转自：小曹反洗钱博客

作者:黄丽萍,审计署深圳办

  资料来源: http://www.audit.gov.cn/n1057/n1072/n1342/1557683.html

    网上银行又称网络银行、在线银行，是指银行利用Internet技术，通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说，网上银行是在Internet上的虚拟银行柜台。随着网上银行的日益发展以及网上银行用户群体的不断增加，近来我国地下钱庄也广泛使用网上银行进行大规模的资金转移，客观上提高了其经营效率，提升了其经营规模。为此，采取对应技术措施甄别、监控具备地下钱庄特征的可疑网上银行账户成为当务之急。

    一、目前我国网上银行交易规模

    随着国内各银行网上银行业务的大范围推广，中国网上银行用户规模发展迅猛。据了解，近年网上银行交易额已接近占银行总交易额的一半。2005年中国网上银行用户规模为3500万户，2006年为7100万户，2007年将达到1.18亿户，2010年将达到2.17亿户。2005年中国网上银行的交易额为71.6万亿元，2006年为93.4万亿元，2007年将达到118.3万亿元，2010年将达到188.8万亿元。中国工商银行2007年网上银行交易额接近100万亿元，超过当年所有网上银行交易额的一半。

    目前中国网上银行交易额中绝大部分属于企业网上银行交易额，个人网上银行所占比例还非常低。

    二、近年我国地下钱庄利用网上银行转移资金现状

    网上银行优势是效率高、转账及到账迅速、手续简便、全天候服务、相关费用成本低，这也是目前较多地下钱庄选择使用网上银行进行资金转移的主要原因。此外，地下钱庄雇员使用网上银行进行资金转移可避免与银行柜台工作人员频繁接触，有利于其保密。

    由于中国工商银行的网点分布广，近年来接触的地下钱庄线索及案件较多采用其网上银行进行交易。近日，深圳及广州的九家企业就在几个月内利用中国工商银行网上银行实现了190多亿元资金由对公账户划转至个人储蓄账户，符合地下钱庄的运营模式。

    三、网上银行交易与对应的IP地址技术分析

    目前，网上银行交易必须先连接互联网，再登录相关的银行网站进行操作。目前上网的方式有：ADSL、电视线的宽带、光纤、手机无线上网、局域网、Model拨号、无线局域网络等。而上述的各种上网方式下的每台计算机尽管在每次联网时可能存在IP地址不同的情况，但一般情况下，一台上网的计算机在维持联网状态的时间段内，是只拥有一个固定的IP地址的。

    此外，通过登录境外代理服务器的确能实现不显示实际的IP地址而显示境外的IP地址，但通过登录境外代理服务器实施网上银行交易存在极大风险，一方面其相应的账户数据易泄密，另一方面其联网的稳定性不好，不利于大额资金的成功转账、到账。最主要的是，即使其利用登录境外代理服务器来实施网上银行转账，其每次登录时显示的计算机IP地址仍然是固定且唯一的。而登录境外代理服务器的操作繁琐，且目前此类技术受网络警察严格监控、严厉打击，须花费大量时间搜索、安装更新，这种利用境外代理服务器的方式绝不是以文化程度较低、技术层次不高的地下钱庄经营者们所能承受的。

    而目前保存每次网上银行交易用户的IP地址，在技术上极易实现，且占用的数据库的空间极其有限。据了解，中国农业银行等多家银行均保留了用户每次网上银行交易的IP地址。

    四、地下钱庄利用网上银行转移资金的特征

    地下钱庄转移资金的特征一般是：交易频繁、集中；每笔资金量较大但控制在适度范围内，以逃避监管；由少数个人控制大量账户以实现"蚂蚁搬家"的资金转移模式。

    地下钱庄利用网上银行转移资金的特征是：

    1.为了控制成本，地下钱庄会尽量精简雇员数量、减少硬件设备投入，而极少量（甚至仅仅三两个人）的雇员所对应的计算机数量也是极少数。由个别地下钱庄雇员掌握大量网上银行账户，在极少数联接互联网的计算机上实施登录网上银行系统及转账等交易操作，简而言之就是一个IP地址对应大量网上银行账户。此外，地下钱庄对其工作场所隐蔽、联络便利、生活及操作环境熟悉等的要求，导致其一般不轻易频繁更换工作场所，这也对在相对较长的研究期内锁定其IP地址提供了保障。通对深圳地下钱庄窝点进行研究，发现大量窝点均长期在固定区域汇聚；经对几个地下钱庄案例分析，发现其在相当长的期间内（数月乃至数年）均在同一处所进行交易、操作。

    而一般正常的网上银行交易是一个IP地址对应一个网上银行账户。

    2.地下钱庄为了达到所允诺的便捷到账、到款的转款效果，同时考虑到规避受监测的风险，通常会在短期（甚至几个小时）内运用大量账户实施"蚂蚁搬家"式的大额资金转移，且每个账户资金都较接近、数额均较大但未到易被怀疑的程度。而受限于其人手及计算机数量，其一个IP地址还相应在短期（可能几个小时）内对应大量（数十乃至数百个）进行资金都较接近、数额均较大的网上银行交易的账户。

    正常的网上银行交易为了保密，一般只在个人自用计算机或企业专用计算机上操作，且一般不仅一台计算机、一个IP地址对应一个（最多几个）网上银行账户，而且短期内交易不频繁、不是每笔数额都接近且相当大。

    3.为了切断留存银行记录的资金流，隐匿大额资金的来源及去向，地下钱庄一般会在将资金经过若干环节的企业账户倒手转移后，最终转移至个人账户提现，再转交至客户或再存入相关企业及个人账户转移，通常其资金来源也有为数不少的个人账户。因此，地下钱庄相关个人账户的特征是存在大量对应几个固定IP地址的经常频繁大额取现的个人账户。

    五、筛选可疑网上银行交易用户IP地址，锁定地下钱庄

    基于上述地下钱庄经营特征、网上银行交易特点、地下钱庄利用网上银行交易分析，结合若干地下钱庄利用网上银行转移资金的实例，目前技术上简便可行、实用效果明显的控制地下钱庄利用网上银行转移资金的方式是：保存每次网上银行交易时登录的IP地址，作为网上银行交易数据的一部分，再定期根据IP地址分类汇总，观测那些对应一个IP地址的大量银行账户，从中筛选出交易集中频繁、金额大的，即可排查出涉嫌从事地下钱庄非法经营活动的可疑账户。再进一步，通过IP地址就很容易直接获取地下钱庄工作场所的地址乃至相关人员的信息，为条件成熟时控制相关人员提供了便利。

    此种利用IP地址筛选可疑账户的做法不仅可以由相关的反洗钱监测分析机构来实施，而且对于各家商业银行的风险控制也有用。商业银行也可据此发现相关地下钱庄线索，从而把预防工作做在前，控制可疑人员开设可疑账户。