原文標題： 七家證券期貨商遭撞庫攻擊！金管會祭三大措施因應 原文連結： https://reurl.cc/WX51ey 發布時間： December 14, 2021 原文內容： 證券期貨商陸續遭撞庫攻擊，導致投資人帳戶「被下單」買港股至今，通報被駭客入侵的 券商有 6 家、期貨商 1 家，金管會今日表示，已責成證交所與期交所強化三大措施因應 ，以保護投資人權益。 金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 （Credential Stuffing）攻擊， 這是一項利用殭屍網路（botnet）以自動化方式，不斷使用偷來的登錄憑證，試圖登錄網 路服務的一種攻擊技巧。 證期局副局長蔡麗玲表示， 金融機構提供各項金融服務與客戶所約定的帳號及密碼，是 作為客戶身分識別、認證及各項交易服務授權之主要工具，金管會呼籲民眾，妥善保管證 券期貨網路下單帳號密碼及相關電子憑證，千萬不要隨意交給他人。 蔡麗玲指出，網路下單快速又便利，為避免遭有心人士惡意盜用帳號從事交易，提醒民眾 應提高交易密碼的強度，避免使用容易被猜中的密碼，並定期更新，也不要將所有需註冊 會員的網站都設定同樣的帳號密碼。 蔡麗玲建議，避免使用圖書館、網咖、機場等場所的公用電腦，從事交易及輸入敏感性高 的資訊，並應妥善保存身分證件、網路交易帳號密碼及相關的電子憑證，不宜在開戶證券 商及期貨商以外的網站，提供或共用登入的帳號及密碼或交由他人保管，以免帳號遭冒用 下單，損及自身權益。 為保障民眾網路下單的交易安全，金管會已經責成證交所及期交所督導證券商及期貨商強 化下列三項措施，以維投資人權益： 一、證券商及期貨商提供網路下單服務，應於網路下單登入時落實採多因子認證方式，例 如下單憑證、綁定裝置、OTP、生物辨識等機制，強化憑證換發的驗證機制，以確保為客 戶本人登入。 二、證券商及期貨商應使用優質密碼設定並進行管控，確實執行密碼輸入錯誤次數達 3 次者應予中斷連線，及加強宣導客戶定期更新使用者密碼。 三、證券商及期貨商應每日針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄 等，進行監控及瞭解分析異常登入原因、異常 IP 登入時通知投資人，並留存相關紀錄。 心得/評論： 沒事沒事 各位可以散會了 船過水無痕 密碼到底怎麼外洩的：） 大家還是注意別用太簡單密碼、或是用在購物網站上唷！ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.93.191 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Stock/M.1639494968.A.37F.html