自勤槽具械之繪款鷹碓1T 隆回指定幅戶，自勤檀具械昊常狀況鷹立即查明及虞理，或隨 日寺清查掛卜幅彳爰久未虞理者。肆、

29、信用卡、現(xiàn)金卡棠矜作棠凰除及防靶措施近年來信用卡上交易量逐年暴增，原傅統(tǒng)持卡人到Hi!商店 刷卡消費之行懸模式，漸被持卡人藉由上余周輸入信用卡卡虢、有效 年月、使用者身分ID等資料，由路到店家的站瞞物， 再由商家停送授木整/清算中心要求付款清算，或由消費者使用 金融械橫所推出事供路瞞物消費之虛sm言用卡（一卡之 信用卡虢碣），於路上向余周路特商店瞞物之交易模式所取 代，致其作H凰已由傅統(tǒng)Hi1防偏械制（、磁修基本資料、 筵名、照片等）醇燮懸消費者上登金條彳固人基本資料（姓名、地址、 耳哉H、霜言舌、信用卡虢或者青款幅虢等），而涉及rnrti可供辨言忍所 衍生之一、歹徒以冒名方式申言青系周路信用

30、卡。二、患亥客利用路技彳行入侵贊卡金艮行資料Jt或侵入余周路服矜公 司（ISP）管理信用卡之伺服器，藕取路幅虢、密礁及卡 虢。三、歹徒（或持卡人）路特商店勾余吉假消費真言乍時。四、路商店人H利用持卡人於路消費日寺所WJ入幅虢、卡虢等資 料上冒用。五、彝 卡金艮行之1O豺周路工程白市或雉修工程白市利用雉系統(tǒng)日寺伺械 藕取持卡人資料槽案或偏冒消費。另封於現(xiàn)金卡渠矜，其申言青程序典資料安全管制同信用卡渠 <:核卡彳爰卡片及密礁函之裂作、寄彝典作渠安全械制即典金融卡H矜（f!參前述金融卡作渠防I6措施）雷同，不再督述。茲列聚 有信用卡弊案及作渠缺失如下：案例甲：87.8歹徒集困以他人身分及偏造時

31、崖資料冒名申言青信用 卡彳爰出售或瞞物輔售圈利。分析集困主要彳系利用金融械 橫（或委外之招撰渠矜械橫）辨懸爭取客源，未依規(guī)定辨 理徵信典I1查，浮濫樊卡；或封於信用卡申吉青人身分it件及 相財力明，未落1T核瞬或迤一步徵信查是否JSH ,即 遙準(zhǔn)予核卡；馨易取得卡片盜刷得逞。案例乙：87.7歹徒勾余吉特余勺商店店H,趁持卡人不注意，於5S先裝 置之金條礁械刷卡，藕取內(nèi)礁裝作偏卡；87.8歹徒偏冒同困法 人耳箭合信用卡虞理中心雉修人H身分，以雉修名羲至商店旅 修刷卡日寺，趁 械以所揣陽娛錄1H莆盜取商店端末械內(nèi)客戶刷 卡資料，再利用內(nèi)礁裝作偏卡。二案或由於收罩金艮行封於特 余勺商店之管理，因同H

32、兢事激烈及缺乏自律，致特 商店品ST良莠不膂；或由於特余勺商店店H普遍封於刷卡U借 之安全防缺乏警！意ti,任由歹徒以陽娛錄1H莆盜取信用卡 磁修內(nèi)礁資料，加上歹徒集困以黑可置L真之偏卡裝作技彳行， 均醇致信用卡作渠中主要之安全防偏械制不再。案例丙：90.1 XX金艮行行員利用之便，由行重月面系統(tǒng)中查H 客戶資料，再以傅真方式波漏給歹徒懣以裝作偏卡。本案保 因金融械橫封於中心（或信用卡部叩、客服中心）人H 查I1客戶基本資料之作渠木整限未予殿格控管，致不肖H工懸 食圈私利，符客戶基本資料外波給歹徒。案例?。?91年初歹徒利用中聿ill信公司1O舌遙控指定斡接服矜， 擅符XX金艮行信用卡中心典客

33、戶服矜僖真斡接至其 住家中，不定畤截持卡人信用卡虢等彳固人資料，再上 刷瞞物。本案彝生原因在於中聿信公司之H言舌遙控指定14斡接H矜申吉青，不需善面申言青，及瓢身分碓ts程序，且不 需在原申之1O舌械上即可操作U定輔接，整醴作棠手IH隹以服矜便民懸侵先，惟歹徒有械可乘冒名申言青，再利 用重言舌斡接之功能，符持卡人奧贊卡械情之通信（言吾音或停 真之卡虢、卡片有效期限）以斡接方式截，再持所截之 資料於重月豺周路上迤行瞞物消費，造成相者損失。粽上，烈麋整金融械情辨理信用卡及現(xiàn)金卡H矜之防I6措施如下： 一、委外作渠管理商筵言丁委外虞理或雉合余勺，合中除田載明商之 羲矜及JT任I6圉外，鷹U勺定受tf

