用戶自保 須啟動雙重認證

網上銀行方便快捷，但亦危機處處。網絡保安專家指出，黑客多通過「網絡釣魚」盜取網上帳戶資料，用戶若啟用雙重認證，可有效減低網上理財帳戶被入侵的機會。

黑客如何入侵大眾網上銀行帳戶？資訊保安公司F-Secure區域總監（亞太區）李力恒表示，黑客一般通過釣魚網站、帶有連結或附件的電子郵件，引導用戶安裝潛伏Keylogger等暗地記錄用家鍵盤按鍵紀錄的惡意軟件，從而偷取用戶各類網上帳戶的登入名稱、密碼等。加上坊間一些銀行或證券公司的網上服務保安不足，因成本昂貴未有推出雙重認證措施，如編碼器或手機短訊的一次性密碼，去認證客戶身份，使黑客輕易得手。

假如服務供應商有雙重認證，香港電腦保安事故協調中心高級顧問梁兆昌稱，Keylogger此類惡意軟件無法破解第二道認證，安全性會大大提高。

不過，雙重認證也非絕對安全，梁指出，有銀行木馬（Banking Trojan）惡意軟件不但可盜取帳戶登入資料，更可入侵瀏覽器，在用戶進行網上交易途中，彈出一個假冒網頁，以安全檢查為由，要求對比一次性密碼，騙取受害者輸入該一次性密碼，藉此破解雙重認證，即時盜取金錢。

綜合兩位網絡保安專家建議，用戶使用網上銀行或股票系統，必須啟用雙重認證。若要從源頭阻擋黑客入侵，需留意不要打開不明來歷的電郵或網站連結，亦要提防下載暗藏惡意軟件的附件等。

另外，愈來愈多市民會用手機登入網上理財，李力恒提醒「便宜莫貪」，要留意手機應用程式（App）會否要求不必要的權限，如手機短訊、通訊錄，免費而功能多多的應用程式往往是犧牲個人私隱來換取；市民亦不應在聲稱可免費下載付費程式的網站下載程式，因可能潛伏間諜程式。