The reading notes record thoughts from things I read. 這網誌是我的一些閱讀後的思考和摘要記錄。My website 我的網頁: http://raympoon.playgroundhk.com

網上銀行保安措施

電腦保安是一個重要課題。一直以來大家都知道除了已公開的資料外所有資料都需要保密。資料 通常是記錄在文件上,而文件檔案有各種方法收藏,不過一向以來都常有文件遺失或失竊事件發生。進入電腦時代,資料保存有了新方法,從好的方面看,資料可以保存得更好,用很少的資源就可以儲存大量資料,存取很方便,而且有很多加密方法。其缺點亦是因為方便而使資料使用者減低了介心,又一旦失竊時大量資料可同時被盜取;這個情況因為資料在互聯網上流動而更為嚴重。

資訊科技界和電腦竊匪之間有永不完結的較量。我們只能希望自己走先一步,可以使用最新的電腦保安方法。安慰的是使用電腦者數以億萬計,而不幸被竊者仍只屬少數,其或然率比家居失竊要低很多。

幾年前各國曾有數宗銀行電腦資料失竊事件,使銀行界要提升網上銀行保安措施,以挽回顧客的信心。當時並無好的方法,銀行唯有倒退到石器時代,要顧客自行攜帶一個密碼產生器 Token,用以進行網上交易。我在2005年已指出這個做法和先進網上服務的概念相反,而當時亦有更佳和更準確的保安方法。如果你有興趣,可以看看我在2005年寫的博文。有些銀行選擇用 token,其實是向電腦竊匪投降,自動將網上服務的便捷性降低。

當時銀行的錯誤信念,是以為只使用一次的密碼萬無一失,其缺點只是要顧客小心保管,和定時更換 token。事實並非如此,下面的報導說有電腦竊匪可以截取密碼,而又在密碼未失效前轉走存款。回到基本電腦保安ABC,各位有必要為電腦安裝並更新最新防病毒軟件,並要小心防範可疑的電郵和網站,不要以為有 token 就很安全。如果銀行有提供 SMS 確認服務就要從速登記使用,並要檢查所有該等訊息都是正確。既然使用網上銀行服務,大家就不妨天天都上網看看戶口活動記錄,一來可以監察是否有可疑活動,二來可以欣賞自己的銀行戶口結餘。

*************
加強網上銀行服務的保安措施
2009年7月13日(星期一)
香港時間18時25分
下稿代香港金融管理局發出:
鑑於近期本港及海外網上銀行騙案所涉及的行騙手法愈來愈先進,香港金融管理局(金管局)今日(七月十三日)發出通告,要求所有認可機構加強網上銀行服務的保安措施。
金管局注意到,近期騙徒的行騙手法是趁銀行客戶登入網上銀行時,透過客戶已受特洛伊木馬軟件感染的電腦來套取客戶的登入認證資料(包括用作雙重認證的只用一次的密碼)。騙徒利用這些登入認證資料進行屬高風險類別的網上銀行交易,例如轉帳至未經登記的第三方戶口。
金管局發言人表示:「由於有關的行騙手法愈來愈先進,認可機構有需要加強保安措施以打擊網上銀行騙案。其中一項重要保安措施,是認可機構須在完成一宗高風 險的網上交易(如將資金轉帳至未經登記的第三方戶口)後,即時連同交易詳情以手機短訊或其他有效方式通知其客戶。金管局強烈鼓勵銀行客戶充分利用這項服務,核實交易詳情,如發現有任何未經授權的可疑交易時,則馬上通知其銀行。我們相信只要銀行客戶和銀行均採取適當的保安措施,使用設有雙重認證的網上銀行 服務仍然是安全的。」
金管局將繼續與香港警務處及銀行業界合作,監察與網上銀行騙案有關的最新科技發展及趨勢。金管局會不斷加強網上銀行保安及消費者教育活動,為香港網上銀行建立一個安全及方便的環境。
*************