(电子行业企业管理)电子银行业务作业风险及防范措施

1、雷子金艮行棠矜作棠闽除及防靶措施壹、概述饕於逋来各金融械情所辨各项重子金艮行相（如：余周路金艮 行、金融卡、信用卡、现金卡、H言舌言吾音、行勤金艮行等），多有因 棠者本身封於各项棠矜之作渠安全控管有欠堇，或由於客户缺乏 基本安全概念，渠者亦未善翥提醒奥教育之JT ,肇致金融械情客户 之存款遭歹徒扃盗领之彳固案傅，不僮损及存款大冢封於金融安 定信心，亦造成金融械情莫大商警及管渠损失。悬雉各金融械情 辨理雷子金艮行交易之作棠安全，爰蒐集整理各金融械横近年来辨理 前述各项作棠日寺所彝生之言乍欺舞弊案件，加研SIxm作棠允宜加弓金 注意之事项,供各金融械横作悬辨理上述棠矜之参考。兹就各 矜之作H及防I

2、6措施分述如次：虱、余罔路金艮行棠矜作棠凰除及防靶措施余周路金艮行因保客户利用彳固人10简，藉由懑it IS it械情所核彝之 霜子懑IS,透遇路建至金融械横之站迤行交易，因此其 作H主要来自於三方面：客户端作MH登之保管及使用、金融 械横端#莆典系统之安全防交易息由路傅WJ遇 程是否遭受外来患亥客之干援或截SI；另由於路金艮行交易遇程中均 虑於放璟境之系统架横，致可能随日寺遭遇来自金融械横内部/外 部之斓典挑戟。粽上所述，路金艮行作渠安全之可能如下：主械Hi1安全之漏洞，如：资言*械房叩禁管制欠佳、WJ出入tHU 及通言借管制欠妥、5S留遇多未管制之外接埠、幸艮表及磁性 媒醴管制欠妥等，醇致

3、主械遭破壤、系统遭入侵、防火精被 Hi!速余吉路被改建，作渠人H或客户资料遭藕取等。作渠系统或系统软醴漏洞，如：未定期修祷系统程式或未及日寺提开版本、未 描描昊常更新或之系统槽案、未U妥重月面病毒防 I6措施、系 统安控参数U定不完整，致 使患亥客利用显溢出漏 洞、植入木焉程式取得特使用者密礁或爽带植入霜月面病毒以H 痪主械及防火精系统，或 爽带木焉程式迤行资料藕取及破壤，或 利用系统安控U定不周延以迤行资料藕取及破壤。路系统安全及管理有缺失，如：未料Jt查I!参数遇 滤器(Query Parameter Filter )及介面查t1程式遇滤器(CGI Program Filter ),醇致患

4、亥客利用H料I®礁攻擎(SQL Injection ) 交带程式藕取资料资料；封於资料Jt未U定遹常之存取限， 未建立堇之路金艮行所有程式及余周直之换版程序；或委外 雉之系统遭HU商程式人员爽带程式不富K示资料原始 碣，造成资料外波；任意下载系统漏洞修祷程式而遭入侵； 路金艮行主械、防火精、»料Jt主械及中心主械所形成之路奥金艮 行内部路(Intranet) 未作癌隔，醇致歹徒利用5S先曦藏特定 K或功能，入侵中心主械存取资料。封槽案H料存取控制定欠佳，如：封使用者H料槽未言丁定系统 安全管理烷I6、未限制使用槽案修改工具、W矜分工不富或未落 W,遑 反奉制原即，醇 致歹徒

5、或金融械情内部人员藕取未曙藏之 使用者资料槽，加探用字典攻擎法推测出使用者密礁，迤而篡改 资料Jt或槽案内容。资料傅WJ遇程安全性欠佳，如：余周路金艮行主械典中心主械资料 之停送未加密，醇致歹徒或金融械情内部人H藕取以明礁方式停 送於路金艮行主械及中心主之客户路金艮行交易密礁，或篡 改辅幅交易资料封包。不安 全的速余吉黑占遇 多，如：internet/ extranet /modems 未It禁 放主械接接功能；未建置防火精、未言丁定系统安全策略、未利 用址辅换(NAT)技彳行曙藏内部端/服矜主械之IP位址；未J8禁透遇Internet 速雉主械资料；未利用防火精反扃及 反攻擎(Anti-sp

