银行业信息科技风险监管培训之电子银行监管课件PPT文件格式下载.ppt
《银行业信息科技风险监管培训之电子银行监管课件PPT文件格式下载.ppt》由会员分享,可在线阅读,更多相关《银行业信息科技风险监管培训之电子银行监管课件PPT文件格式下载.ppt(47页珍藏版)》请在冰豆网上搜索。
欺诈电邮连接伪冒网站6个案个案2:
2:
伪冒网站的登入网页伪冒网站的登入网页所显示的网站地址:
http:
/真实的网站地址:
/211.239.150.170/login/login.htm伪冒网站显示正确的银行网站地址伪装扣锁伪冒证书7个案个案33:
特洛伊木马程序:
特洛伊木马程序真实个案真实个案-三井住友银行三井住友银行日期日期:
2005年3月计划利用特洛伊木马程序从三井住友银行计划利用特洛伊木马程序从三井住友银行伦敦分行盗取伦敦分行盗取22亿亿22千万镑千万镑(超过超过3434亿港元亿港元)诈骗手法诈骗手法:
F犯罪集团利用特洛伊木马程序来套取用户所按过的键,以窃取其登入姓名和密码F意图将2亿2千万镑转账于10个以色列户口。
银行职员察觉可疑交易后报警,以色列警方逮捕其中一个疑犯F怀疑银行内部有职员协助犯罪集团安装特洛伊木马程序或由黑客将特洛伊木马程序从外面安装到银行网络8个案个案3:
特洛伊木马程序特洛伊木马程序互联网互联网特洛伊木马特洛伊木马程序程序计算机窃贼计算机窃贼透过互联网把特透过互联网把特洛伊木马洛伊木马(如按键如按键录取程序、荧幕录录取程序、荧幕录取程序取程序)植入受害人植入受害人的个人计算机内的个人计算机内连接网上连接网上银行网站银行网站受害人受害人特洛伊木马特洛伊木马已安装特洛伊木马,但受害人全然不知按键录取程序或荧幕录取程序按键录取程序或荧幕录取程序记下受害人的密码登入姓名记下受害人的密码登入姓名9个案个案3:
特洛伊木马程序互联网互联网ABC网上银行服务网上银行服务ABC银行银行计算机窃贼计算机窃贼计算机窃贼登入受害人登入受害人的账户的账户电子银行交易电子银行交易受害人的银行账户受害人的银行账户计算机窃贼的银行账计算机窃贼的银行账户户電腦竊賊10个案个案4:
4:
十万网上户口资料被窃取十万网上户口资料被窃取11个案个案5:
修改修改”host”档案连结到伪冒网站档案连结到伪冒网站于二零零四年十一月攻击三间巴西银行-Caixa,Unibanco和Bradesco特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案受害者输入正确的银行网站地址但连结到伪冒的网站用户输入正确的银行网站地址Internet(IP)addressoffakewebsite以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址使用者连结到伪冒网站12个案个案66:
网上交易系统诈骗事件:
网上交易系统诈骗事件真实个案真实个案-E-TradeSecurities-E-TradeSecurities与与TDWaterhouseTDWaterhouse日期日期:
2006年10月电脑窃贼入侵E-TradeSecurities与TDWaterhouse客人户口,并利用抬高股价,趁高出货(pump-and-dump)的手法导致2千2百万美元损失诈骗手法诈骗手法:
F东欧及亚洲的黑客利用特洛伊木马程序于受害者的电脑中安装键盘侧录程序,并于受害者登入账户时盗取其资料F黑客接着以受害者的户口买入一些冷门股,炒高股价后再沽出黑客先前买下的股票套利FE-Trade与TDWaterhouse合共花费2千2百万美元以补偿客户的损失13个案个案7:
