证券期货商陆续遭撞库攻击,导致投资人账户“被下单”买港股至今,通报被骇客入侵的券商有 6 家、期货商 1 家,金管会今日表示,已责成证交所与期交所强化三大措施因应,以保护投资人权益。
金融业正面临越来越多所谓的“密码撞库”的凭证填充 (Credential Stuffing)攻击,这是一项利用僵尸网络(botnet)以自动化方式,不断使用偷来的登录凭证,试图登录网络服务的一种攻击技巧。
证期局副局长蔡丽玲表示, 金融机构提供各项金融服务与客户所约定的账号及密码,是做为客户身份识别、认证及各项交易服务授权之主要工具,金管会呼吁民众,妥善保管证券期货网络下单账号密码及相关电子凭证,千万不要随意交给他人。
蔡丽玲指出,网络下单快速又便利,为避免遭有心人士恶意盗用账号从事交易,提醒民众应提高交易密码的强度,避免使用容易被猜中的密码,并定期更新,也不要将所有需注册会员的网站都设定同样的账号密码。
蔡丽玲建议,避免使用图书馆、网咖、机场等场所的公用电脑,从事交易及输入敏感性高的资讯,并应妥善保存身份证件、网络交易账号密码及相关的电子凭证,不宜在开户证券商及期货商以外的网站,提供或共用登入的账号及密码或交由他人保管,以免账号遭冒用下单,损及自身权益。
为保障民众网络下单的交易安全,金管会已经责成证交所及期交所督导证券商及期货商强化下列三项措施,以维投资人权益:
一、证券商及期货商提供网络下单服务,应于网络下单登入时落实采多因子认证方式,例如下单凭证、绑定装置、OTP、生物辨识等机制,强化凭证换发的验证机制,以确保为客户本人登入。
二、证券商及期货商应使用优质密码设定并进行管控,确实执行密码输入错误次数达 3 次者应予中断连线,及加强宣导客户定期更新使用者密码。
三、证券商及期货商应每日针对核心系统的账号登入失败纪录、非客户账号登入尝试纪录等,进行监控及了解分析异常登入原因、异常 IP 登入时通知投资人,并留存相关纪录。
(首图来源:pixabay)