6、oofing/Anti-attack)技彳行防止各槿入侵手段；未利用路捕瞄(INTERSCAN)等路侦测工具程式描描巽常系周 段，醇致歹徒、金融械情内部人H或患亥客透遇接接直接迤入主械 或利用雉主械系统之特定余周直，迤入主械修改资料及放不必 要的服矜功能。内部及外部人H控管欠佳，如：未®丁公司/H工路公余勺、未 碓有效整:督商人系统、未典商洽言丁保密契系勺、未建 立内部安全措施，致 入侵者符IP、防火精烧郎(Firewall Rule ) 等重要资料拷K至储存媒醴或印成余氏弓H揣出辨公室、或利用 e-mail、ftp、http 符资料利用接接方式!遇防火黯f傅送，以攻 擎金艮行内部主

7、械。路金艮行棠矜申辩作渠流程欠佳，如：檀台整醴作渠流程未符奉 制原即，中心崖裂及核彝雷子懑it、勒H、密礁函不符奉制及械 密性，致客户资料、霜子懑it、勒H、密礁函遭藕取；封重要重 子懑基礁及密礁保管不富，致行员藉以藕取客户资料、重要 霜子登、基礁、勒I!及密礁以优事不法。欠缺良好的稽核制度，如：未建立警及稽核通幸艮制度、未利用 入侵侦测系统(IDS)防It及检测；未符通遇防火精之来源端及 目的端主械IP位址、来源通言汽埠褊虢、目的地通言*埠褊虢、通 言孔曲定、登 入登出日寺爵 存 取日寺以及所探取的行勤碓己金条留 存或覆核，致入侵者删除Log槽，以湮滋其入侵之事1T。客户端冏题，如：客户符t

8、Sit磁片随意放置，致遭歹徒盗用 迤而领存款；客户本身利用重子金艮行迤行非法之洗活勤；客 户使用雷子金艮行前或未充分瞭解各XO整利羲矜及操作方式，醇致 益受损；不肖人士仿冒金艮行站，藉以鸟扃取客户基本资料，损 及金融械情商警。兹列聚余周路金艮行H矜之舞弊案例及分析明其作渠缺失如下： 案例甲：91.4 歹徒在媒醴刊登If告以徵求彩券金肖商加盟店需缴 交保瞪金（金额不等）50离元受鸟扃民冢至XX 金艮行立幅户，存入曼方事先定金额,或申吾音及余周 路金艮行服矜，嗣彳爰歹徒以查I1各受鸟扃民冢是否依存入 保金悬由，鸟扃取其言吾音密礁，揖先使用言吾音密礁登入 路金艮行系统下载受害人之重子懑it,或随即透

9、遇路金艮行 辅幅功能，分别盗辅各受害人之存款400千元、500千元、 800千元。本案歹徒保利用客户於申IB周路金艮行H矜功能 彳爰，未及於燮更密礁，加上至懑it核彝械横（台？周路 tSiS公司）申吉青下戴霜子登之空窗期，套取客户密 礁彳爰，揖先登金条下载重子懑it再予领存款所致。案例乙：歹徒利用工程白市身分，90.3 趁XX金艮行辨理定存系 统雉暂符客户交易失败之幅虢、密礁存於系统交易失 MBMB （LOG FILE）之除，藉口雉系统，遥符前述槽 案擅以外挂卜程式反推盗知客户券路下罩之幅虢及密 礁，再冒名上迤行交易，造成行471千元之损失。盔 分析余吉果，主要保ig行资言*军位封路下军系统之

10、新槿渠 矜不别熟稔，且遇度信赖商封於igxM系统安全防 械制之保it典作H雉,未於软H彝展遇程中提出契合於 行之系统安全规格需求，上彳爰亦未比照主械系统作渠 J8格控管，致歹徒得以藉雉系统械曾，以外挂卜程式入侵 作渠系统，再以所盗取之客户幅户及密礁资料，冒名迤行 余周路下罩交易，趁械出脱手中持股所致。粽上，帚纳金融械情辨理路金艮行防I6措施如下： 一、余周路金艮行资言借安全管理tg子辅幅、交易性指示等金融交易言*息或雷子文件傅输，weIS符合来源辨性、言*息曦密性、完整性、不可重性、不可 否ts傅息等uth鹰用程式鹰避免崖生显溢位系 统漏洞，以免遭人利用爽带不常指令藕取资料。雨道（Gatewa

