1.媒体来源:
LTN
2.记者署名:
王孟伦
3.完整新闻标题:
7家证券期货商遭“撞库攻击” 金管会祭3大措施
4.完整新闻内文:
〔记者王孟伦/台北报导〕今年11月底,国内传出有6家证券商、1家期货商遭到骇客以密
码“撞库攻击”,客户被冒名下单买港股之重大资安事件,对此,金管会今天表示,已责
成证交所与期交所督导国内证券期货商进行3大强化措施,以保护投资人权益。
元大证券、统一证券在11月25日惊传其复委托下单系统遭骇客入侵,后续经向金管会通报
有类似资安攻击,合计有7家证券及期货业者。
对此,金管会证期局官员表示,“密码撞库攻击”是骇客利用民众大量外流的电子邮件地
址和密码,再搭配自动化程式,冒用客户登录到券商网络下单系统进行交易;“密码撞库
攻击”是骇客不断登录网络服务,直到某一组帐号密码被“撞”成功为止。
许多人为了记忆使用方便,常常会相同的用户名和密码来注册,这就容易提供骇客不法攻
击的机会。证期局表示,为保障民众网络下单之交易安全,已经责成证交所及期交所督导
证券商及期货商强化下列3项措施,以维投资人权益。
第一是证券商及期货商应使用优质密码设定并进行管控,确实执行密码输入错误次数达3
次,必须予中断连线,及加强宣导客户定期更新使用者密码。
第二是证券商及期货商提供网络下单服务,应于网络下单登入时落实采多因子认证方式,
例如:下单凭证、绑定装置、OTP、生物辨识等机制,强化凭证换发的验证机制,以确保
为客户本人登入。
第三是证券商及期货商应每日针对核心系统的帐号登入失败纪录、非客户帐号登入尝试纪
录等,进行监控及了解分析异常登入原因、异常IP登入时通知投资人,并留存相关纪录。
根据统计,国内69家券商当中,共有49家有提供网络、App下单服务。
此外,证期局也对民众提出呼吁,金融机构提供的帐号及密码,是作为客户身分识别、认
证及各项交易服务授权之主要工具,呼吁民众要妥善保管,不要随意交给他人。
尤其,民众应避免使用图书馆、网咖、机场等地之公用电脑从事交易及输入敏感性高的资
讯,不宜在开户证券商及期货商以外之网站,提供或共用登入之帐号及密码或交由他人保
管,以免帐号遭冒用下单。
5.完整新闻连结 (或短网址):
https://ec.ltn.com.tw/article/breakingnews/3768841
6.备注:
※ 一个人一天只能张贴一则新闻(以天为单位),被删或自删也算额度内,超贴者水桶,请注意
※ 备注请勿张贴三日内新闻(包含连结、标题等)