【安全交易】新加坡逐步取消一次性密碼 全面打擊釣魚詐騙
為了應對日趨嚴重的網絡釣魚事件,新加坡金融管理局(Monetary Authority of Singapore)表示將在未來三個月逐步取消主要零售銀行中已採用數碼保安編碼(Security Digital Token)的客戶的一次性密碼(OTP)驗證登入方式。由於這些客戶日後在登入銀行帳戶,又或修改交易設定時只能通過銀行的手機應用程式驗證,不用擔心被網絡騙徒通過騙取一次性密碼騎劫帳戶騙財,將可減少網上騙案發生。
早前新加坡警方曾發出警告,稱網絡釣魚詐騙個案愈來愈多,在騙徒假扮為銀行的事件中,騙徒會漁翁撒網式向市民發出短訊,內容是銀行發現客戶的帳戶有可疑活動或發現疑似虛假的交易,要求收訊人立即點擊連結重新驗證身份,而在跳轉的虛假銀行網頁上如客戶輸入了自己的帳戶名稱、密碼及通過短訊或電郵接收的一次性驗證碼,騙徒便可登入受害者的帳戶轉帳金錢。
根據新加坡警方公布的資料顯示,單在去年 12 月,騙徒便在新加坡詐騙了 103 人,賺取至少 16.1 萬新加坡元。直至今年 1 月份頭兩星期,數字更上升至 219 人受騙,損失至少 44.6 萬新元,明顯見到騙案數字大幅飊升,所以相信這次新加坡金管局發出的通知,便是針對這些騙案而出台的政策。
事實上,現任新加坡總統尚曼逹(Tharman Shanmugaratnam)曾擔任新加坡金融管理局主席至 2023 年 7 月,他在去年卸任前曾向國會表示金管局將設定最後期限,逐步淘汰銀行客戶以一次性密碼作為高風險交易的唯一驗證因素,他表示數碼保安編碼與一次性密碼不同,騙徒不能通過建立虛假銀行網站來騙取客戶的數碼保安編碼,也不能在沒有客戶明確授權的情況下訪問銀行賬戶或調動資金。
參考新加坡銀行 DBS 介紹數碼保安編碼短片的內容,可見這項功能已內建在其手機應用程式之內,客戶如要登入銀行帳戶進行轉帳或修改交易設定,都必須使用數碼保安編碼功能,即使在沒有網絡連接的情況下,DBS 銀行手機應用程式亦能產生一個可用於離線確認的驗證碼,讓客戶完全所需的指令。
要登記啟用這項驗證服務,客戶便要先通過兩次身份驗證,分別以登記的電話及電郵地址接受確認碼,經驗證後便可開通數碼保安編碼功能。官方指這項新服務不單省卻了要定期替換實體保安編碼器的需要,更可避免編碼器被賊人偷用的機會,而且由於手機本身有安全鎖功能,因此客戶亦不怕因遺失手機已讓賊人有機可乘。此外,手機應用程式本身亦有獨立的加密措施,可阻止黑客入侵手機後讀取或控制應用程式進行身份確認,建議客戶盡快登記使用。