防駭客趁春節蠢動 證交所盯複委託資安

農曆年封關在即，除了海外期貨，休市期間僅有海外複委託能下單，使得複委託資安問題成為關注焦點，臺灣證券交易所昨（21）日再次要求證券商改採雙因子驗證，並在期間暫停非必要服務，若無法在元月底完成修改系統，應請客戶在下周一（24日）前更新密碼，否則必須改採人工下單。

去年11月底發生台灣證券市場首樁駭客「撞庫」突破憑證帳密、以複委託方式下單買進「港仙股」深藍科技控股。

自此之後，撞庫事件層出不窮，擔憂封關後休市期間還能交易的複委託，在春節期間成為駭客重點攻擊目標，證交所籲請還沒更新密碼的投資人儘速完成。

證交所表示，先前部分證券商發生駭客蒐集大量帳號及密碼，用於撞庫攻擊，以及偽冒下單等資安事件，影響投資人個資安全及權益，因此日前要求證券商於客戶登入、電子憑證下載時，應採用裝置綁定、生物辨識、OTP（One Time Password）等雙因子驗證，以確認客戶身分。

鑒於系統調整需要時間，未完成修改的證券商可能成為駭客攻擊目標，證交所表示，為確保客戶交易安全，無法本月底前完成相關更新的券商，應要求客戶24日前更新密碼，並採用優質密碼原則。

證交所指出，證券商會引導客戶於證券商網頁或下單系統登入時修改密碼，若客戶未完成修改，就無法登入網路下單系統，必須改採電話、語音下單或其他委託管道。

除密碼外，電子憑證更是委託下單重要證明，客戶下載電子憑證時，證券商也應採雙因子驗證，尚未完成憑證下載雙因子驗證系統修改的證券商，都應改以人工確認為投資人本人下載憑證。