Strengthening Security Controls for Internet Banking Services
HKMA finally warn the online banking user that 2-factors authentication is breakable. It was already raised years ago and until now it is warned. Is it too late? Not really because only 3 customers are defeated and involved three hundred thousand dollar only?
Then what will be the next steps? HKMA suggests (require/encourage) a post-transfer notification. But it didn't say it is a compulsory because of some customers may not have mobile phone? I always doubt why transferring money to third-party / non-registered party are allow in online banking, is it necessary or can it be request on demand only?
See how the experts comment on this :
電腦保安事故協調中心經理古煒德指出,早一兩年外國已出現這種名為「Man in the Middle」的網上銀行盜竊,料騙徒會入侵香港網上銀行客戶,故該中心早前已向香港銀行公會講解有關手法。他指騙徒利用不同方法,在用戶電腦植入木馬程序,當客戶網上交易時會記錄客戶資料,並在中間阻截,阻延客戶的資料及密碼送到銀行,其間黑客利用另一電腦進入系統,利用客戶資料取走金錢。
研究資訊保密技術的城大電子工程學系副教授鄭利明指,科技騙徒技術愈來愈高,在真的銀行網址上「操作」,一般市民難以察覺。
消委會總幹事劉燕卿表示,網銀應提供足夠保安,用戶亦宜自保,如設定轉帳上限、只轉帳至指定戶口。
港大資訊保安及密碼學研究中心副總監鄒錦沛表示,網上銀行最初推出時已使用,由當時只要求單一密碼,轉為近年的雙重認證的密碼,他的自保錦囊是:「當電腦顯示操作有誤,要求再輸入資料,我通常都不會即時再輸入,寧願再隔一陣再用。」他表示,銀行的雙重認證技術上其實已達很高水平,故騙徒很多時從用家身上着手,騙取用戶資料及密碼,提議用家加強警覺,減少風險:「我自己都設定不做第三者轉帳。」
電腦保安軟件公司Symantec保安顧問唐文生指,近一、兩年外地網上銀行欺詐個案有上升趨勢,他指要減低風險,可安裝端點保安方案的軟件,並定時更新,軟件設防火牆及能偵測到木馬程式。同時,電腦用戶要提高警覺,避免開啟可疑的電郵或下載檔案,亦避免瀏覽不知名網站,以防釣魚網站及被植入木馬程式。
Labels: security
posted by 一零一零 @ 7/15/2009
0 Comments
