[新聞] 七家證券期貨商遭撞庫攻擊!金管會祭3大

作者: Jimmy030489 (jimmychen)   2021-12-14 23:16:06
原文標題:
七家證券期貨商遭撞庫攻擊!金管會祭三大措施因應

原文連結:
https://reurl.cc/WX51ey
發布時間:
December 14, 2021
原文內容:
證券期貨商陸續遭撞庫攻擊,導致投資人帳戶「被下單」買港股至今,通報被駭客入侵的
券商有 6 家、期貨商 1 家,金管會今日表示,已責成證交所與期交所強化三大措施因應
,以保護投資人權益。
金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 (Credential Stuffing)攻擊,
這是一項利用殭屍網路(botnet)以自動化方式,不斷使用偷來的登錄憑證,試圖登錄網
路服務的一種攻擊技巧。
證期局副局長蔡麗玲表示, 金融機構提供各項金融服務與客戶所約定的帳號及密碼,是
作為客戶身分識別、認證及各項交易服務授權之主要工具,金管會呼籲民眾,妥善保管證
券期貨網路下單帳號密碼及相關電子憑證,千萬不要隨意交給他人。
蔡麗玲指出,網路下單快速又便利,為避免遭有心人士惡意盜用帳號從事交易,提醒民眾
應提高交易密碼的強度,避免使用容易被猜中的密碼,並定期更新,也不要將所有需註冊
會員的網站都設定同樣的帳號密碼。
蔡麗玲建議,避免使用圖書館、網咖、機場等場所的公用電腦,從事交易及輸入敏感性高
的資訊,並應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證,不宜在開戶證券
商及期貨商以外的網站,提供或共用登入的帳號及密碼或交由他人保管,以免帳號遭冒用
下單,損及自身權益。
為保障民眾網路下單的交易安全,金管會已經責成證交所及期交所督導證券商及期貨商強
化下列三項措施,以維投資人權益:
一、證券商及期貨商提供網路下單服務,應於網路下單登入時落實採多因子認證方式,例
如下單憑證、綁定裝置、OTP、生物辨識等機制,強化憑證換發的驗證機制,以確保為客
戶本人登入。
二、證券商及期貨商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達 3
次者應予中斷連線,及加強宣導客戶定期更新使用者密碼。
三、證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄
等,進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人,並留存相關紀錄。
心得/評論:
沒事沒事 各位可以散會了
船過水無痕 密碼到底怎麼外洩的:)
大家還是注意別用太簡單密碼、或是用在購物網站上唷!
作者: johnny1125bo (ppboy)   2021-12-14 23:19:00
就這樣?
作者: happyman2015 (小霸王)   2021-12-15 01:21:00
強制券商提供OTP也不規定一下 至少OTP過才發憑證啊

Links booklink

Contact Us: admin [ a t ] ucptt.com