11、y ）系统建置或燮更通言孔等辅换内容，鹰建立符合 内控原期之控管程序；封昇常迤出雨道之事件鹰留存余己金条借 查；封重大巽常状况鹰建立警示械制及追雕管理措施。封提供客户使用之软H、密礁或其他有层制资料，其提供、敬用、 或更新之程序鹰符合内控原即。封雉客户资料（含密礁）曦密性鹰妥悬Uth尤鹰注意保密 性，密礁鹰以葡L礁化方式It存。资言孔部叩 mO周路金艮行资言*系统软、硬UtH莆雉之耳哉矜鹰有 遹富分工，其建置奥建更鹰妥善控管，或留存可供追雕查核之 稽核亦。重月面械房叩禁鹰加弓金，涉及储存客户资料之莆鹰J8加控管。 有私密金it、登资料或窗L礁基礁及各XM相层办善密性资料， 於崖生、燮更、存日寺

12、鹰加弓金控管及符合内控原即；金编晨度 鹰符合主管之规定。封聊外站典内部路或1O面系统之路彳圣鹰加以控管；封未 防火精之逮端存取鹰予遇滤及管制；封未授或遑烧之累 常存取或迤出站情形，鹰UtHjI测、警示及追雕之械制，加 U有防IO罔K遭鼠改之控管措施。二、系统可用性管理鹰言丁定故障5S防（如病毒防I6、侦测、警示等）程序、系统借援 及系统彳复原等措施，加定期演糠、横言寸、改善。三、奥客户、委外商或其他第三者鹰言丁定典客户、委外商、第三者（含登械横、清算械横、 商家、供鹰商等）利羲矜皆豺系契余勺，加视情况随璟境定期旅 言寸，以碓保遹法性及周延性。封重要软硬HI!置、租用或委外虞理，鹰押估商信警、

13、状况、研赞支援能力、内控制度，以避免衍生相 若探委外作渠管理，鹰碓1T依金融械情委外注意事辨理。四、承搪管理金融械横鹰依法令规定，寄酌承搪能力；言丁定交易凰限 鹰依交易别分别限制每次交易金额、每日交易累金额 及定典非定幅户辅幅金额。鹰封懑ittSit械情之管建及信赖度迤行fH古，以免崖生相 B。封客户聊it、服矜及建外路通言*安全鹰有防止内部及外部人 H入侵措施，加奥内部有言*系统安全余吉合，建立例外管理 制度，U立聚急通幸艮冏题虑理及追雕管理程序。五、客户作渠端管理规I6鹰提供客户路金艮行渠矜或服矜之辞余田操作明文件。封客户益、资言*安全及曦密性等允宜加弓金注意事XM,鹰以善 面且敕醒目之方

14、式告知客户注意。封各路金艮行渠矜之客户往来情形，鹰提供封幅罩以釐清典客 户之木整责，加加弓金事彳爰追雕查核。言丁定客户止路金艮行往来之虑理程序，以免其幅户遭盗用。封首次往来客户身分之碓ts,鹰有碓IS程序以避免有假冒他人 户或往来之情形彝生。六、代理懑iH主册作渠管理如代理主册作H ,鹰言丁定代理懑it音主册作H工作原期及工 作站管理辨法。金艮行符代理言主册资料上傅至IS it公司或懑it资料下傅失败日寺，鹰由系统留存作己金条(log file )加以控管；言主册申言青程序 鹰依符合内控之程序辨理。代理言主册肇敦、登雉放行日幸艮表等相表幸艮内容，鹰定 期交互勾稽核封，以碓登昊勤奥申言青碓1T相

15、符。客户申言青密礁解I1作H ,鹰符作己金条列印，加鹰典分行解 申言青善及解Utt子垂B件装言丁供主管覆核。七、防火精管理鹰言丁定除余周路防火精安全政策，定期fH古防火精烧即内容之 妥遹性或予遹日寺整。telnet 、finger 、http 等高凰IW 服矜(service ) 鹰予 以卸载 (disable )。鹰俟碓IS最新之修祷程式(patches )碓瓢冏魅彳爰，才予安装。 重要槽案均鹰借援；防火精文件鹰依人Hit矜轨掌、文件械密 性及重要性程度限制取封作己金条(log file )、稽核IO亦(Audit Trail )及昇常迤 出系己金条等鹰留存完整，人整:控，且鹰建立警示械制，

