晴時多雲

7家證券期貨商遭「撞庫攻擊」 金管會祭3大措施

2021/12/15 07:40

針對駭客以密碼「撞庫攻擊」,金管會表示,已責成證交所與期交所督導國內證券期貨商進行3大強化措施,以保護投資人權益。(資料照)

〔記者王孟倫/台北報導〕今年11月底,國內傳出有6家證券商、1家期貨商遭到駭客以密碼「撞庫攻擊」,客戶被冒名下單買港股之重大資安事件,對此,金管會今天表示,已責成證交所與期交所督導國內證券期貨商進行3大強化措施,以保護投資人權益。

元大證券、統一證券在11月25日驚傳其複委託下單系統遭駭客入侵,後續經向金管會通報有類似資安攻擊,合計有7家證券及期貨業者。

對此,金管會證期局官員表示,「密碼撞庫攻擊」是駭客利用民眾大量外流的電子郵件地址和密碼,再搭配自動化程式,冒用客戶登錄到券商網路下單系統進行交易;「密碼撞庫攻擊」是駭客不斷登錄網路服務,直到某一組帳號密碼被「撞」成功為止。

許多人為了記憶使用方便,常常會相同的用戶名和密碼來註冊,這就容易提供駭客不法攻擊的機會。證期局表示,為保障民眾網路下單之交易安全,已經責成證交所及期交所督導證券商及期貨商強化下列3項措施,以維投資人權益。

第一是證券商及期貨商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達3次,必須予中斷連線,及加強宣導客戶定期更新使用者密碼。

第二是證券商及期貨商提供網路下單服務,應於網路下單登入時落實採多因子認證方式,例如:下單憑證、綁定裝置、OTP、生物辨識等機制,強化憑證換發的驗證機制,以確保為客戶本人登入。

第三是證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等,進行監控及瞭解分析異常登入原因、異常IP登入時通知投資人,並留存相關紀錄。

根據統計,國內69家券商當中,共有49家有提供網路、App下單服務。

此外,證期局也對民眾提出呼籲,金融機構提供的帳號及密碼,是作為客戶身分識別、認證及各項交易服務授權之主要工具,呼籲民眾要妥善保管,不要隨意交給他人。

尤其,民眾應避免使用圖書館、網咖、機場等地之公用電腦從事交易及輸入敏感性高的資訊,不宜在開戶證券商及期貨商以外之網站,提供或共用登入之帳號及密碼或交由他人保管,以免帳號遭冒用下單。

一手掌握經濟脈動 點我訂閱自由財經Youtube頻道

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

已經加好友了,謝謝
歡迎加入【自由財經】
按個讚 心情好
已經按讚了,謝謝。

相關新聞

看更多!請加入自由財經粉絲團
今日熱門新聞
網友回應