[新闻] 七家证券期货商遭撞库攻击!金管会祭3大

楼主: Jimmy030489 (jimmychen)   2021-12-14 23:16:06
原文标题:
七家证券期货商遭撞库攻击!金管会祭三大措施因应

原文连结:
https://reurl.cc/WX51ey
发布时间:
December 14, 2021
原文内容:
证券期货商陆续遭撞库攻击,导致投资人帐户“被下单”买港股至今,通报被骇客入侵的
券商有 6 家、期货商 1 家,金管会今日表示,已责成证交所与期交所强化三大措施因应
,以保护投资人权益。
金融业正面临越来越多所谓的“密码撞库”的凭证填充 (Credential Stuffing)攻击,
这是一项利用僵尸网络(botnet)以自动化方式,不断使用偷来的登录凭证,试图登录网
路服务的一种攻击技巧。
证期局副局长蔡丽玲表示, 金融机构提供各项金融服务与客户所约定的帐号及密码,是
作为客户身分识别、认证及各项交易服务授权之主要工具,金管会呼吁民众,妥善保管证
券期货网络下单帐号密码及相关电子凭证,千万不要随意交给他人。
蔡丽玲指出,网络下单快速又便利,为避免遭有心人士恶意盗用帐号从事交易,提醒民众
应提高交易密码的强度,避免使用容易被猜中的密码,并定期更新,也不要将所有需注册
会员的网站都设定同样的帐号密码。
蔡丽玲建议,避免使用图书馆、网咖、机场等场所的公用电脑,从事交易及输入敏感性高
的资讯,并应妥善保存身分证件、网络交易帐号密码及相关的电子凭证,不宜在开户证券
商及期货商以外的网站,提供或共用登入的帐号及密码或交由他人保管,以免帐号遭冒用
下单,损及自身权益。
为保障民众网络下单的交易安全,金管会已经责成证交所及期交所督导证券商及期货商强
化下列三项措施,以维投资人权益:
一、证券商及期货商提供网络下单服务,应于网络下单登入时落实采多因子认证方式,例
如下单凭证、绑定装置、OTP、生物辨识等机制,强化凭证换发的验证机制,以确保为客
户本人登入。
二、证券商及期货商应使用优质密码设定并进行管控,确实执行密码输入错误次数达 3
次者应予中断连线,及加强宣导客户定期更新使用者密码。
三、证券商及期货商应每日针对核心系统的帐号登入失败纪录、非客户帐号登入尝试纪录
等,进行监控及了解分析异常登入原因、异常 IP 登入时通知投资人,并留存相关纪录。
心得/评论:
没事没事 各位可以散会了
船过水无痕 密码到底怎么外泄的:)
大家还是注意别用太简单密码、或是用在购物网站上唷!
作者: johnny1125bo (ppboy)   2021-12-14 23:19:00
就这样?
作者: happyman2015 (小霸王)   2021-12-15 01:21:00
强制券商提供OTP也不规定一下 至少OTP过才发凭证啊

Links booklink

Contact Us: admin [ a t ] ucptt.com