16、视 情况作遹富反鹰及追雕虑理。言丁定符合内控原期之燮更管理程序，或予以落1T,内部典外部 余周址封鹰层豺系之建置奥建更鹰妥悬控制。防火精不鹰U定悬信赖主械(trust host ),另控制台自勤fg 住(console auto lock )功能鹰敬勤。Kf 客 11M户(GUESTaccount )鹰予以删除，除 root、powerdown、 daemon checksys、bin、makefsys、uucp、mountfsys、sysadmin、 umountfsys 等使用者幅户(account )外，其他使用者幅户不 可定特木整使用者(supervisor )幅户。NIS ( Net

17、work Information System )之 /etc/passwd 或 /etc/group 不可有'+*:0:0:',以避免瓢密礁之使用者幅户亦可筵入(log on )系统。八、伺服器管理鹰言丁定伺服器安全管理政策；封敕具性之服矜及路通言* 曲定，遹富fH古加遹富眉级主管核准彳爰始予放。封系统管理者幅虢鹰更改名耦（rename ） , 客（guest ） K虢 鹰予作IO已金条（Log File ）及稽核tH亦（Audit Trail ）鹰有事人盛 控，或作遹富反鹰虑理。各目金条存取限鹰依内部分工予以授木整。鹰依携（内控原即言丁定系统参数，而不鹰H堇以商安装之初始值

18、 来U定系统参数。豕 金融卡H矜作H凰除及防靶措施金融卡H矜自81.12台中市XX信合社遭10面雉工程白市利用雉 系统械曾，藉械藕取客户资料装作偏卡盗领客户存款伊始，每隔 相富畤日即有IS似案件再度亵生，犯案手法即大致如出一率I攵，均保 金十封金融卡本身之安全械制或漏洞予以U法破解或入侵，因此金融 卡作It原建置之安全械制，如：密礁窗1礁化基礁（Pin Protection Key）、客户密礁（Pin Key ）、金融卡磁修第三fl资料（幅虢或卡 虢Actno、密礁偏移值Ofset、密礁ig次数及卡片登礁Cac） 等，往往成悬有心者貌觎目檄，其可能使用手法及取得管道即大致 如下：一、金融械情资

19、言*中心人H （或HIT雉之重月简摩商）利用雉系 统械曾藕取金融卡磁僚第三fl资料；或利用装作金融卡密礁函 日寺取得客户密礁（Pin）;或藕取密礁窗L礁化基礁或篡改程式符密 礁解密；或重新轨行装作密礁函程式藕取密礁等。二、ATM端末Jt商雉修人员（或金融械情程式人员）非法藕改ATM 端末程式，客户金融卡第三fl资料及密礁彳爰，俱造金融卡盗领客户存款。三、管H罩位保管金融卡或密礁函之主管、辨整:守自盗。四、歹徒利用客户提款日寺阳娱录客户金融卡磁僚瓷料及撮金融俞入之密 礁，或懑以装作倡卡领客户存款。五、歹徒利用存户封iglt矜操作程序不熟悉或警！性不足，以扃 手法套取存户密礁资料或依其指示符款项斡

20、出至其所 幅户。兹列聚金融卡渠矜之舞弊案例，加分析明其作H如下：案例甲：89.11歹徒自市法日本曾彝生全球首件偏造假提款械盗领案 手法，藉 由坊得之提款械相零件及用以速接提款械 面板典阳恒录金融卡内礁之H卡械介面程式，合俱装成XX 金艮行提款械，再趁不知情民冢於其偏冒提款械提款日寺，同日寺 阳娱录金融卡密礁和磁僚资料，再携!以辅金泰俱造金融卡，至他 行提款械领 27家金艮行客户存款共600 MMo分析全案固 由於一般民冢普遍疏於辨ti提款械真偏，且 封於瓢法正常提 款日寺，多未警H鹰即日寺燮更密礁或通幸艮igJS金融械情查明原 因；另各金融械情即多僮注意其辖下各提款械械醴之安全防 措施，且封於

21、幸艮屡提款械之虞置金肖毁流程未殿加控管，亦 案彝生之主因。案例乙：92.2 XX金艮行资言*虑接狸台北市警局大安分局通知，於他 行自勤服矜癌内，截狸三名金融卡盗嫌犯，起出遭偏造之 行不同幅户磁卡46晅 且已成功2,753千元；92.6有 客户持三彳固拆自XX金艮行南势角分行ATM上装置阳暝条器之假 筵然向中和分局南势角派出所幸艮案，损 失金额因部分疑遭仰 金条客户瓢法取得聊1!而瓢法碓定；91.4、92.4及92.6各月 共有八家行局通幸艮所率害分行中有客户存款遭歹徒於他 行持偏卡盗领,损失金额即由30千元1,921千元不等，其 中或有一位向XX金艮行投！?损失100千元之客户，曾於91.9

22、向同军位投其金融卡资料遭领 250千元。各案分析， 其犯案手法或彳系向阈除偏卡集困瞒得之偏卡领得逞，或保 藉各槿手段U法取得存款户幅户资料及密礁彳爰裂作偏卡答 至於裂作偏卡所需资料来源及管道即可能源自金融械情内部不肖作渠人员、1O简雉商提供，或保趁民冢提款畤 以附加或曦藏之械具（假筵然、金十孔撮影械、磁僚阳暝条器等） 阳娱录。另各金艮行封於金融卡密礁函相皆制资料之保管、筐裂、 樊送等作棠安全控管欠AO堇，或 未落1T封於行外瓢人自勤化 作渠展、委外装填之提款施之定期（不定期）清查 检测；未封存户教育提款密礁正碓使用知ti （如注意燮更及 保管），致其存款再度遭到或有未落1T封於户|g照 之查瞬

23、，致歹徒得以利用偏造身分ttlg立人H户，或作悬斡 幅洗遇渡幅户等，均可能肇致各案似情事持生。案例丙：言乍鸟扃集有阈税局退税款、SARS祷助款、中聿信H 信费溢收等款项可领，惟须利用提款械辨理辅幅存入，再利 用一般民冢不音音提款械操作流程且食小便宜心理，以msw tt遥控吉青民冢至提款械依其指示WJ入辅幅幅虢、金额等交易 内容，藉 由辅幅入户方式分批符民冢幅户内存款斡出至歹徒 5S先立之人H户，再予盗领一空。因歹徒不断利用各槿款 XM名目鸟扃民冢上富，1T除受鸟扃事件及损失金额瓢法粽th 惟分析此案件歹徒盗得逞，除肇因於民冢不熟悉提款 械所提供功能及服矜内容，且迤行辅幅交易畤ig信歹徒指 示，

24、致疏忽提款械螯幕上所K示之各项言*息外，各金融械情 或有未善翥教育客户之羲矜，或未依规定於各提款械上弓IO占 或K示警示言*息提醒民冢，或有未落1T封於户照之查 瞬，致歹徒得以利用偏造身分立人H户，均保扃 10案件眉出不鳄主因。金融械情辨理金融卡H矜之防I6措施如下：一、窗L礁化U借、基礁及鹰用程式控制之管理悬雉乍H窗L礁系统正常建作，及碓保葡L礁化U借及作渠 之安全，鹰言丁定符合内控原期之跨行HL礁系统安全控管辨法。 窗L礁化U借鹰使用硬H,且鹰每日列印使用言己金条查核。各XM基礁之建置或建更鹰有申言青核准之善面系己金条，其基礁建置 彳爰鹰倩分或由安全控管人H封存。鹰避免以客户同一身分it或

25、统一褊虢，作悬辅幅之控制基型（各 幅卢可自由辅幅），以防止歹徒偏造身分立另一幅户， 盗领客户存款。二、自勤檀倩及自勤化服矜癌之管理鹰依财政部所fg金融械情自勤槽员械安全防即及金 融械横管渠埸所自勤化服矜1H箱管理辨法言丁定各XM自勤檀H 械之安全防措施30售1T轨行。自勤化1H箱之U置及裁撤鹰碓1T申幸艮主管封於幸艮座之自 勤化服矜U借，鹰殿格控管或金肖毁，或注意杜被重新装之 可能性。鹰定期全面清查管渠埸所内、外自勤化服矜械器及路有瓢附 加非法tHU,或系统内有瓢安装或爽带非法程式截取客户金融 卡磁僚资料及密礁。自勤化服矜U倩及赞给客户之使用手册典金融卡，均鹰言已载24 小日寺聊格军位及重言舌

