證監會發通函 要求互聯網券商及VATP 推防仿冒詐騙措施
鑑於涉及客戶登入資料被盜用的仿冒詐騙攻擊日趨嚴重,證監會今天(9日)發出通函,要求互聯網經紀行及虛擬資產交易平台(VATP)營運者,就客戶登入及裝置綁定採用有效防止仿冒詐騙的認證方法。
該會要求這些可防止仿冒詐騙的認證方法,應在切實可行的情況下盡快予以實施,惟必須於有關通函發出日期起計12個月期限內,大型互聯網經紀行則應立即採用有關認證方法。
根據證監會現時要求互聯網經紀行及虛擬資產交易平台停止就客戶登入及裝置綁定使用一次性密碼,因為這個做法存在相關風險,且現時已有更高強度的替代認證方案,例如通行密鑰及綁定裝置,能提供更為穩健及可防止仿冒詐騙的認證方法。
除穩健的預防性監控措施外,該會稱,互聯網經紀行及虛擬資產交易平台亦應實施有效的偵測及監視措施,以便偵測可疑的登入、交易及提取活動,就重要的帳戶活動及時通知有關客戶,並及時應對黑客入侵事故。它們亦應就新興的仿冒詐騙及其他網絡保安風險定期警示及提醒客戶。
證監會提醒互聯網經紀行及虛擬資產交易平台的高級管理層,他們在實施適當的監控措施以保障客戶帳戶及資產方面,肩負最終責任。如客戶因其內部監控措施缺失而蒙受任何損失,證監會將就有關損失向他們問責。
證監會亦提醒投資者保持警覺,妥善保障其證券交易帳戶及登入資料的安全。投資者應採取審慎的保安措施,例如使用高強度且獨特的密碼,妥善保管並定期更新其登入資料及裝置,以及僅透過其持牌法團及虛擬資產交易平台的官方網站或流動應用程式登入其帳戶。投資者亦應定期監察其帳戶,並及時查閱帳戶結單、交易紀錄及通知,以識別可疑活動。投資者如懷疑其登入資料遭盜用,或發現任何未經授權交易,應立即聯絡其持牌法團或虛擬資產交易平台,保護其帳戶的安全,並將此事向有關當局舉報。