僵屍網路
」全面防黑網撞庫攻擊 證交所:證券戶限1/24前改密碼 券商限月底修改完系統
證交所針對證券商屢發生駭客入侵的資安事件,再次提醒為確保客戶帳戶的交易安全,務必要求於1月24日前更新密碼並採用優質密碼原則。證交所表示,由於有些券商反映系統修改調整需要時間,但基於若沒完成修改的證券商,可能成為駭客攻擊的目標,因此對無法於1月底前完成修改的證券商,為確保客戶帳戶的交易安全,因此提出1月24日前須更新密碼的通知。證交所指出,由於近期證券商發現遭駭客蒐集到大量帳號及密碼用於撞庫攻擊及偽冒下單等資安事件,影響投資人個資安全及權益,證交所因此要求證券商於客戶登入及電子憑證下載時,應採行雙因子驗證(裝置綁定、生物辨識及OTP等)來確認客戶身分。證券商會引導客戶於證券商網頁或下單系統登入時修改密碼,客戶沒有完成修改動作就不能登入網路下單系統看盤及下單,需要改用電話、語音下單或其他委託管道。如果忘記密碼可電話洽詢證券商客服或營業員,經核對資料確認為本人後引導變更密碼後就可以進行網路下單交易。不僅是密碼,電子憑證更是委託下單重要的證明,為了安全,有效期限只有一年,每年都得更新,投資人更要注意保管使用。為此,於電子憑證下載時,證券商也應該採行雙因子驗證,尚未完成憑證下載雙因子驗證系統修改的證券商都應該改以人工確認為投資人本人下載憑證。網路已經是國人日常生活一部分,證交所提醒金融帳號及密碼要妥善保管,在不同網站平台(銀行、證券、社交平台、電子商務、網路購物、投資社群等)不可使用相同之帳號及密碼。駭客在網路上蒐集取得大量帳號密碼後,就可以用已知的帳號密碼登入不同網站進行撞庫攻擊。長期沒有變更密碼的帳戶,駭客掌握的密碼可用度高,撞庫攻擊及偽冒下單的成功機率就高。定期更改密碼並採用優質密碼並妥善保管,是避免帳戶被駭客攻擊,維護自身權益最好的做法。
證券電子下單帳戶限期改密碼 邵之雋:防駭治本須靠民眾做一件事
對於證交所下令證券期貨商等電子下單戶限期更改帳號密碼一案,金融法制暨犯罪防制中心董事長邵之雋強調,其實民眾只要做好一件事,就可以一起圍堵遭駭客冒名下單的資安破口,只要駭客取得客戶的帳號密碼管道沒有被打破,駭客永遠能取得新的密碼,要客戶修改密碼只能治標不能治本。金融法制暨犯罪防制中心也根據這些駭客入侵案件態樣,整理出可能的資訊安全的漏洞,提醒民眾也有責任,妥善保護自己的金融交易帳號密碼,勿外漏給其他App供應商等公司使用。金融法制暨犯罪防制中心董事長邵之雋表示,這一波駭客型態與傳統「撞庫」不同,而是駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄。邵之雋強調,事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。邵之雋也指出,證券期貨商等金融機構在金管會、證券、期貨等公會等不斷透過加強拉高資安城牆,要求民眾登入系統、申請或更新憑證採多因子驗證機制,譬如說設定英文大小寫混合數字的密碼並且要妥善保管,禁止使用生日等容易外洩的個資,也勿將在銀行、證券商等使用的帳號密碼用在其他網站。邵之雋分析,國內金融機構的資安城牆已經努力架高,防堵駭客入侵,而且一旦看見有類似僵屍網路不斷衝撞系統異常案件時,即可及時觀察與進一步防範;然非金融機構公司的資訊安全防護等級,會像金融機構的資安城牆高嗎?就是民眾要考量的地方,再次提醒用於金融機構帳號密碼,不要提供給他人、其他公司,是自己能做到最佳的資安防護。