随著网络和手机应用程序电子金钱交易普及化,网络欺诈以骗取金钱的方式也层出不穷。国家银行(国行)于2022年9月底宣布对网络诈骗实施五大措施以打击网络金融罪案。本文主要叙述国行落实的五大措施,及宣导日常的自我防范。
国行宣布落实的五大措施,即:
(一)任何有关网络金钱交易和账号设定的身份验证,需以更安全的验证方式以取代短讯一次性密码(OTP)。目前各金融机构普遍采取的方式是以应用程序方式验证,只要打开应用程序对相关交易按批准或者拒绝。
取代短讯OTP的原由主要是防范“钓鱼(Phishing)”和基于网络安全有关。短讯OTP其实是双重验证(输入密码之后身份验证的第二关卡)的其中一个方式,目的是确定该金钱交易或户口设定是属于本人,且多数短讯OTP具时效功能。
但随著短讯OTP的普及化,诈骗者开始所谓的“钓鱼”,即联络账户本人要求念出收到OTP的6个数字。落实短讯OTP后,金融机构鲜少给电子交易的使用者“用户教育”,往往等到受害者把事情曝光甚至是受害者数量剧增后,才后知后觉地开始所谓的醒觉运动,即告知使用者绝不可告诉他人短讯OTP的6位密码。
对于刚接触或者不擅长科技的电子交易使用者而言,事故频频发生会让他们对电子交易失去信心甚至产生排斥,这不利于推广电子化。
在网络安全层面,随著身份验证的普及,短讯OTP是多种身份验证之一,却是对骇客而言最容易破解的身份验证方式。其他方式如谷歌验证程序自动生生密码并短时间内消失、如闪存盘般大小并可进行指纹验证的安全金锁(Yubikey)、在手机接收所谓的弹出信息按批准或拒绝。
使用应用程序验证身份可避免钓鱼,用户本人也更方便。这些新措施有利于推广电子化、网络安全也更有保障。
(二)金融机构内部对诈骗或者潜在诈骗检测更严。用户会被立即告知盗刷,金融机构会也可封锁该笔交易,直到用户验证。
积极的内部检测、主动通知用户并采取相关安全措施,有助于在推广电子化之际稳住使用者的信心。
设定冷静期
(三)对首次注册的网络银行户口或者手机平板设备设定冷静期(cooling-off period)。在冷静期期间,不允许进行任何交易。
骇客盗取账号后或者电子设备落入不法份子之后,诈骗者可尝试盗取既有的个人身份信息然后进行身份诈骗(identity fraud)。因此设定冷静期可在身份诈骗发生后,获取时间采取安全措施,避免进一步或陆续发生金钱诈骗。
(四)用户只可注册一个设备以进行身份验证。
第四措施其实与第一措施相关,每个用户只能注册一个设备验证身份,并在该注册的设备打开应用程序来验证。若遗失该设备,且看笔者下文的说明。
(五)金融机构需设立专属热线。国行指示这些机构积极协助和回应受害者,包括与各执法机构合作。
随著电子化已成趋势,民间的防范意识不可忽视。个人在日常生活中可采取几个保护措施:
1.若发现被盗刷,立即通知该金融机构,并采取相关安全措施。
2.设备被盗或遗失,立即遵照苹果或谷歌安卓的安全措施远端封锁遗失设备。若有SIM卡,立即联络电讯公司、报警,封锁和更换SIM卡。
3.鼓励对设备、需进入的电子支付程序或网站、社交媒体和邮箱设置在登入时双重验证,如人脸识别、指纹、谷歌自动程序自动生产密码、安全锁等等。
4.警惕。提防假网站、没有HTTPS的网站、知名度小的网站和程序、勿下载APK程序,免得里头装置恶意软件让受害者上钩。