MarketScoreproxy服务服务声称可以增加互联网的联机速度及得到使用者的同意搜集其数据以“中间人”技术于proxy服务器解读经SSL加密的敏感信息(例如密码)proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据银行的电子证书加密Proxy服务器与银行之间传送的数据14个案个案8:
中间人技术中间人技术黑客黑客客户进行网上银行户口转帐客户进行网上银行户口转帐入账户口入账户口:
123456-111金额金额:
$100银行系统确认交易信息银行系统确认交易信息入账户口入账户口:
987656-222金额金额:
$9000黑客中途拦截网银交易信息,更改交黑客中途拦截网银交易信息,更改交易指令易指令入账户口入账户口:
123456-111987656-222金额金额:
$100$9000黑客中途拦截及更改银行系黑客中途拦截及更改银行系统确认交易信息,使银行客统确认交易信息,使银行客户不察觉交易指令已被更改户不察觉交易指令已被更改入账户口入账户口:
987656-222123456-111金额金额:
$9000$100银行客户银行客户银行计算机银行计算机系统系统15个案个案9:
9:
美国信用咭资料外泄事件美国信用咭资料外泄事件一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料,而该类资料更可被用作欺诈性的交易。
原因:
违反信息保安标准敏感的持咭人数据于完成授权过程后错误地保留在处理中心没有将资料加密,作为特殊的商业,法律及监管用途保安管理不足以防止黑客入侵约12,000张由香港银行所发出的信用咭受影响香港的持咭人没有金钱上的损失16美国Visa及MasterCard的交易流程17事件引起的回响事件引起的回响事件指出以下项目的重要性对外判的服务供货商,特别是信息保安,应有充分的管理制订有效的评估去防止日益增加的黑客入侵风险制订有效的政策及程序,去保护,贮存及加密客人的数据金管局的评估/行动信息科技外判,网上银行的监察及科技风险管理的指引要求各银行再次评估其对于客户数据保安,贮存及保密的内部及外判活动的充分性及有效性监管控制自我评估及现场审查计划18个案个案10:
10:
美国美国TJXTJX公司公司45004500万顾客资料被盗窃万顾客资料被盗窃全球零售业巨头TJX公司于2007年3月承认,在过去一年半时间内,公司的系统遭到黑客多次侵袭,导致超过4500万的顾客之信用卡资料被盗去。
相信黑客是利用TJX无线网络(W-Fi)的保安不足,通过连接无线电接收器的手提电脑,偷偷窥察TJX网络的敏感数据(如网络登入名称及密码),然后侵入TJX的系统盗取顾客数据。
部份的顾客信用卡资料更被放上互联网公开发售,每张信用卡的资料为$20至$100美元(视乎信用卡的信用额)。
相信部分的信用卡已被用作欺诈性的交易。
估计TJX公司的损失达10亿美元(包括律师费用、赔偿等)。
1913Wi-Fi无线网络信用卡资料2公司公司总总部部零售分店零售分店美国TJX公司顾客资料盗窃手提式价格查阅机分店计算机系统黑客黑客20个案个案11:
11:
电脑蠕虫电脑蠕虫/病毒攻击病毒攻击SQLSlammerSQLSlammer2003年1月,快速蔓延的“SQLSlammer”蠕虫病毒感染大量企业与政府电脑,部份几乎陷于瘫痪蠕虫病毒透过SQLServer2000的安全漏洞入侵服务器并开始扩散,导致网络流量大幅增加破坏程度极高,亚洲,欧洲及美国的网络皆受到不同程度的攻击,部份网上服务因而速度减慢甚至中断蠕虫病毒攻击更令美国银行(BankofAmerica)的客户因技术故障而不能从13,000部自动提款机中提款21挑战与风险挑战与风险22电子银行风险与技术风险电子银行风险与技术风险使用互联网作为新型的银行服务渠道将在某种程度上改变银行的风险形态,并且对银行的风险控制提出新的挑战与电子银行相关的基本风险类型可能没有大的变化,但风险产生的具体方式,以及潜在风险规模和对银行的影响速度,对于银行管理和银行监管提出新的课题除了战略风险外,操作风险、技术风险、信誉风险、法律风险,信用与资产流动性风险都需要考虑23操作风险操作风险增加了保安事故、服务中断或操作失误的可能性:
