突击认证身份 10招增电子银行安全
大公报报导,金管局助理总裁(银行监理)陈景宏表示,金管局一直监察国际和本地的诈骗情况,定期向银行业界分享有关手法和防范措施,确保银行的风险管理措施与时并进,保障客户利益。他希望银行持续提升反诈骗能力,并在骗案发生后能机动地加强相关管控措施,堵截漏洞,如同银纸的防伪特征需要不断加强,以应对日新月异的伪造技术。
提防恶意程式骗取密码
根据警方最新数据显示,今年上半年有1.5万宗科技罪案,较去年同期升47%,但涉及本地电子银行账户被操控的骗案只有零星个案。不过,陈景宏指出,金管局留意到不少海外地区的相关骗案均有所增加,如有骗徒编写针对Android作业系统的恶意程式(malware),诱骗公众以连结或二维码(QR code)方式下载,安装后便能记录客户输入的电子银行密码,以及读取一次性短讯密码,但客户却难以发现。
陈景宏表示,现行的电子银行指引已有防范恶意程式的要求,例如银行在提供电子银行服务前,须检查客户的手机安全情况,如是否为已“越狱”的手机或有否被安装恶意程式的迹象,若有关装置并不安全,便不应提供相关服务。此外,如银行的流动应用程式有提供流动保安编码器等重要功能,更须进一步加强防范恶意程式的保安措施,如检查手机屏幕有否被恶意程式录影等。
动态监测 辨识可疑账户
虽然现行的电子银行指引已有防范恶意程式的要求,但陈景宏希望在本地出现类似骗案前,可前瞻性地加强电子银行保安,使银行更有效抵挡骗徒从电子渠道骗取客户存款的手法,防患未然,令骗徒更难向本地客户下手。新一轮措施重点加强可疑活动或交易的监测、身份认证和客户通知,主要措施包括设立动态诈骗监测机制,更全面考虑客户以往的交易模式及数据,迅速辨识可疑的账户活动;当发现客户的账户有异常活动或可疑的高风险交易,要求客户进行突击身份认证,或在双重认证外多加一重认证,确认账户并非由他人操作;除高风险交易外,银行亦应通知客户其账户的异常活动。
此外,之前有客户信用卡怀疑被盗用时,未能即时打通银行电话暂停信用卡服务。金管局会要求银行设立专属热线电话或电子银行平台即时暂停电子银行或信用卡账户,并禁止同一时间多于一个装置登入电子银行账户。
被问到有关措施如突击及额外身份认证等,会否影响客户使用银行服务的方便性及体验时,陈景宏表示,要平衡客户账户安全保障及风险,强调不是每一宗交易均会有额外身份认证,只是怀疑或高风险交易银行才会要求额外认证,认为不会太过影响客户使用。