在今天看見明天
熱門: 鋼鐵股 富邦金 開發金 鴻海 升息

7家證券期貨商頻遭密碼「撞庫攻擊」 金管會祭3大措施因應

7家證券期貨商頻遭密碼「撞庫攻擊」 金管會祭3大措施因應

鉅亨網 記者陳蕙綾

金融

達志

2021-12-15 10:12

證券期貨商於 11 月底陸續傳出遭駭客入侵的資安事件,據了解,此次通報券商達 6 家、期貨商 1 家,駭客多是以密碼撞庫攻擊「被下單」買港股,有鑑於此,金管會14日表示,已責成證交所與期交所強化三項措施,以保護投資人權益。

 

金融業近期頻頻傳出所謂「密碼撞庫」的憑證填充 (Credential Stuffing) 攻擊,這是一項利用殭屍網路 (botnet) 以自動化方式,不斷使用偷來的登錄憑證試圖登錄網路服務的一種駭客攻擊技巧。

 

證期局副局長蔡麗玲表示,各項金融服務客戶所約定的帳號及密碼,是作為客戶身分識別、認證及各項交易服務授權的主要工具,金管會呼籲民眾妥善保管證券期貨網路下單帳號密碼及相關電子憑證,不要隨意交給他人。

 

蔡麗玲表示,網路下單快速又便利,為避免遭有心人士惡意盜用帳號從事交易,提醒民眾應提高交易密碼的強度,避免使用容易被猜中的密碼並定期更新,也不要將所有需註冊會員的網站都設定同樣的帳號密碼。

 

蔡麗玲進一步指出,建議也要避免使用圖書館、網咖、機場等地的公用電腦,從事交易及輸入敏感性高的資訊,更應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證,不宜在開戶證券商及期貨商以外的網站,提供帳號及密碼交由他人保管,以免帳號遭冒用下單,損及自身權益。 

 

為保障民眾網路下單的交易安全,金管會已經責成證交所及期交所督導證券商及期貨商強化下列三項措施,以維投資人權益:

 

一、證券商及期貨商提供網路下單服務,應於網路下單登入時落實採多因子認證方式,例如:下單憑證、綁定裝置、OTP、生物辨識等機制,強化憑證換發的驗證機制,以確保為客戶本人登入。

 

二、證券商及期貨商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達 3 次者應予中斷連線,及加強宣導客戶定期更新使用者密碼。

 

三、證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等,進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人,並留存相關紀錄。

 

※本文授權自鉅亨網,原文見此


延伸閱讀:

浙江疫情惡化 10多家上市公司陷入停工
加密貨幣趴倒!比特幣挫近9% 摜破支撐位 未來4-6日恐難回彈
市場早該修正了!華爾街大多頭預測美股即將回調10-15%

延伸閱讀

搶佔樂天銀行、LINE Bank市場 國內第三家純網銀來了!
搶佔樂天銀行、LINE Bank市場 國內第三家純網銀來了!

2021-12-09

以創新數位理財及在地化優勢 陽信銀行持續前行 與各界菁英攜手打造最值得信賴的好夥伴
以創新數位理財及在地化優勢 陽信銀行持續前行 與各界菁英攜手打造最值得信賴的好夥伴

2021-12-08

美中金融已脫鈎ING! 滴滴股價「一蹶不振」... 謝金河:華爾街銀行將是最大輸家
美中金融已脫鈎ING! 滴滴股價「一蹶不振」... 謝金河:華爾街銀行將是最大輸家

2021-12-06

欠卡債5個月遭銀行祭「恐怖追殺令」!卡奴崩潰求救 他嘆:一次把收入、人生全透支
欠卡債5個月遭銀行祭「恐怖追殺令」!卡奴崩潰求救 他嘆:一次把收入、人生全透支

2021-12-04

勞保年金、國民年金身故給付,少一動作「差10倍」!失業的人怎麼辦?達人教3招:退休金損失最小
勞保年金、國民年金身故給付,少一動作「差10倍」!失業的人怎麼辦?達人教3招:退休金損失最小

2024-09-23