26、、昇常情形之虞理方法（如即刻於他台 CD/ATM燮更密礁或通知所JS金融械情及必要日寺挂卜失止付等） 等，受理mr军位鹰U簿言己金条控管或儒速追蹦虑理及回幸屋 ATM交易录借重51鹰注意雉持清晰，日寺定鹰正碓，或 借有充分金条影带俾供敕是期之交易金条裂及保存。自勤檀匙奥密礁鹰分由不同人umr保管，现金之装 卸、清黑占宜由主管人n曾同迤行；商人n派n雉修或保餐自 S&WMfttgffi,提供身分it明文件，或全程整:督及留存雉 修系已金条借查，若有整软I1或更换磁片畤鹰查明原因，磁碟械 嘉入口鹰由主管及辨共同封筵。三、金融卡、密礁函之裂作管理裂作自勤化服矜U借之金融卡、密礁函及建置跨行通

27、基礁等 作鹰留存稽核tn亦、分人辨理且符合奉制原即。金融卡（含密礁函）之裂作程序鹰符合奉制原即，裂卡埸所鹰 管制人n迤出於曙密安全霓，裂作卡数鹰殿格控管，裂卡 械器密礁、ir匙、裂卡磁片之使用及保管鹰符合奉制原即，裂 卡械使用状况鹰予系己金条或作遹常控管。装卡罩位樊送至管n军位之金融卡及密礁函，鹰分寄送或追 雕其收迄回修，以碓ts管n罩位碓已分别收妥。空白金融卡鹰存放於安全之地黑占，其领用保管鹰殿予控管，或 定期、不定期施坐黑占；作座之金融卡鹰碓辨理金肖毁，留置 於CD/ATM金融卡鹰碓登金条或寄回原罩位，挂卜失卡片鹰碓登 金条。四、客户投及相幅矜虑理之管理封客户投其存款绘额有疑遭盗领之累常状

28、况，鹰建立通幸艮械 制及虑置措施，或予以追查原因；封於碓定保JS金融卡被偏 造盗事件，鹰依规定於二日内符ig幅户相皆制ATM交易资料送 财金资言*公司查查碓H彳爰30”甫足客户被盗领款XM及依 规定通幸艮。阈内金融卡、阈除金融卡、阈除信用卡、阈内信用卡典相清 算之清算基金幅矜鹰相等，如不符鹰即查明原因或虑理。 自勤檀UftP甫tM乍棠如保委外辨理者，其金额交付受！£械 1 12横日寺，鹰有妥遹之余已金条以明IT任，之金额及勤矜安排鹰 有效掌握，且鹰有祷tH售IS之械制；自勤槽具械之绘款鹰碓1T 隆回指定幅户，自勤檀具械昊常状况鹰立即查明及虞理，或随 日寺清查挂卜幅彳爰久未虞理者。肆、

29、信用卡、现金卡棠矜作棠凰除及防靶措施近年来信用卡上交易量逐年暴增，原傅统持卡人到Hi!商店 刷卡消费之行悬模式，渐被持卡人藉由上余周输入信用卡卡虢、有效 年月、使用者身分ID等资料，由路到店家的站瞒物， 再由商家停送授木整/清算中心要求付款清算，或由消费者使用 金融械横所推出事供路瞒物消费之虚sm言用卡（一卡之 信用卡虢碣），於路上向余周路特商店瞒物之交易模式所取 代，致其作H凰已由傅统Hi1防偏械制（、磁修基本资料、 筵名、照片等）醇燮悬消费者上登金条彳固人基本资料（姓名、地址、 耳哉H、霜言舌、信用卡虢或者青款幅虢等），而涉及rnrti可供辨言忍所 衍生之一、歹徒以冒名方式申言青系周路信用

