道高一尺ᅠ魔高一丈金融機構網絡保安高度戒備
金融機構開始大量應用科技,新興科技企業又進軍金融業,推出嶄新服務。消費者使用金融服務較以往更便利,惟亦衍生大量金融科技保安問題,產生的損失難以估計。今期「 FinTech解碼」邀得安永香港法證及誠信合規服務合夥人賈嘉林全面披露發展金融科技遇到的保安問題及解決之道。
2018年底港府發出首張虛擬保險牌照,而首批虛擬銀行牌照亦將於2019年首季發出。其他金
融機構開始大量採用科技以提升客戶體驗或內部工作效率。
惟應用科技愈多,產生的網絡保安風險愈大。故監管當局及金融機構對網絡保安風險不敢怠慢。
賈嘉林指出,現時銀行採取不同的保安措施。根據香港金融管理局指引,客戶進入銀行提供的應用程式( App),要進行雙重認證,首
層保護是輸入密碼;第二層是生物認證,如指紋。或由銀行給予客戶
的保安編碼器所發出的一次性密碼來登入網上銀行。
現時已有銀行推出屬生物識別技術的語音認證服務,用戶只須用
聲音便能確認身分並使用電話理財服務,甚至亦有銀行研究臉部辨認功能,務求讓客戶可以有一個更佳的用戶體驗。
另採用實時交易通知,每次客戶交易完成後,銀行都會發出短訊
或電郵通知,讓客戶知道自己的交易情況,以防被人盜用。
監管機構及銀行想方設法加強現有網上銀行的保安。而近年炙手可熱的金融科技,也出現不同程度保安問題。
區塊鏈保安有漏洞
賈嘉林指在近幾年熱門使用的區塊鏈,同樣存有保安問題。一般而言,黑客破解區塊鏈的密碼比較少,不過他們瞄準區塊鏈的解密鑰
匙。這條鑰匙並非實體鑰匙,而是由十多個數字、英文字及符號組成的密碼鑰匙。通常黑客都會盜取這條解密鑰匙,以盗取區塊鏈上的資料和比特幣( Bitcoin)。
在區塊鏈網絡上進行交易時,每個人都配有一個錢包( wallet),
每個錢包都是被特殊的加密法保護著,它存放交易紀錄及比特幣。
賈嘉林解釋,如果需要交易,
雙方需要使用一對獨特且配對的鑰匙,分別是公鑰和私鑰,才能解鎖並交易。當一個訊息被公鑰加密,
只有配對的私鑰才能解密讀到訊息;反之,如果你用你的私鑰加密訊息,只有配對的公鑰可以解密。
舉例,當A客戶想要轉賬時, A客戶會把自己的公鑰傳給B客戶,
而B客戶亦把自己的公鑰傳給A客戶。如果以後A客戶使用B客戶的公鑰加密時, B客戶就可用自己的私鑰打開文件。
理論上這個做法即使文件中途被黑客攔截了,只要沒有B客戶的私鑰就不會出現問題;反之亦然。
不過賈嘉林指,區塊鏈涉及幾個保安漏洞,如果客戶把鎖匙放在雲端時,有可能被黑客盜取。
賈嘉林提醒,市民必須妥善保管好自己的公鑰以及私鑰。
從這個角度來看,他指出在
區塊鏈上的錢包是否安全,與私鑰保管有很大的關係,因為錢包服務商是不會保存私鑰。一旦錢包被盜用,而錢包上沒有任何識別,黑客便可以快速把錢轉到不同的錢包,同時沒有人知道是誰拿走了。
即使放在網下保存的保安問題也大有學問,賈嘉林建議,區塊鏈鎖鑰可放在線下的文件檔中,同時這文件檔有密碼保存,並牢記存放位置,因為曾經有客戶忘記把鑰匙放在那裹,導致不能取回錢包上的比特幣。
利用釣魚網站騙取資料
區塊鏈技術開始獲得金融機構採用,隨虛擬銀行牌照快將批出,
相信來自金融科技的保安問題將會與日俱增,銀行或客戶亟須提升保安意識。
根據賈嘉林以往經驗,銀行經常會進行外部黑客攻擊測試,因此保安措施其實已經做得不錯。
不過,值得關注的反而是內部員工的威脅。如有些員工使用公司
內部電腦進入了黑客製造的釣魚網站、帶有連結附件的電子郵件,即使有更好的防火牆亦沒有用,黑客仍可入侵到銀行內部。
因此銀行應該提升公司內部員工對網路攻擊的知識,如可仿效一
些銀行,發出一些假的釣魚網站,測試員工訓練是否足夠。
不過,道高一尺、魔高一丈,
黑客依然可以利用釣魚網站來騙取賬戶登入名稱和密碼,同時也可以
利用釣魚網站讓市民提供第二重認證的資料。因此金融機構須經常提醒客戶更新密碼,並使用編碼器或手機短訊的一次性密碼。
如果客戶可以時刻保持警覺,其實當銀行引入新科技,客戶可享有較傳統銀行服務快速和安全。