金管局推新10招加強電子銀行保安 望明年3月全落實
為加強電子銀行保安,使銀行有效抵擋騙徒從電子渠道騙取客戶存款的手法,金管局參考外國經驗,推出新一輪共10項措施,重點加強可疑活動或交易監測、身份認證及客戶通知,主要措施包括動態詐騙監測機制、突擊及額外身份認證、可疑或異常活動通知、暫停電子銀行帳戶、降低預設跨境轉帳限額,及限制帳戶同時登入。金管局銀行監理助理總裁陳景宏表示,今日(31日)推出相關指引後,由於涉及銀行系統改動,料需時4至5個月,希望明年3月能夠全面落實。
僅發現零星電子銀行帳戶被操控騙案
陳景宏表示,根據警方數字顯示,儘管在今年上半年,涉及本地電子銀行帳戶被操控的騙案只有零星個案,但金管局留意到不少海外地區的相關騙案,均有所增加(如英國、新加坡、日本),而且詐騙手法越趨高明。
他舉例,有騙徒編寫針對Android作業系統的惡意程式,透過社交平台賣廣告或假的Google Play Store網頁,裝扮成遊戲、電影或購物優惠的應用程式,誘騙公眾以連結或二維碼方式下載,安裝後便能記錄客戶輸入的電子銀行密碼,以及讀取一次性短訊密碼,但客戶卻難以發現。
據現行電子銀行指引,其實已有防範惡意程式的要求,例如銀行在提供電子銀行服務前,須檢查客戶的手機安全情況,如是否為已「越獄」的手機或有否被安裝惡意程式的跡象,若有關裝置並不安全,便不應提供相關服務。此外,如銀行的流動應用程式有提供流動保安編碼器等重要功能,更須進一步加強防範惡意程式的保安措施,如檢查手機屏幕有否被惡意程式錄影等。
要求銀行進行突擊及額外身份認證
陳景宏表示,在加強監測可疑交易及額外身份證認證方面,要求銀行設立動態詐騙監測機制,更全面考慮客戶以往的交易模式及數據,迅速辨識可疑的帳戶活動。銀行並會突擊及額外身份認證,當發現客戶的帳戶有異常活動或可疑的高風險交易,要求客戶進行突擊身份認證,或在雙重認證外多加一重認證,確認帳戶並非由他人操作。
在提升客戶監控能力方面,除高風險交易外,銀行也應通知客戶其帳戶的異常活動,如地點變更、新裝置綁定或登入等。同時,客戶可透過專屬熱線電話或電子銀行平台即時暫停帳戶。銀行也應根據風險評估,降低客戶跨境轉帳的預設限額,並禁止同一時間多於一個裝置登入電子銀行帳戶。
降低客戶跨境轉帳的預設限額
陳景宏表示,新措施針對常見和新的騙案手法,進一步保障客戶,例如騙徒操控了客戶帳戶後,會有些可疑活動,如從海外以另一手機同時登入,或會將資金轉至海外戶口,因此新措施要求銀行比對客戶以往的數據加強監測,從而辨識和通知客戶這些可疑活動,作出突擊或額外認證,並禁止不同裝置同時登入,確保帳戶並非由騙徒操控,以及降低客戶跨境轉帳的預設限額。
在減低損失方面,加強客戶監控異常活動的能力,並有便捷的渠道暫停銀行帳戶,令未授權轉賬交易更易被發現,更難被執行。同時,客戶可透過24小時渠道,報告異常交易並獲得支援。