上網投資，提防被Hack來做市！

互聯網發展一日千里，加上近年股市興旺，銀行亦希望透過鼓勵使用自動化銀行服務減省成本，故此亦越來越多投資者改用「網上証券户口」直接落盤。 但不幸的是，部份網上銀行服務因使用量超乎預期，導至服務多次出現數小時的癱瘓，而使用者亦有可能因此而蒙受損失。但更嚴重的問題是，罪犯已發展至利用被盜取的網上証券戶口做市圖利。



早前報導有外籍男子串謀海外犯罪集團，盜用其他銀行及證券行客戶的網上戶口，大手買賣快將到期的「末日輪」，藉以將輪價推高，再沽出自己較早前低價買入的「窩輪」圖利，短短幾天就賺取六十多萬；而被盜用戶口者，卻在不知情下購入大量不值錢的「窩輪」，共損失逾三百多萬。

其實早在2005年中，金管局為進一步加強網上銀行交易的保安管控，已要求提供「高風險零售網上銀行交易」的銀行實施「雙重認證」方法。「雙重認證」是指採用兩種不同元素來核實用戶身分。第一重是您已知的資料認證，例如用戶名和密碼；而第二重是指由您擁有的工具之認證，例如身份證內的電子證書、由保安顯示器發出只用一次的密碼、或通過手機短訊發出只用一次的密碼。所謂「高風險的零售網上銀行交易」，主要是指轉賬至非指定的第三者户口。但只有部份銀行在處理網上証券交易上，歸類於高風險零售網上銀行交易。皆因此類交易表面看來只會於同一户口將資金轉到其他形式的資產，而並不會轉到第三者户口。但被盜用的戶口，雖然因保安限制不能在網上轉帳，仍可用作購買股票，罪犯因而有機可乘。看來金管局和銀行是少虧了罪犯的智慧。筆者應為金管局應盡快把「雙重認證」的要求擴展至網上證券買賣，以堵塞漏洞。

但户口被盜同時是網絡保安的問題。資料外洩，直接危害到每一個人。除銀行户口外，電郵帳號、密碼、生日、甚至身分證號碼，都有可能被非法取得，成為罪犯在黑市中待價而沽的商品、或他們在網上犯罪的工具。

面對「雙重認證」的缺失及資料外洩的問題，個人還是有自保的方法。 香港專業資訊保安協會﹝PISA﹞會長何志強﹝Alan Ho﹞建議，網上個人密碼要經常更換。而且不要一套户口密碼走遍天下網絡，應該以風險程度分成二至三組。例如到處去網站瀏覽註冊的用一組；讀取重要電郵或進行拍賣、購物等電子商務的用第二組；直接與金融機構往來的則用第三組。 除此之外，更要加強電腦本身的安全設定，例如安裝個人防火牆、防病毒及防間諜軟件等，以免電腦受Hacker入侵。此外，在網吧或其他公用的電腦上，亦不要登入網上銀行或証券户口。在使用Wi-Fi無線網絡時，亦要多加留意如WEP/WPA等保安的設定。

使用網上銀行或証券服務固然方便快捷，但大家亦需在網絡保安上多花的點心思和時間，才不會因得了便利、丟了資料與安全。

作者: Ken Fong
原文刊載於 2007年11月8日 第103期 《資本一週》Capital Weekly 內之《 數碼健談》