2021年5月10日
今年首4個月,金管局共收到102宗銀行發現偽冒訊息或欺詐網站的報告,宗數已接近去年全年相關報告的70%,部分更導致金錢損失。鑑於此等盜取個人銀行戶口資料活動趨增,騙徒甚至可破解銀行核實客戶身份程序,包括涉及一次性密碼(OTP)的雙重認證,據了解,金管局已要求銀行盡快加強核實客戶身份的方法,部分銀行擬就高風險的交易或操作,採用多發出一個OTP的三重認證,部分則加設人臉識別等認證功能,以減低客戶因詐騙活動而蒙受損失的風險。
金管局促銀行評估安全性
金管局發言人回應稱,鑑於藉偽冒訊息和欺詐網站竊取個人銀行戶口資料活動上升,該局早前向銀行發出風險提示,要求銀行根據監管指引,審慎評估其網上及手機銀行服務的安全性,包括銀行系統是否具備有效認證方法核實客戶身份;在進行較高風險交易時,要求客戶提供額外驗證資料的措施是否足夠。部分銀行已加強對詐騙活動的監控機制與風險管理,包括延遲綁定新手機後高風險操作的生效時間。銀行亦透過不同渠道提高客戶安全意識,以避免因偽冒訊息及欺詐網站招致金錢損失。
該局去年收到146宗銀行發現偽冒訊息或欺詐網站的報告,而在今年首4個月已接獲102宗同類報告,當中可能引致金錢損失的個案有19宗,涉款共170萬元。
市場人士指出,銀行就網上銀行的高風險交易,普遍以雙重認證來核實客戶身份,即客戶填上登入名稱及密碼後,還要輸入銀行即時以短訊發出的OTP。不過,騙徒仍有辦法破解,例如偽冒銀行發出包含超連結的短訊或電郵,客戶點擊超連結後被誘騙輸入個人網上銀行登入名稱、密碼,甚至銀行以短訊發出的OTP內容,再用這些資料犯案,把客戶資金轉走;也有騙徒透過偽冒的銀行手機應用程式、植入木馬軟件等盜取個人銀行戶口資料,然後用該些資料把銀行賬戶綁定於另一部手機轉走資金。
經電郵多發一個OTP核實
消息透露,年初至今,不斷有黑客以「釣魚」技術,偽冒銀行訊息或欺詐網站盜取個人銀行戶口資料,故金管局要求銀行盡快加強核實客戶身份的認證措施;至於銀行採用什麼解決方案,則取決於行方自身考量。
部分銀行針對高風險交易或操作,例如客戶把賬戶綁定於新手機,擬採納類似三重認證的方式,在現行使用OTP作雙重認證做法外,會同時透過電郵向客戶發出多一個OTP,即客戶須輸入兩個OTP;基於騙徒即使取得銀行經短訊發予客戶的一次性密碼,也未必有其電郵賬戶資料,銀行便可藉另一個OTP進一步核實客戶身份真偽。
綁定新手機生效時間延遲
銀行還打算就高風險交易或操作,包括客戶把銀行戶口綁定於新手機的生效時間延遲,譬如客戶成功綁定賬戶後,24小時內不能進行大額轉賬交易,冀減低客戶在不知情下遭騙徒伺機轉走資金。
消息又提到,部分銀行有意針對高風險交易及操作,以人臉識別的認證方法來核實客戶身份,由於可即時見到客戶,相信較毋須看到客戶樣貌的OTP認證更有效;倘銀行採用人臉識別認證,或者未必需要延長綁定新手機的生效時間,避免對客戶帶來不便。
採訪、撰文:陳玉珍
放大圖片 / 顯示原圖
訂戶登入
下一篇: | 復星恒利料醫療科技成IPO焦點 |
上一篇: | 阿里被指間諜 中方斥「莫須有」 |