網上銀行戶口遭「黑客」入侵及進行未授權股票交易情況有惡化迹象!金管局披露,今年未授權網上銀行股票交易涉及金額,累計達4,597萬元,相當於四月廿日所披露金額686萬元近七倍。涉及銀行除之前已曝光的滙豐銀行及中銀香港(02388)外,恒生銀行(00011)榜上有名。渣打香港則出現懷疑個案。業界預期類似個案陸續有來。
金管局資料顯示,「黑客」入侵銀行網上戶口非法炒股,涉及最少廿二個網上銀行帳戶,較四月廿日公布的八個,顯著增加1.75倍。
現時確認錄得損失個案有九宗,涉及損失金額156萬元,相關銀行已作出全數賠償。
資料又顯示,九宗個案非法買入股票後,股價有所上升,沒有導致任何損失,背後目的有待調查。餘下較近期的四宗個案,暫未確定是否有損失。除非客戶作出欺詐或嚴重疏忽行為,如未能妥善保管接駁電子銀行服務的設備或密碼,否則客戶毋須承受損失。
繼滙豐及中銀香港之後,恒生昨日確認有客戶網上銀行戶口出現未授權股票交易,表示已向金管局、證監會及警方通報。
金管局之後表示,有第四間銀行數名客戶的戶口懷疑出現類似未經授權股票交易。
渣打香港發言人接受查詢時確認,該行出現懷疑的個案,涉及六個帳戶,但詳情有待公布。
警察公共關係科回覆查詢時表示,截至昨日為止,警方合共接獲十七宗未經授權股票交易的案件,涉及交易金額約四千多萬元,又指警方與金管局一直有緊密聯繫,上述案件正由網絡安全及科技罪案調查科調查。
銀行逐步加強保安,中銀香港由即日起,客戶買入股票需輸入一次過短訊密碼;客戶完成交易後,會向其發出免費交易短訊,讓客戶掌握股票帳戶狀況。
此外,該行客戶登入網上銀行時,除輸入登入密碼及驗證碼之外,可選擇配合使用「保安編碼器」作為登入工具。
因應「黑客」入侵事件,金管局最新通告要求銀行提升偵測可疑交易的機制,並就每一宗網上股票交易,向客戶發出交易提示,同時加強客戶教育。通告具體建議包括讓客戶選擇股票交易時是否採用雙重認證、選擇設定每日交易上限、要求客戶設定難以猜破的網上銀行密碼以及定期作出更改等。
銀行界保安專家認為,今次事件極大機會是黑客以「12345678」或其他簡單密碼組合「撞入」戶口。
由於「黑客」多次輸入錯誤密碼之後,帳戶將會上鎖,因此相信黑客只是嘗試了數次便成功闖關,「客戶如果用過於簡易的密碼,黑客只會撞一、兩次便成功,銀行真的很難保護你」。
香港資訊科技商會資訊保安召集人范健文表示,「黑客」可能於網上非法買入用戶的資料,若用戶其他網上帳戶採用相同密碼,即行內人指的「One Password for All」會十分高危,建議切勿一個密碼走天下。