34、fi械情同意配合財政部或財政部 所委之遹富械橫及金艮行內(nèi)外部人H迤行檢查或稽核，及提供 相資料及幸艮告，受tffi械情及員工鷹出具不漠漏金艮行及金艮行客 戶等相皆制資料之文件，於遑反上述定日寺?lián)p害任。 二、資言孔作渠管理申言青核卡虞理作渠之重月面參數(shù)及授鷹定期橫言寸fH古加作 遹富I1整；逾越參數(shù)值主管核準(zhǔn)，或於事彳爰整批列印供核 準(zhǔn)之主管核封勾稽，且均鷹符合金融械情之管理政策。 三、裂卡、密礁函及卡片管理空白卡片探H、Jt存管理、裂作遇程鷹符合內(nèi)部奉制原即， U簿登言已控管且鷹不定期辨理坐黑占，防止空白卡片流出。 申言青裂卡之善面資料，鷹妥善保存，避免申言青人資料外漠， WJ入重月面資料需有

35、覆核人H覆核，以免因資料ms,影警客 戶K益。H月面裝卡槽之崖生、使用或金肖毀，鷹有完整之保措施，避 免遭人藕取。裝卡埸所鷹殿禁非相人H迤出，加裝置金錄影錄影留存 余已金條借查。裝卡相耗材存量、金肖毀程序等控制鷹逵到作渠不中斷 言*不外流之原即。鷹建立卡片寄送彳爰追雕管理械制，碓?？ㄆ砸阉湾涌蛻簟?密礁函之印裂、寄送鷹注意安全及奉制原即。四、客戶服矜及管理客戶卡片掛卜失鷹即日寺WJ入重月簡，或告知客戶相皆斷整益事項。 鷹建立客戶申冏題慮理之追雕控管械制，妥懸慮理客戶 申之相冏題。五、收軍行作渠管理特商店械器安裝、拆卸均相主管核準(zhǔn)，或有控管之 重月面槽案定期勾稽核封。特店一碓IS,除鷹立即安排

36、拆械外，或由主管視情 況作外部之通幸艮。伍、H者舌言吾音及行勤金艮行棠矜作棠凰除及防靶措施目前金融械情透遇H言舌言吾音系統(tǒng)所提供金融服矜，大致包括存 款繪額查II、斡幅、掛卜失、通知、傅真、費用代繳等，因交易日寺僮 懣客戶WJ入音吾音密礁作身分辨言忍，安全械制相封敕金融卡交易來得 薄弱，作渠安全防亦相封困it其可能之犯案管道及作H 蒐集整理大致如下：1O舌音吾音系統(tǒng)商雉人員（或金融械情程式人員）非法鼠改言吾 音系統(tǒng)程式，言己金條含言吾音密礁之交易言*息或藉械拷裂，再利 用言吾音輔幅答輔存款（部分金融械橫提供小額非余勺定幅戶之跨行 輔幅服矜）。霜言舌言吾音系統(tǒng)之交易言*息（含言吾音密礁）透遇重言

37、舌通言*系統(tǒng)停遮 日寺均懸明礁，雖隹多以干援音加密惟破解容易，歹徒可藉ftmssig 言舌通言孔內(nèi)容截取交易言*息彳爰或加以破解，取得存戶幅虢及密礁 彳爰，再予以答輔存款。歹徒利用金融械情封於同一人於其不同分支罩位申立同一 槿之存款幅戶及各幅盧吾音服矜功能日寺，系統(tǒng)多彳系以id作 控管基型，可不余勺定，各 幅戶即可互輔且瓢交易限額的控制 漏洞，於 偏冒立新幅戶彳爰即申to吾音輔幅功能，以遂行其 盜領(lǐng)原存戶其他幅戶存款之目的。歹徒（或金融械情入H）利用金融械情重言舌言吾音系統(tǒng)定言吾音密 礁之初始值（“ 0 0 0 0 ”或出生日期）之漏洞，於客戶尚未辨 理密礁燮更前冒名先行燮更，迤而盜領(lǐng)客戶幅戶

38、之存款。茲列聚有皆制10舌音吾音H矜弊案及作渠缺失如下：案例甲：89.8、91.6、91.11及92.3有四家金艮行之部分存戶（彳固人 戶、公司戶）之存款，遭歹徒持相同客戶（彳固人戶、公司戶） 統(tǒng)一褊虢之照，於各行之其他聊行偏冒立新幅戶，再 利用H言舌言吾音輔幅系統(tǒng)封於同盧 （同一統(tǒng)一褊虢）輔幅不 艮之程式漏洞，分別以言吾音輔領(lǐng)原存戶存款334 千元7,190千元不等。分析余吉果，各金融械情作渠缺失大 致如下：1 .金融械情受理存戶立第二存款幅戶日寺，未碓1T依規(guī)定向 原第一 戶行照曾，或雖隹向耳箭行相皆制1§戶資料，惟未 碓1T核封其戶身分it影本、肇品亦、印II是否典原存行相 符，以碓IS客戶身分。2 .金融械械辨理音吾音輔幅以之客戶ID懸控管基型，同一人不 同幅盧言吾音輔幅可不必定即可互奉機致有XX金艮行客戶 於行承德分行原立幅戶或未定懸可輔出幅戶，惟仍 遭盜輔至中墟分行假幅戶，遭法院判決行3 .部分金融械情n言舌音吾音系統(tǒng)封言吾音密礁之初始值值“ o o o o ”，雖隹多規(guī)定首次使用io舌音吾音功能須辨理 密礁燮更，惟仍可陶檀透遇交易辨理言吾音服