30、卡。二、患亥客利用路技彳行入侵赞卡金艮行资料Jt或侵入余周路服矜公 司（ISP）管理信用卡之伺服器，藕取路幅虢、密礁及卡 虢。三、歹徒（或持卡人）路特商店勾余吉假消费真言乍时。四、路商店人H利用持卡人於路消费日寺所WJ入幅虢、卡虢等资 料上冒用。五、彝 卡金艮行之1O豺周路工程白市或雉修工程白市利用雉系统日寺伺械 藕取持卡人资料槽案或偏冒消费。另封於现金卡渠矜，其申言青程序典资料安全管制同信用卡渠 <:核卡彳爰卡片及密礁函之裂作、寄彝典作渠安全械制即典金融卡H矜（f!参前述金融卡作渠防I6措施）雷同，不再督述。兹列聚 有信用卡弊案及作渠缺失如下：案例甲：87.8歹徒集困以他人身分及偏造时

31、崖资料冒名申言青信用 卡彳爰出售或瞒物辅售圈利。分析集困主要彳系利用金融械 横（或委外之招撰渠矜械横）辨悬争取客源，未依规定辨 理徵信典I1查，浮滥樊卡；或封於信用卡申吉青人身分it件及 相财力明，未落1T核瞬或迤一步徵信查是否JSH ,即 遥准予核卡；馨易取得卡片盗刷得逞。案例乙：87.7歹徒勾余吉特余勺商店店H,趁持卡人不注意，於5S先装 置之金条礁械刷卡，藕取内礁装作偏卡；87.8歹徒偏冒同困法 人耳箭合信用卡虞理中心雉修人H身分，以雉修名羲至商店旅 修刷卡日寺，趁 械以所揣阳娱录1H莆盗取商店端末械内客户刷 卡资料，再利用内礁装作偏卡。二案或由於收罩金艮行封於特 余勺商店之管理，因同H

32、兢事激烈及缺乏自律，致特 商店品ST良莠不膂；或由於特余勺商店店H普遍封於刷卡U借 之安全防缺乏警！意ti,任由歹徒以阳娱录1H莆盗取信用卡 磁修内礁资料，加上歹徒集困以黑可置L真之偏卡装作技彳行， 均醇致信用卡作渠中主要之安全防偏械制不再。案例丙：90.1 XX金艮行行员利用之便，由行重月面系统中查H 客户资料，再以傅真方式波漏给歹徒懑以装作偏卡。本案保 因金融械横封於中心（或信用卡部叩、客服中心）人H 查I1客户基本资料之作渠木整限未予殿格控管，致不肖H工悬 食圈私利，符客户基本资料外波给歹徒。案例丁： 91年初歹徒利用中聿ill信公司1O舌遥控指定斡接服矜， 擅符XX金艮行信用卡中心典客

33、户服矜僖真斡接至其 住家中，不定畤截持卡人信用卡虢等彳固人资料，再上 刷瞒物。本案彝生原因在於中聿信公司之H言舌遥控指定14斡接H矜申吉青，不需善面申言青，及瓢身分碓ts程序，且不 需在原申之1O舌械上即可操作U定辅接，整醴作棠手IH隹以服矜便民悬侵先，惟歹徒有械可乘冒名申言青，再利 用重言舌斡接之功能，符持卡人奥赞卡械情之通信（言吾音或停 真之卡虢、卡片有效期限）以斡接方式截，再持所截之 资料於重月豺周路上迤行瞒物消费，造成相者损失。粽上，烈麋整金融械情辨理信用卡及现金卡H矜之防I6措施如下： 一、委外作渠管理商筵言丁委外虞理或雉合余勺，合中除田载明商之 羲矜及JT任I6圉外，鹰U勺定受tf

34、fi械情同意配合财政部或财政部 所委之遹富械横及金艮行内外部人H迤行检查或稽核，及提供 相资料及幸艮告，受tffi械情及员工鹰出具不漠漏金艮行及金艮行客 户等相皆制资料之文件，於遑反上述定日寺损害任。 二、资言孔作渠管理申言青核卡虞理作渠之重月面参数及授鹰定期横言寸fH古加作 遹富I1整；逾越参数值主管核准，或於事彳爰整批列印供核 准之主管核封勾稽，且均鹰符合金融械情之管理政策。 三、裂卡、密礁函及卡片管理空白卡片探H、Jt存管理、裂作遇程鹰符合内部奉制原即， U簿登言已控管且鹰不定期辨理坐黑占，防止空白卡片流出。 申言青裂卡之善面资料，鹰妥善保存，避免申言青人资料外漠， WJ入重月面资料需有

