據香港明報報道,香港證監會昨宣布展開咨詢,擬加強證券行網上交易保安。香港證監會稱,近年黑客入侵肆虐,截至3月底的18個月發生逾27宗相關事故,涉及金額達1.1億元,并指個案多以向細價股進行「唱高散貨」的手法獲利。
事實上,除證券行外,銀行證券戶口近年面對同樣問題,據了解金管局亦非常關注。
在咨詢文件中,香港證監會披露黑客獲利的「路線圖」,包括在入侵網上證券戶口進行買賣時,通常已經用其他戶口囤積了一部分目標細價股的股票,以盜用戶口內的現金買入以推高股價,繼而大量放售原有股份套利,令被入侵的賬戶的擁有人有機會蒙受損失。
創板細價股較易炒上成目標
一通證劵行政總裁宓光輝表示,這種行騙方式令黑客不需要偽冒他人身分提取現金的情況下圖利,因為一般情況下證券戶口結算變現的程序牽涉銀行過戶,變相提高黑客遭揭發的風險。宓光輝亦指出黑客傾向選擇創業板細價股作目標,尤其是市值小及成交有限的股票,因其較容易控制炒上。
香港證監會在咨詢文件中提出強制要求券商為網上交易系統登入設置雙重認證,現時包括一通及耀才證券在內的券商均未有設雙重認證,耀才證券總裁許繹彬稱其網上交易系統設兩重密碼制,已經比部分證劵行安全,待香港證監會推出實施雙重認證的時間表再作安排。宓光輝稱,一通的交易系統在輸入密碼5次后戶口便自動鎖上,承認現時黑客以「較常見的密碼組合去撞戶口,較容易撞中」,一通暫時未有錄得黑客入侵的個案。
券商:雙重認證或加重交易高峰期負荷
宓光輝亦表示,雙重認證實行上需要考慮周全,例如在早上開市時是客戶登入系統的高峰期,午后亦是另一的繁忙時段,系統需要支持到同時間發出數以千計的電郵或訊息可能會有難度,短訊發出一次性密碼的成本高昂,會研究能否以其他方式如WhatsApp或手指紋等作第二重登入認證。
除了雙重認證,香港證監會亦建議券商網上交易帳戶出現某些活動時要立即通知客戶,例如在客戶登入系統、執行交易、向第三方轉移資金、更改個人資料及重設密碼后以電郵或短訊作出實時通知,讓客戶能察覺戶口遭黑客入侵,繼而偵測有關事故。
香港證監會會亦建議擴展網絡保安的規定至非交易所上市及買賣的證券交易,包括認可單位信托及互惠基金等。
