證券期貨商陸續遭撞庫攻擊,導致投資人帳戶「被下單」買港股至今,通報被駭客入侵的券商有 6 家、期貨商 1 家,金管會今日表示,已責成證交所與期交所強化三大措施因應,以保護投資人權益。
金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 (Credential Stuffing)攻擊,這是一項利用殭屍網路(botnet)以自動化方式,不斷使用偷來的登錄憑證,試圖登錄網路服務的一種攻擊技巧。
證期局副局長蔡麗玲表示, 金融機構提供各項金融服務與客戶所約定的帳號及密碼,是作為客戶身分識別、認證及各項交易服務授權之主要工具,金管會呼籲民眾,妥善保管證券期貨網路下單帳號密碼及相關電子憑證,千萬不要隨意交給他人。
蔡麗玲指出,網路下單快速又便利,為避免遭有心人士惡意盜用帳號從事交易,提醒民眾應提高交易密碼的強度,避免使用容易被猜中的密碼,並定期更新,也不要將所有需註冊會員的網站都設定同樣的帳號密碼。
蔡麗玲建議,避免使用圖書館、網咖、機場等場所的公用電腦,從事交易及輸入敏感性高的資訊,並應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證,不宜在開戶證券商及期貨商以外的網站,提供或共用登入的帳號及密碼或交由他人保管,以免帳號遭冒用下單,損及自身權益。
為保障民眾網路下單的交易安全,金管會已經責成證交所及期交所督導證券商及期貨商強化下列三項措施,以維投資人權益:
一、證券商及期貨商提供網路下單服務,應於網路下單登入時落實採多因子認證方式,例如下單憑證、綁定裝置、OTP、生物辨識等機制,強化憑證換發的驗證機制,以確保為客戶本人登入。
二、證券商及期貨商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達 3 次者應予中斷連線,及加強宣導客戶定期更新使用者密碼。
三、證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等,進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人,並留存相關紀錄。
(首圖來源:pixabay)
