虛擬銀行開業黑客伺機搵食 銀行政府如何保障用戶?
撰文:經一編輯部 | 圖片:Unsplash、新傳媒資料室
根據香港金融管理局數據,傳統銀行業在2018年發現偽冒電郵、欺詐網站及可疑手機應用程式的數量達142宗,按年上升2.2倍。由於虛擬銀行沒有實體店,開戶及交易均透過電子網絡進行,科技業界相信,黑客針對虛擬銀行進行詐騙的機會頗高。事實上,由去年底起金管局發現多宗偽冒虛擬銀行的欺詐網站及電郵,涉及天星銀行和眾安銀行。
金管局提醒,任何人士若曾向該網站提供其個人資料,或曾透過該電郵進行任何交易,應聯絡有關銀行及警方。這類的詐騙電郵或網站,目的主要是騙取用戶的個人資料,收集銀行賬號及密碼,再攻入用戶其他的銀行或其他賬戶,盜取金錢或進行其他犯法行為。在詐騙電郵或網站更趨活躍下,虛擬銀行經營者在網絡安全上亦必然要承受較大的風險,以及需要投放更多的資源,提高內部系統的安全性。
Mox智能監控可疑交易
由渣打香港牽頭成立的虛擬銀行Mox,便指出會採用多重保安措施,以頂尖的技術提供加密、身份識別或反欺詐系統,保護用戶的戶口、交易和個人資料。Mox的多重認證技術,用戶必須使用密碼、指紋或臉部識別功能以登入戶口,當系統發現高風險的交易時,會要求用戶提供額外的身份認證以作核實。當系統發現高風險的交易時,會要求用戶提供額外的身份認證以作核實,將用戶的戶口與手提電話配對,每個戶口只能同時間配對一部手提電話和一個電話號碼。
此外,Mox使用智能監控系統全天候,偵測戶口懷疑欺詐或未經授權的交易。當系統發現可疑交易時,便會採取行動進一步作驗證,包括透過Mox語音或視訊通話與用戶聯絡,要求用戶以辨識度更高的生物認證技術重新驗證身份。同時,與現時其他銀行的做法相若,Mox會透過手機應用程式的推送通知或電郵提醒用戶,以隨時隨地掌握Mox Card和戶口的每一項交易。用戶透過Mox手機應用程式,可以即時追蹤戶口的變動和舉報不尋常的活動。在交易結束後,會在Mox的手機應用程式收到即時的推送通知,以追查每一項交易細節及紀錄。
金管局推「網絡防衛計劃」
另外,用戶經常使用手機登入銀行賬戶進行交易,也要注意手機本身的安全。過往有專家發現,有針對安卓(Android)手機惡意程式,該惡意程式可以獲取安卓手機的root權限,之後進行入侵攻擊,導致手機系統中的數據被泄漏,短訊被竊取以及硬件出現使用故障等。由於黑客可以通過應用商店的下載軟件或者點擊短訊中的URL,將惡意程式植入用戶的手機,用戶隨時中招而不自知。另一家虛擬銀行眾安銀行表示,為了保障用戶的利益,該行的手機應用程式也會替用戶檢測手提電話是否具有root許可權。
眾安銀行指,其手機應用程式已內置了安全偵察小工具,會替用戶檢測當前運行環境是否安全,是否有root出現的痕跡。如果發現任何root活動的蛛絲馬跡,手機應用程式便會立刻停止應用,避免資料外泄。同時,手機應用程式會彈出威脅提示給用戶,告訴用戶該手機應用程式終止的原因。眾安銀行又提醒用戶在使用安卓手機時,要提高自身的安全意識,例如不要主動獲取手機root許可權;不要安裝來歷不明的應用程式;不要訪問高危網站;不要隨意掃描未知的二維碼(QR code)等。
而監管機構亦知道有關風險,並尋找適當方案作出防範,金管局便在2016年推出「網絡防衛計劃」。該計劃旨在提升銀行體系的網絡防衛能力,要求銀行業界要定期評估其網絡安全系統,模擬黑客入侵進行攻防。「網絡防衛計劃」共分為3部分,包括制定網絡防衛評估框架,讓銀行業以此作依據評估本身的風險狀況,定出為適當地防範網絡攻擊而需要採取的防禦措施及保安水平。
另外,提供專業培訓計劃,推出本地認證計劃及專業培訓課程供網絡安全從業員選讀;並設立網絡風險資訊共享平台,讓銀行能夠從風險資訊共享平台及時收到提示或警告。
金管局副總裁阮國恒曾透露,當局發現有部分銀行在評估期間,發現其網絡安全出現缺失,雖然並非重大缺失,但亦要求銀行在合理時間內改善。另外,用戶也有責任,除不應隨便在社交網站公開身份資料外,在遙距開立銀行戶口,必須確保進入的是真實銀行網站。如有懷疑應查閱虛擬銀行的資料及網站。