长沙银行系统漏洞成敛财工具？ 三人开设4万个异常账户被判刑

短时间开设4万多个异类账户，罪犯利用长沙银行系统漏洞大肆敛财！

据裁判文书网近期披露的一则文书显示，三名被告人利用长沙银行（601577）系统的漏洞非法开设长沙银行II类账户，其中一人更是伙同他人在短时间内开设4万多个异常账户，并非法获利16万余元，最终，三人分别以破坏计算机信息系统罪、妨害信用卡管理罪被法院判刑。

在此案中，长沙银行存在系统漏洞是不争的事实，那么，银行业应如何避免类似悲剧发生？监管方面又出台了哪些防范措施？

被告人利用银行漏洞跳过验证环节，非法开设异类账户获利数万元

判决书显示，该案被告人尚某，男，1987年4月7日出生，汉族，专科文化；被告人司某，男，1988年12月8日出生，汉族，初中文化；被告人刘某，女，1986年11月27日出生，汉族，初中文化。值得注意的是，尚某系安阳万软电子科技有限公司的经营者，司某和刘某均系该公司雇员。

2019年2月间，被告人尚某等人将内含公民身份证号码、姓名、手机号码等信息内容及串码、一个固定银行卡号、Fiddler应用程序软件提供给被告人司某、刘某，他们利用Fiddler应用程序软件能够拦截由长沙银行服务器向该银行App发送的数据校验结果、加挂银行卡信息、审核状态信息加以修改的技术功能，使以相关公民身份提出的开设长沙银行线上II类账户的申请，在缺少视频审核的业务流水号、证件上传成功、生成的视频流水号等验证环节的情况下，能够通过电子渠道开设长沙银行II类账户。

以上II类账户虽然不能正常使用，但可用以作为绑定账户开立具有办理限额消费和缴费、限额向非绑定账户转出资金等功能的他行III类户。其中，被告人刘某以此方法开设了80个长沙银行II类账户，获取钱款人民币160元。

不仅如此，被告人司某明知杜某（另案处理）欲以上述方法开设长沙银行II类账户，仍向其提供Fiddler应用程序软件并远程演示申请开设方法，并伙同他人共获利15万元。

原一审判决认为，被告人司某违反国家规定，伙同他人对计算机信息系统中传输的数据进行删除、修改，后果特别严重，其行为已构成破坏计算机信息系统罪，判处有期徒刑五年。被告人尚某、刘某使用虚假的身份骗领信用卡，数量巨大，其行为已构成妨害信用卡管理罪，其中，尚某判处有期徒刑三年，宣告缓刑四年，并处罚金人民币二万元；刘某判处有期徒刑三年，宣告缓刑三年，并处罚金人民币二万元。

不构成破坏计算机信息系统罪？法院：不予采纳！

针对一审判决结果，司某表示不服并提出上诉，上述理由如下：第一，其行为与尚某一样，不构成破坏计算机信息系统罪；第二，没有和杜某共谋，不属于共同犯罪；第三，带领侦查机关抓捕了刘某，有立功表现，应减轻处罚。

长沙市人民检察院认为，司某与杜某商定，伙同他人，违反国家规定，利用长沙银行系统的漏洞，对计算机信息系统中传输的数据进行删除、修改，短时间内开设异常账户4万多个，非法获利16万余元，犯罪后果特别严重，其行为已构成破坏计算机信息系统罪。

对此，湖南省长沙市中级人民法院认为，经审理查明的事实和证据与一审一致，司某的行为已经构成破坏计算机信息系统罪。

同时，针对司某提出没有和杜某共谋，不属于共同犯罪的上诉意见，法院经查，二人商议由司某提供开卡技术、杜某具体操作，非法开设长沙银行电子账户，司某还通过远程软件演示非法开设长沙银行电子账户的方法，事后，二人平分获利的15万元，对上述事实，二人供认不讳，且有搜查笔录、证人证言、鉴定意见予以佐证，足以认定上诉人司某与杜某系共同故意犯罪。故上述上诉意见不成立，法院不予采纳。

此外，针对上诉人司某提出自己带领侦查机关抓捕了刘某，有立功表现，应减轻处罚的上诉意见，法院经查，上述上诉意见没有证据予以证实，不予采纳。

最终，法院二审判定，原审判决认定事实清楚，证据确实、充分，定罪准确，量刑适当，审判程序合法，并驳回上诉，维持原判。

Ⅱ类户安全问题频繁发生，监管发文防范银行账户风险

上述案件中，长沙银行存在系统漏洞是不争的事实。此前，该银行也因为II类户中部分账户留存影像资料不完整等原因受到央行的处罚。

公开资料显示，2020年3月，长沙银行因存在为身份不明的开户申请人开立账户并提供账户身份信息验证服务；账户可疑交易监测不到位；线上正常开立的II类户中部分账户留存影像资料不完整三宗违法违规行为，被中国人民银行长沙中心支行警告，并被罚款80万元，时任长沙银行网络金融事业部总经理、信息技术部总经理也被警告，并分别处罚款8万元。

除了长沙银行，2021年年底，“广西崇左幼儿师范高等专科学校1457名学生在不知情的情况下被开立Ⅱ、Ⅲ类电子账户”一事也受到广泛关注。对此，中国农业银行广西分行回应称，“经调查后确认，此事件系该行辖属崇左江州支行营业室违规操作所致，向学校师生诚恳认错、郑重道歉。”

银行Ⅱ、III类电子账户安全问题频繁发生，与银行不能及时进行风险监测，阻断系统漏洞有莫大关系。为更好的维护客户权益，加强Ⅱ、III类银行账户风险防范，央行于2019年3月发布《中国人民银行支付结算司关于加强个人II、III类银行结算账户风险防范有关事项的通知》。

该通知要求银行对网上银行、手机银行、直销银行、手机App等电子渠道办理II、III类户业务的相关系统及后合系统开展全面自查，重点排查是否采取有效的技术手段保证前后端系统之间通信数据的机密性、完整性可靠性，业务逻辑层面是否具备足够强度的安全验证和反欺骗能力，对于接收的账户信息验证交易是否严格按照清算机构技术规范准确核实相关信息并正确反馈验证结果等，并对存在风险隐患的银行采取责令整改，暂停其II、III类户业务等监管措施。

此外，央行也就该通知提醒，银行应重点防范并及时阻断集中、批量开立II、III类户的异常情形，持续开展风险监测，应建立账户信息跨行验证交易监控机制，重点针对验证交易突增且高度集中于单一发起机构、单一账户频繁发生验证交易等异常情形开展监测和预警。

标签： 长沙银行