證券期貨業者頻遭密碼撞庫攻擊 金管會祭三招因應

證券期貨商於 11 月底陸續傳出遭駭客入侵的資安事件，據了解，此次通報券商達 6 家、期貨商 1 家，駭客多是以密碼撞庫攻擊「被下單」買港股，有鑑於此，金管會今 (14) 日表示，已責成證交所與期交所強化三項措施，以保護投資人權益。

金融業近期頻頻傳出所謂「密碼撞庫」的憑證填充 (Credential Stuffing) 攻擊，這是一項利用殭屍網路 (botnet) 以自動化方式，不斷使用偷來的登錄憑證試圖登錄網路服務的一種駭客攻擊技巧。

證期局副局長蔡麗玲表示，各項金融服務客戶所約定的帳號及密碼，是作為客戶身分識別、認證及各項交易服務授權的主要工具，金管會呼籲民眾妥善保管證券期貨網路下單帳號密碼及相關電子憑證，不要隨意交給他人。

蔡麗玲表示，網路下單快速又便利，為避免遭有心人士惡意盜用帳號從事交易，提醒民眾應提高交易密碼的強度，避免使用容易被猜中的密碼並定期更新，也不要將所有需註冊會員的網站都設定同樣的帳號密碼。

蔡麗玲進一步指出，建議也要避免使用圖書館、網咖、機場等地的公用電腦，從事交易及輸入敏感性高的資訊，更應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證，不宜在開戶證券商及期貨商以外的網站，提供帳號及密碼交由他人保管，以免帳號遭冒用下單，損及自身權益。 

為保障民眾網路下單的交易安全，金管會已經責成證交所及期交所督導證券商及期貨商強化下列三項措施，以維投資人權益：

一、證券商及期貨商提供網路下單服務，應於網路下單登入時落實採多因子認證方式，例如：下單憑證、綁定裝置、OTP、生物辨識等機制，強化憑證換發的驗證機制，以確保為客戶本人登入。

二、證券商及期貨商應使用優質密碼設定並進行管控，確實執行密碼輸入錯誤次數達 3 次者應予中斷連線，及加強宣導客戶定期更新使用者密碼。

三、證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等，進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人，並留存相關紀錄。