券商發SMS驗證存風險 證監促改用通行密鑰

  香港文匯報訊(記者 周紹基)為了加強網絡保安,香港證監會昨日向券商發通函,要求券商於客戶啟動或登入賬戶時,停止採用短訊(SMS)一次性密碼認證,證監會要求券商採用更高強度的替代認證方案,例如以「通行密鑰」配合綁定裝置使用,以減低網上交易騙案風險。證監會要求互聯網經紀行或虛擬資產服務提供者不遲於明年7月8日(即通函發出日期起計12個月內)實施,大型互聯網經紀行應立即實施。

  須對應創建密鑰的網站或App

  證監會指出,目前登入賬戶使用短訊一次性密碼的認證做法存在風險。在互聯網經紀行及虛擬資產服務提供者於2025年向證監會匯報的網絡保安事故中,騙徒發出含有惡意連結的短訊,冒充互聯網經紀行,並聲稱應監管機構或政府機關的要求而索取資料,誘使客戶在虛假網站上輸入其用戶登入資料,當中包括在互聯網經紀行的登入程序中用作認證客戶身份的一次性密碼。同時,證監會還懷疑騙徒利用了「中間人攻擊」的方式來作案,以截取這些客戶的登入資料,從而登入客戶賬戶以進行未經授權交易。

  證監會在通函中羅列一些更高強度的替代認證方案,其中提到「通行密鑰」(passkey)配合綁定裝置使用。通行密鑰的設計令它只能與其創建和註冊時所對應的合法網站或應用程式配合使用;而綁定裝置,則一般會透過生物識別數據核實或以個人身份識別碼(PIN)來解鎖,用以核實客戶賬戶建立連結的裝置。通行密鑰配合綁定裝置使用能提升保安程度。同時,證監會亦要求,一般情況下不應容許客戶就其互聯網交易賬戶綁定或註冊超過三個通行密鑰及/或三部裝置。

  證監下周辦研討會解疑

  除穩健的預防性監控措施外,互聯網經紀行及虛擬資產交易平台亦應實施有效的偵測及監視措施,以便偵測可疑的登入、交易及提取活動,就重要的賬戶活動及時通知有關客戶,並及時應對黑客入侵事故。它們亦應就新興的仿冒詐騙及其他網絡保安風險定期警示及提醒客戶。

  因應證監會的通函,香港證券及期貨專業總會表示,證監會本月15日下午將舉行網絡研討會,為行業人員介紹案例及解答疑難。