▲金管會防撞庫攻擊,祭3招因應。(資料照/記者湯興漢攝)
記者陳依旻/台北報導
11月底7家證券期貨業遭「密碼撞庫」的憑證填充 (Credential Stuffing)攻擊,有投資人「被下單」買港股。這是一項利用殭屍網路(botnet)以自動化方式,不斷使用偷來的登錄憑證,試圖登錄網路服務的一種駭客攻擊技巧,為保障民眾網路下單的交易安全,金管會已責成證交所及期交所,督導證券商及期貨商強化3項措施。
一、多因子認證
證券商及期貨商提供網路下單服務,應於網路下單登入時落實採多因子認證方式,例如下單憑證、綁定裝置、OTP、生物辨識等機制,強化憑證換發的驗證機制,以確保為客戶本人登入。
二、密碼輸入錯誤3次將中斷連線
證券商及期貨商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達3次者應予中斷連線,及加強宣導客戶定期更新使用者密碼。
三、監控非客戶帳號登入者
證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等,進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人,並留存相關紀錄。
證期局副局長蔡麗玲表示,金融機構提供各項金融服務與客戶所約定的帳號及密碼,是作為客戶身分識別、認證及各項交易服務授權之主要工具,呼籲民眾,妥善保管證券期貨網路下單帳號密碼及相關電子憑證,千萬不要隨意交給他人;另外,網路下單快速又便利,民眾應提高交易密碼的強度,避免使用容易被猜中的密碼,並定期更新,也不要將所有需註冊會員的網站都設定同樣的帳號密碼。
蔡麗玲建議,避免使用圖書館、網咖、機場等場所的公用電腦,從事交易及輸入敏感性高的資訊,並應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證,不宜在開戶證券商及期貨商以外的網站,提供或共用登入的帳號及密碼或交由他人保管,以免帳號遭冒用下單,損及自身權益。
讀者迴響