金管局要求銀行向客戶索取額外信息進行身份核實。當局也指示所有金融機構進行風險評估,判斷網絡襲擊事件對旗下金融服務的安全措施有何影響。
金融管理局發出通知,要求所有金融機構制定更嚴格的客戶身份核實程序,避免最近受大規模網絡襲擊影響的受害者,被不法之徒利用外泄的個人資料來登錄受害者的銀行戶頭。
150萬名曾到新加坡保健服務集團旗下醫院或診療所看病的病患,基本個人資料如身份證號碼和出生日期等被黑客竊取,金管局昨天要求所有金融機構在核實客戶身份時,不能只檢查姓名、身份證號碼、出生日期和地址等資料是否與記錄一樣,因爲這些正是黑客已盜取的信息。銀行應向客戶索取額外信息進行身份核實,這包括最後交易金額與日期、手機一次性密碼,和采用生物識別科技(biometrics)等。
金管局也指示所有金融機構進行風險評估,判斷網絡襲擊事件對旗下金融服務的安全措施有何影響。
金管局首席網絡安全官陳耀勝說,該局將同金融機構緊密合作,確保電子服務系統的安全性。“但客戶也必須盡本分,保護密碼並采取妥善的網絡安全措施。客戶若懷疑銀行戶頭出現可疑交易,應立即通知銀行。”
新保集團的網絡系統在今年6月底至7月初期間遭到網絡黑客襲擊,除了150萬名病患的個人資料外泄,黑客也取得了其中16萬人的門診配藥記錄,這次襲擊事件的受害者包括李顯龍總理、榮譽國務資政吳作棟和數名部長。
金管局指出,銀行電子服務目前已采用雙重認證(2FA),客戶輸入密碼後,會接到一次性手機密碼,再輸入這個密碼才能登錄使用服務。在登記第三方收款人資料或修改轉賬額上限時,銀行也得設額外安全措施,防止可疑交易。
本地主要銀行表示已采取嚴格核實措施,並呼籲客戶一旦發現未經授權的交易,應立即通知銀行。
華僑銀行說,該銀行已設有嚴格的程序核實客戶身份,在網絡襲擊事件後也進一步加強了身份核實程序,防止客戶戶頭遭人濫用。星展銀行發言人表示已經加強安全措施,在客戶致電詢問時進行更嚴格的身份核實工作。
大華銀行指出,除了設有金管局所提出的身份核實措施外,它也另設有妥善的措施和程序,防止客戶戶頭被不法之徒冒用。