金管研網銀認證撤一次性密碼 防短訊遭惡意攔截 明年次季分段實行

金管局繼上周推出加強支付卡的保安措施，要求使用手機銀行的客戶，須透過綁定裝置上的銀行手機應用程式來驗證網上信用卡交易，取代一次性短訊密碼後，消息指出，金管局亦擬把有關措施擴大至網上銀行服務。至於非手機銀行客戶，若仍使用一次性短訊密碼（SMS OTP），銀行要加強詐騙的監控及相關管控，冀明年第二季開始分階段實行，實際仍要視諮詢銀行後情況而定。

促讓客可停用高風險線上服務

金管局發言人回應稱，該局就上周發出的指引，要求銀行須於年底前推出有關的保安措施，並會繼續密切監察最新的犯案手法，持續提升銀行應對網絡詐騙的能力，包括正諮詢銀行業如何進一步擴展有關措施至網上銀行服務，並與銀行共同探索新的電子銀行功能，讓客戶可以選擇停用某些高風險的線上服務，例如網上新增收款人或網上提高轉賬限額等。

消息指出，為減低不法之徒利用惡意程式來盜取或攔截銀行客戶的一次性短訊密碼，金管局擬加強對網上銀行服務的保安措施，建議手機銀行客戶就網上銀行服務進行認證時，包括登入賬戶及高風險交易，要透過綁定裝置上的手機應用程式來進行驗證，而不是透過一次性短訊密碼。在綁定裝置過程上要採用人面識別。同時，要透過有效不容易被攔截的方法的額外確認的方法以取代雙向短訊。

對於非手機銀行客戶，若仍繼續使用一次短訊密碼，建議銀行加強詐騙的監控及相關管控，例如降低最高交易限額。同時，建議銀行作出額外的管控，如讓客戶可以選擇停用網上新增第三方收款人的登記，或停用網上提高轉賬限額服務等。

建議的優化保安措施擬分兩階段落實，首階段啟動綁定裝置於手機銀行，擬於明年第二季開始，客戶需以人面識別或同樣嚴格的驗證，若客戶未能以人面識別驗證，需到銀行分行或透過銀行熱線求助。第二階段是把網上銀行服務的一次性短訊密碼及雙向短訊逐步取消，及增加其他管控，如讓客戶可選擇停用網上新增收款人或網上提高轉賬限額等措施，預期明年下半年開始。

業界估不會引起太大爭議

銀行界人士指出，金管局部分建議如綁定裝置於銀行手機應用程式，部分銀行已有類似做法，其他建議，部分或增加銀行工作，客戶要使用某網銀服務時可能多做幾個步驟，例如客戶停用網上提高轉賬限額，若再有需要，可能必須要再到銀行分行重啟有關服務方可進行，惟措施旨在加強對客戶保障，特別是有助減低弱勢社群如長者受騙的機會等，相信業界不會有太大的爭議。

金管局上周發出通告，要求銀行向客戶提供更安全的認證方法，客戶須透過銀行的手機應用程式為網上信用卡交易進行確認，取代一次性短訊密碼。因為留意到惡意程式有變種的跡象，騙徒要求客戶繞過銀行偵測惡意程式的措施。

至於手機銀行應用程式的登入或確認，除人面識別，銀行亦可透過密碼、裝置綁定或其他有效方法認證客戶身份。

採訪、撰文：陳玉珍