2007年11月16日星期五

上網投資,提防被Hack來做市!

互聯網發展一日千里,加上近年股市興旺,銀行亦希望透過鼓勵使用自動化銀行服務減省成本,故此亦越來越多投資者改用「網上証券户口」直接落盤。 但不幸的是,部份網上銀行服務因使用量超乎預期,導至服務多次出現數小時的癱瘓,而使用者亦有可能因此而蒙受損失。但更嚴重的問題是,罪犯已發展至利用被盜取的網上証券戶口做市圖利。



早前報導有外籍男子串謀海外犯罪集團,盜用其他銀行及證券行客戶的網上戶口,大手買賣快將到期的「末日輪」,藉以將輪價推高,再沽出自己較早前低價買入的「窩輪」圖利,短短幾天就賺取六十多萬;而被盜用戶口者,卻在不知情下購入大量不值錢的「窩輪」,共損失逾三百多萬。

其實早在2005年中,金管局為進一步加強網上銀行交易的保安管控,已要求提供「高風險零售網上銀行交易」的銀行實施「雙重認證」方法。「雙重認證」是指採用兩種不同元素來核實用戶身分。第一重是您已知的資料認證,例如用戶名和密碼;而第二重是指由您擁有的工具之認證,例如身份證內的電子證書、由保安顯示器發出只用一次的密碼、或通過手機短訊發出只用一次的密碼。所謂「高風險的零售網上銀行交易」,主要是指轉賬至非指定的第三者户口。但只有部份銀行在處理網上証券交易上,歸類於高風險零售網上銀行交易。皆因此類交易表面看來只會於同一户口將資金轉到其他形式的資產,而並不會轉到第三者户口。但被盜用的戶口,雖然因保安限制不能在網上轉帳,仍可用作購買股票,罪犯因而有機可乘。看來金管局和銀行是少虧了罪犯的智慧。筆者應為金管局應盡快把「雙重認證」的要求擴展至網上證券買賣,以堵塞漏洞。

但户口被盜同時是網絡保安的問題。資料外洩,直接危害到每一個人。除銀行户口外,電郵帳號、密碼、生日、甚至身分證號碼,都有可能被非法取得,成為罪犯在黑市中待價而沽的商品、或他們在網上犯罪的工具。

面對「雙重認證」的缺失及資料外洩的問題,個人還是有自保的方法。 香港專業資訊保安協會﹝PISA﹞會長何志強﹝Alan Ho﹞建議,網上個人密碼要經常更換。而且不要一套户口密碼走遍天下網絡,應該以風險程度分成二至三組。例如到處去網站瀏覽註冊的用一組;讀取重要電郵或進行拍賣、購物等電子商務的用第二組;直接與金融機構往來的則用第三組。 除此之外,更要加強電腦本身的安全設定,例如安裝個人防火牆、防病毒及防間諜軟件等,以免電腦受Hacker入侵。此外,在網吧或其他公用的電腦上,亦不要登入網上銀行或証券户口。在使用Wi-Fi無線網絡時,亦要多加留意如WEP/WPA等保安的設定。

使用網上銀行或証券服務固然方便快捷,但大家亦需在網絡保安上多花的點心思和時間,才不會因得了便利、丟了資料與安全。

作者: Ken Fong
原文刊載於 2007年11月8日 第103期 《資本一週》Capital Weekly 內之《 數碼健談》

0 Comments: