据香港明报报道,香港证监会昨宣布展开咨询,拟加强证券行网上交易保安。香港证监会称,近年黑客入侵肆虐,截至3月底的18个月发生逾27宗相关事故,涉及金额达1.1亿元,并指个案多以向细价股进行「唱高散货」的手法获利。
事实上,除证券行外,银行证券户口近年面对同样问题,据了解金管局亦非常关注。
在咨询文件中,香港证监会披露黑客获利的「路线图」,包括在入侵网上证券户口进行买卖时,通常已经用其他户口囤积了一部分目标细价股的股票,以盗用户口内的现金买入以推高股价,继而大量放售原有股份套利,令被入侵的账户的拥有人有机会蒙受损失。
创板细价股较易炒上成目标
一通证劵行政总裁宓光辉表示,这种行骗方式令黑客不需要伪冒他人身分提取现金的情况下图利,因为一般情况下证券户口结算变现的程序牵涉银行过户,变相提高黑客遭揭发的风险。宓光辉亦指出黑客倾向选择创业板细价股作目标,尤其是市值小及成交有限的股票,因其较容易控制炒上。
香港证监会在咨询文件中提出强制要求券商为网上交易系统登入设置双重认证,现时包括一通及耀才证券在内的券商均未有设双重认证,耀才证券总裁许绎彬称其网上交易系统设两重密码制,已经比部分证劵行安全,待香港证监会推出实施双重认证的时间表再作安排。宓光辉称,一通的交易系统在输入密码5次后户口便自动锁上,承认现时黑客以「较常见的密码组合去撞户口,较容易撞中」,一通暂时未有录得黑客入侵的个案。
券商:双重认证或加重交易高峰期负荷
宓光辉亦表示,双重认证实行上需要考虑周全,例如在早上开市时是客户登入系统的高峰期,午后亦是另一的繁忙时段,系统需要支持到同时间发出数以千计的电邮或讯息可能会有难度,短讯发出一次性密码的成本高昂,会研究能否以其他方式如WhatsApp或手指纹等作第二重登入认证。
除了双重认证,香港证监会亦建议券商网上交易帐户出现某些活动时要立即通知客户,例如在客户登入系统、执行交易、向第三方转移资金、更改个人资料及重设密码后以电邮或短讯作出实时通知,让客户能察觉户口遭黑客入侵,继而侦测有关事故。
香港证监会会亦建议扩展网络保安的规定至非交易所上市及买卖的证券交易,包括认可单位信托及互惠基金等。