金融犯罪形式又有新花样。12月17日,上海市公安局官方微信通报一起案件,犯罪嫌疑人利用银行APP安全漏洞,使用技术软件成倍放大定期存单金
金融犯罪形式又有“新花样”。12月17日,上海市公安局官方微信通报一起案件,犯罪嫌疑人利用银行APP安全漏洞,使用技术软件成倍放大定期存单金额,从中非法获利2800余万元。目前6名犯罪嫌疑人已经被依法刑事拘留。
使用技术软件成倍放大存款金额
根据上海市公安局通报,近日,上海公安机关成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。
11月26日,上海市松江区某银行工作人员向警方报案称,该行所属的一个账户发生多笔异常交易,造成银行巨额经济损失。12月6日,上海警方将涉案的主要犯罪嫌疑人马某以及另外3名犯罪嫌疑人抓获,并当场查获了5套作案工具、现金200余万元,以及大量豪车、名表、奢侈品。
据警方初步查证,马某利用“黑客”技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,藉此获得质押贷款,累计非法获利2800余万元。
为了在套现过程中躲避侦查和监管,马某将非法获利的账户存款余额,在某网络直播平台上全部购成点数卡,再折价卖给其他用户。非法获利后,马某大肆挥霍,购买了大量的豪车、名表、奢侈品。
除了直接作案的马某之外,涉案嫌疑人还包括非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某。目前,警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复,案件正在进一步侦查中。
嫌疑人利用银行APP安全漏洞 借用他人存单办理质押贷款
在此案中,犯罪嫌疑人马某是利用了银行APP中质押贷款业务的安全漏洞,借用他人存单办理了存单质押贷款。警方通报未指明是何漏洞,但很大概率是与贷款审核流程有关。
个人质押贷款是借款人以本人或他人的银行存单、国债、保险单、银行理财产品等出质,向银行申请取得的贷款。其中,以未到期的个人定期存单作质押,即为存单质押贷款。根据原中国银监会2007年公布的《个人定期存单质押贷款办法》(下称《办法》),存单质押贷款金额原则上不超过存单本金的90%,各行也可以根据存单质押担保的范围合理确定贷款金额,但要求存单金额应能覆盖贷款本息。也就是说,存单金额越大,所能申请到的贷款金额越大。这也是马某放大存单金额的原因。
借款人可以用本人名下存单质押,也可以用第三人存单作为质押。《办法》规定,借款人以本人名下定期存单作质押的小额贷款,存单开户银行可授权办理储蓄业务的营业网点直接受理并发放。以第三人存单作质押的,贷款人应制定严格的内部程序,认真审查存单的真实性、合法性和有效性,防止发生权利瑕疵的情形。
在借款流程方面,各家银行均有一系列审核步骤,例如要求借款人出示借款人、出质人有效身份证件原件。新京报记者咨询中国银行(3.610,0.00,0.00%)客服后得知,申请人持非本人名下存单申请质押贷款,只能去网点柜台办理,并且须出示存单所有人有效身份证原件和存单所有人同意质押的书面文件。在中国银行手机APP上,只能使用本人银行账户关联的存单申请个人存单质押贷款,不能用第三人名下存单申请。
上海警方通报中没有指明马某的贷款方式,如若马某能够盗取到其他储户的账户信息,很有可能直接使用这一被盗用的储户身份同时作为借款人和出质人去申请贷款,而不是自己作为借款人、以第三方储户作为出质人,这样贷款也在第三方储户名下,而不是在马某自己名下。
线上贷款业务银行较谨慎 警方:应不断提升系统安防等级
某国有行贷款业务员对记者表示,犯罪嫌疑人有可能拿到了储户的手机银行账号和密码,但是他如何通过手机验证码这一关则不得而知。一般手机银行APP第一次登录新的账号都需要手机验证码,另外在贷款过程中也需要手机验证码,除非嫌疑人还有类似于虚拟手机号短信接收的技术,否则很难通过这一关。“但也有可能是某些银行在APP上的流程简化了。”
目前银行对于线上贷款业务比较谨慎,一般银行不会将所有贷款业务都放到手机银行APP上。某股份制银行业务员对新京报记者表示:“线上的贷款我们其实很谨慎,因为线下完全没接触,很容易对借款人的情况不了解,万一有问题催收去哪找人都不知道”。
对于可能的信息泄露风险,银行尽量采取各种方式杜绝,例如通过手机短信验证码的方式。手机银行账户是直接在开卡的时候开通的,开卡过程中已经检验过身份信息,同时将手机银行账户绑定储户的手机型号及手机号码,在贷款过程中会有要求填写手机短信验证码的步骤,并且尽量缩短短信验证码的有效时间。另外,还有部分银行在手机银行APP中使用了刷脸识别等技术,也是为了增加安全性。
上海市公安局提示,银行金融机构应不断提升系统安防等级,更新安防措施,抵御各类不法入侵,自觉维护金融秩序和储户安全。广大群众也要强化自我保护意识,在运用互联网时应当注意保护个人隐私,防止个人信息被不法分子盗取。