电子银行网络的开放性用户的自助操作和电子银行设备(如个人电脑)常常超出了银行的控制范围是对多种技术、系统和多边操作的整合很容易可在互联网上找寻到有关系统上的保安漏洞数据操作上的漏洞也可能被不法之徒利用24信信誉和法律风险誉和法律风险
(1)
(1)大众媒体喜欢炒作“有关网上银行问题”信任难于获得但易于失去保安事故可能演化为信誉,甚至法律问题:
当银行不能充分保护本机构的系统,并且不能向客户提供恰当的保安建议客户错误地将保密信息传送给与银行官方网站域名相似的可疑网站25信信誉和法律风险誉和法律风险
(2)
(2)电子银行用户期望较高很难容忍低效率或不能使用的系统(例如:
网上股票交易),即使不属于银行的控制管理范围投诉的原因可能是上网经验不足,错误使用或错误理解网上银行功能,以及其它技术性原因不充分的信息披露个人资料隐私问题(由于银行能透过电子银行服务获取很多客户资料)透过超链结方法所连系到由第三方提供的服务26信信誉和法律风险誉和法律风险(3)(3)法律问题由于互联网及全球,因此网上银行业务需要符合境外的法律和监管要求(如:
信息披露要求)与电子银行用户无法进行面对面交流,需要防范洗钱等行为银行无法充分确认新推出的电子银行服务所可能涉及的法律问题27其它风险其它风险电子银行的基本业务(如贷款、交易等)可能引发其它风险:
例如:
电子银行允许大额资金的网上实时划转,可能增加资金流动性风险电子银行客户关系的远程性和短期性,以及因竞争压力而降低信贷标准,可能增加信用风险28香港网上银行诈骗香港网上银行诈骗香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗,之后个案数目才减少,但近年又有上升的趋势:
于2004年9月发生第一宗有金钱损失的个案26名受害人共损失140万港元2003年-8宗2004年-34宗2005年-25宗2006年-17宗2007年-27宗欺诈电邮和伪冒网站个案数目29香港金管局的监管要求香港金管局的监管要求30董事会董事会/高级管理层监督高级管理层监督控制措施控制措施建立专责委员会对主要电子银行业务进行评估在开发新的电子银行服务之前,制定有正式的业务战略对电子银行业务制定风险管理政策和规程促进“安全文化”建设由可靠的独立专家对新的电子银行业务实施独立评估31董事会董事会/高级管理层监督高级管理层监督观察到的问题观察到的问题现场检查过程中发现的问题:
现场检查过程中发现的问题:
高级管理层对电子银行业务监督不足(如:
缺乏正式的督导委员会)对新的和经过重大升级的电子银行业务缺少独立性评估缺乏全面的互联网安全控制措施(如:
防火墙和隔离区网络的设置)32关键的技术风险控制措施关键的技术风险控制措施风险控制要求风险控制要求实施严格身份认证身份认证措施(如:
双重身份认证)以识别电子银行客户对敏感信息实施加密加密在传输过程中,对敏感信息实施强“端对端对端端”加密加密实施全面有效的输入参数输入参数值值验证验证建立保安严谨的互联网基础建设保安严谨的互联网基础建设对电子银行系统和互联网设备实施持续性持续性监测监测33关键的技术风险控制措施关键的技术风险控制措施风险控制要求(续)风险控制要求(续)建立正式的事故应变和管理机制对电子银行业务实施有效的业务持续性规划对电子银行系统实施容量规划和性能监测对外部电子银行服务供应商实施尽职调查34关键的技术风险控制措施关键的技术风险控制措施观察到的问题观察到的问题(
升级会员 