香港網上銀行安全:完整指南
如何保護你在匯豐、恒生銀行、中國銀行(香港)、渣打銀行及香港每家銀行的帳戶安全。
如何保護你在匯豐、恒生銀行、中國銀行(香港)、渣打銀行及香港每家銀行的帳戶安全。
香港的銀行業是全球數碼化程度最高的之一。所有主要零售銀行——匯豐、恒生、中國銀行香港(BOCHK)、渣打、花旗、星展、工商銀行,以及數十家規模較小的機構——均提供功能完善的手機及網上銀行平台。這種先進性為數百萬客戶帶來便利,但也意味著罪犯在尋找利用系統漏洞的方法上投入了大量資源。
最常見的攻擊不是技術性黑客入侵,而是從欺騙 ↗開始。精心設計成與匯豐或恒生官方通訊完全相同的網絡釣魚電郵和短訊,被發送至數以萬計的香港手機號碼和電郵地址。這些訊息中嵌入的連結,引導至實時竊取憑證的複製銀行網站,將憑證直接送達詐騙者,讓他們立即登入並轉走資金。精密的攻擊活動甚至同時將被盜憑證轉至真實銀行,使受害者繼續到一個看似真實的頁面,在查閱結餘前毫無察覺。
Malware是另一個平行的威脅向量。銀行木馬程式——專門針對金融應用程式設計的惡意軟件——可在正版銀行應用程式上覆蓋假登入頁面、截取短訊驗證碼,或在使用期間錄制屏幕活動。這些木馬程式通常以看似無害的應用程式形式出現,從非官方應用程式商店下載,或以惡意附件的形式出現在有針對性的電郵中。一旦安裝,便悄然運作,等待用戶打開銀行應用程式後竊取憑證和會話令牌。
每個銀行 ↗平台使用強效且獨一無二的密碼,是帳戶安全的基礎。在不同服務中重複使用密碼是極度危險的——當你使用的任何網站遭受數據洩露,攻擊者便會立即在每家主要銀行 ↗的登入頁面測試這些憑證。鑑於普通人擁有數十個網絡帳戶,憑證填充攻擊的成功率令人咋舌。密碼管理器透過為每項服務生成並儲存獨特、複雜的密碼來解決這個問題。
雙重身份驗證(2FA)提供了關鍵的第二保護層。香港銀行提供多種2FA機制——短訊一次性密碼、硬件安全令牌、透過專用驗證應用程式的軟令牌,以及與銀行自有流動應用程式綁定的生物識別驗證。短訊OTP最為常見,但也最脆弱,容易受到SIM卡調換和實時網絡釣魚的攻擊。若你的銀行提供基於應用程式的推送通知或驗證應用程式TOTP碼,應選擇這些替代選項。
匯豐的保安編碼器、恒生的eSecurity Token及類似的硬件或軟件令牌系統,生成時限性驗證碼,比短訊更難被攔截。對於你最高價值的帳戶,請向銀行要求最強的可用身份驗證方法。同時為所有登入嘗試啟用提示,尤其是來自新設備或地點的登入——大多數香港銀行會在你的帳戶從不熟悉的設備被訪問時,透過短訊或推送通知通知你。
安全訪問你的銀行帳戶,與技術同樣有關行為。你在何處進行網上銀行——使用的網絡、設備和瀏覽器——決定了你很大一部分的風險暴露。香港地鐵站、購物商場、餐廳及機場候機室的公共WiFi網絡,是中間人攻擊的常見目標。攻擊者可設置具有令人信服名稱的惡意接入點,截取你的流量,即使網站使用HTTPS也能取得會話令牌。在沒有受信任VPN的情況下,切勿在公共WiFi上進行網上銀行。
你用於銀行業務的設備需要有其自己的衛生習慣。及時更新你的操作系統和銀行應用程式——malware利用的大多數漏洞在發現後數週內被修補,但只有更新的用戶才能獲得保護。在手機設備上,只從官方應用程式商店(App Store或Google Play)安裝銀行應用程式,確認開發者與你的銀行相符(例如「HSBC Group」而非「HSBC_HK_2024」),並授予最少權限。銀行應用程式無需訪問你的聯絡人、麥克風或位置即可正常運作。
在輸入任何憑證前核實你在合法銀行網站上,是不可妥協的。查看地址欄中的完整域名——合法的匯豐網上銀行在personal.hsbc.com.hk,而非hsbc-security.com或類似變體。主要瀏覽器會為HTTPS顯示掛鎖圖示,但這只確認連接加密,不確認網站合法——釣魚網站也使用HTTPS。將你銀行的官方URL加入書籤並從書籤導航,可消除因輸入錯誤導致進入外觀相似域名的風險。
速度是帳戶遭入侵時限制損失的決定性因素。香港銀行設立24小時詐騙熱線,正是因為每過一分鐘,便讓更多提款發生並降低追回的可能性。HKMA(香港金融管理局)要求銀行為客戶提供凍結帳戶及爭議交易的機制,但這些機制只在你立即採取行動時才有效。推遲調查或希望情況自行解決,會造成實際的金錢損失。
致電銀行詐騙熱線後,聯絡香港警務處。網上金融犯罪應透過24小時報案熱線2527 7177向網絡安全及科技罪案調查科舉報,或親臨最近的警署。向警方提供完整的事件陳述,包括截圖、電郵標頭及交易記錄,可提高成功調查的機會。香港當局與中國內地及其他司法管轄區達成的跨境協議,有時可追回跨境轉移的資金。
除即時應對外,遭入侵後的善後工作需要系統性的補救措施。更改所有銀行密碼、撤銷所有關聯的第三方應用程式授權、查看是否有在你不知情的情況下添加的新收款人或定期轉帳,並審查攻擊是否暴露了與你銀行共用憑證或付款詳情的其他帳戶。香港的信貸評級機構——環聯——可提供信貸報告,查看詐騙者是否以你的名義開設帳戶或申請信貸。
