虛擬銀行開業黑客伺機搵食 銀行政府如何保障用戶？

撰文：經一編輯部 ｜ 圖片：Unsplash、新傳媒資料室

根據香港金融管理局數據，傳統銀行業在2018年發現偽冒電郵、欺詐網站及可疑手機應用程式的數量達142宗，按年上升2.2倍。由於虛擬銀行沒有實體店，開戶及交易均透過電子網絡進行，科技業界相信，黑客針對虛擬銀行進行詐騙的機會頗高。事實上，由去年底起金管局發現多宗偽冒虛擬銀行的欺詐網站及電郵，涉及天星銀行和眾安銀行。

金管局提醒，任何人士若曾向該網站提供其個人資料，或曾透過該電郵進行任何交易，應聯絡有關銀行及警方。這類的詐騙電郵或網站，目的主要是騙取用戶的個人資料，收集銀行賬號及密碼，再攻入用戶其他的銀行或其他賬戶，盜取金錢或進行其他犯法行為。在詐騙電郵或網站更趨活躍下，虛擬銀行經營者在網絡安全上亦必然要承受較大的風險，以及需要投放更多的資源，提高內部系統的安全性。

Mox智能監控可疑交易

由渣打香港牽頭成立的虛擬銀行Mox，便指出會採用多重保安措施，以頂尖的技術提供加密、身份識別或反欺詐系統，保護用戶的戶口、交易和個人資料。Mox的多重認證技術，用戶必須使用密碼、指紋或臉部識別功能以登入戶口，當系統發現高風險的交易時，會要求用戶提供額外的身份認證以作核實。當系統發現高風險的交易時，會要求用戶提供額外的身份認證以作核實，將用戶的戶口與手提電話配對，每個戶口只能同時間配對一部手提電話和一個電話號碼。

此外，Mox使用智能監控系統全天候，偵測戶口懷疑欺詐或未經授權的交易。當系統發現可疑交易時，便會採取行動進一步作驗證，包括透過Mox語音或視訊通話與用戶聯絡，要求用戶以辨識度更高的生物認證技術重新驗證身份。同時，與現時其他銀行的做法相若，Mox會透過手機應用程式的推送通知或電郵提醒用戶，以隨時隨地掌握Mox Card和戶口的每一項交易。用戶透過Mox手機應用程式，可以即時追蹤戶口的變動和舉報不尋常的活動。在交易結束後，會在Mox的手機應用程式收到即時的推送通知，以追查每一項交易細節及紀錄。

延伸閱讀：渣打領軍虛擬銀行品牌Mox 推亞洲首張無號碼銀行卡 料年内正式啓業

金管局推「網絡防衛計劃」

另外，用戶經常使用手機登入銀行賬戶進行交易，也要注意手機本身的安全。過往有專家發現，有針對安卓（Android）手機惡意程式，該惡意程式可以獲取安卓手機的root權限，之後進行入侵攻擊，導致手機系統中的數據被泄漏，短訊被竊取以及硬件出現使用故障等。由於黑客可以通過應用商店的下載軟件或者點擊短訊中的URL，將惡意程式植入用戶的手機，用戶隨時中招而不自知。另一家虛擬銀行眾安銀行表示，為了保障用戶的利益，該行的手機應用程式也會替用戶檢測手提電話是否具有root許可權。

眾安銀行指，其手機應用程式已內置了安全偵察小工具，會替用戶檢測當前運行環境是否安全，是否有root出現的痕跡。如果發現任何root活動的蛛絲馬跡，手機應用程式便會立刻停止應用，避免資料外泄。同時，手機應用程式會彈出威脅提示給用戶，告訴用戶該手機應用程式終止的原因。眾安銀行又提醒用戶在使用安卓手機時，要提高自身的安全意識，例如不要主動獲取手機root許可權；不要安裝來歷不明的應用程式；不要訪問高危網站；不要隨意掃描未知的二維碼（QR code）等。

而監管機構亦知道有關風險，並尋找適當方案作出防範，金管局便在2016年推出「網絡防衛計劃」。該計劃旨在提升銀行體系的網絡防衛能力，要求銀行業界要定期評估其網絡安全系統，模擬黑客入侵進行攻防。「網絡防衛計劃」共分為3部分，包括制定網絡防衛評估框架，讓銀行業以此作依據評估本身的風險狀況，定出為適當地防範網絡攻擊而需要採取的防禦措施及保安水平。

另外，提供專業培訓計劃，推出本地認證計劃及專業培訓課程供網絡安全從業員選讀；並設立網絡風險資訊共享平台，讓銀行能夠從風險資訊共享平台及時收到提示或警告。

金管局副總裁阮國恒曾透露，當局發現有部分銀行在評估期間，發現其網絡安全出現缺失，雖然並非重大缺失，但亦要求銀行在合理時間內改善。另外，用戶也有責任，除不應隨便在社交網站公開身份資料外，在遙距開立銀行戶口，必須確保進入的是真實銀行網站。如有懷疑應查閱虛擬銀行的資料及網站。