35、覆核人H覆核，以免因资料ms,影警客 户K益。H月面装卡槽之崖生、使用或金肖毁，鹰有完整之保措施，避 免遭人藕取。装卡埸所鹰殿禁非相人H迤出，加装置金录影录影留存 余已金条借查。装卡相耗材存量、金肖毁程序等控制鹰逵到作渠不中断 言*不外流之原即。鹰建立卡片寄送彳爰追雕管理械制，碓保卡片碓已送逵客户。 密礁函之印裂、寄送鹰注意安全及奉制原即。四、客户服矜及管理客户卡片挂卜失鹰即日寺WJ入重月简，或告知客户相皆断整益事项。 鹰建立客户申冏题虑理之追雕控管械制，妥悬虑理客户 申之相冏题。五、收军行作渠管理特商店械器安装、拆卸均相主管核准，或有控管之 重月面槽案定期勾稽核封。特店一碓IS,除鹰立即安排

36、拆械外，或由主管视情 况作外部之通幸艮。伍、H者舌言吾音及行勤金艮行棠矜作棠凰除及防靶措施目前金融械情透遇H言舌言吾音系统所提供金融服矜，大致包括存 款绘额查II、斡幅、挂卜失、通知、傅真、费用代缴等，因交易日寺僮 懑客户WJ入音吾音密礁作身分辨言忍，安全械制相封敕金融卡交易来得 薄弱，作渠安全防亦相封困it其可能之犯案管道及作H 蒐集整理大致如下：1O舌音吾音系统商雉人员（或金融械情程式人员）非法鼠改言吾 音系统程式，言己金条含言吾音密礁之交易言*息或藉械拷裂，再利 用言吾音辅幅答辅存款（部分金融械横提供小额非余勺定幅户之跨行 辅幅服矜）。霜言舌言吾音系统之交易言*息（含言吾音密礁）透遇重言

37、舌通言*系统停遮 日寺均悬明礁，虽隹多以干援音加密惟破解容易，歹徒可藉ftmssig 言舌通言孔内容截取交易言*息彳爰或加以破解，取得存户幅虢及密礁 彳爰，再予以答辅存款。歹徒利用金融械情封於同一人於其不同分支罩位申立同一 槿之存款幅户及各幅卢吾音服矜功能日寺，系统多彳系以id作 控管基型，可不余勺定，各 幅户即可互辅且瓢交易限额的控制 漏洞，於 偏冒立新幅户彳爰即申to吾音辅幅功能，以遂行其 盗领原存户其他幅户存款之目的。歹徒（或金融械情入H）利用金融械情重言舌言吾音系统定言吾音密 礁之初始值（“ 0 0 0 0 ”或出生日期）之漏洞，於客户尚未辨 理密礁燮更前冒名先行燮更，迤而盗领客户幅户

38、之存款。兹列聚有皆制10舌音吾音H矜弊案及作渠缺失如下：案例甲：89.8、91.6、91.11及92.3有四家金艮行之部分存户（彳固人 户、公司户）之存款，遭歹徒持相同客户（彳固人户、公司户） 统一褊虢之照，於各行之其他聊行偏冒立新幅户，再 利用H言舌言吾音辅幅系统封於同卢 （同一统一褊虢）辅幅不 艮之程式漏洞，分别以言吾音辅领原存户存款334 千元7,190千元不等。分析余吉果，各金融械情作渠缺失大 致如下：1 .金融械情受理存户立第二存款幅户日寺，未碓1T依规定向 原第一 户行照曾，或虽隹向耳箭行相皆制1§户资料，惟未 碓1T核封其户身分it影本、肇品亦、印II是否典原存行相 符，以碓IS客户身分。2 .金融械械辨理音吾音辅幅以之客户ID悬控管基型，同一人不 同幅卢言吾音辅幅可不必定即可互奉机致有XX金艮行客户 於行承德分行原立幅户或未定悬可辅出幅户，惟仍 遭盗辅至中墟分行假幅户，遭法院判决行3 .部分金融械情n言舌音吾音系统封言吾音密礁之初始值值“ o o o o ”，虽隹多规定首次使用io舌音吾音功能须辨理 密礁燮更，惟仍可陶檀透遇交易辨理言吾音服