请问贵行的网上银行服务如何保护我的资料？

• 本行设有多种有效系统作保护，包括利用最新版本的TLS（Transport Layer Security，传输层安全协议)和点对点加密技术及使用各防火墙进行保护，将您于网上传送的资料加密，才传送至银行系统，确保了您交易的安全。
• 本行现时接受电子密码器作双重认证。电子密码器采用新一代动态密码技术作双重认证授权，确保网上交易安全。
• 您于第一次登入系统时必须更改密码，系统在确认密码后才会运作。
• 网上银行服务系统自动监察您的进行程序。如您于15分钟内未进行任何指示，系统即自动登出。
• 网上银行服务系统会监察到如有连续3次错误输入密码，系统会立刻自动终止当日网上银行服务。

为保障阁下安全，请采取以下预防措施防止密码被欺诈性使用或未经许可之披露。

• 安装最新的计算机防毒软件及个人防火墙，并经常更新病毒资料特征数据(Virus definition/signature)，以确保您的计算机有适当安全措施作保护。
• 切勿安装区域不明之软件或开启区域不明之电邮附件。
• 切勿透过附于电邮之连结登入网上银行服务。
• 通过数码证书认证以核实网上银行服务器之真确。
• 当首次登入网上银行服务，请即更改初次发出之密码。
• 定时更改私人密码。
• 密码必须保密。不可向任何人包括本行员工透露您的密码。
• 不要以任何可辨作密码之形式写下或记录密码。
• 不要以电子邮件发送密码。
• 不要以您的身份证号码、电话号码、出生日期或姓名的可辨认部份作为密码。
• 不要使用相同之用户编号及密码作为操作网上银行账户及接驳其他服务(如连接互联网或其他网址)。
• 使用数字及大小楷英文字母之组合作为密码。
• 理财过程完成后，即从网上银行服务登出，并消除浏览器的记忆体快取记录。您不应不依循适当登出步骤而随便离开。
• 确保在使用网上银行/手机银行服务过程中，不使该操作中之个人计算机/手机被闲置不理。
• 确保使用适当之个人计算机及网上连接安全措施。切勿使用公用计算机登入及操作网上银行服务(例如网吧)。
• 您须提供有效的流动电话及联络电话号码作联络通知用途，如相关电话号码已更新需实时通知银行作修改。
• 定期留意和遵照香港银行公会、消费者委员会、香港警务处、香港金融管理局、证券及期货事务监察委员会、资讯科技署等提供的保安提示。
• 为了更安全地使用网上银行，您需要保护好您的电子密码器及密码，确保登录网上银行的计算机安全可靠，定期更新杀毒软件，不打开来路不明的程序、链结、邮件，保持良好的上网习惯。

为减轻木马程序影响我行客户计算机的风险，请考虑参考我行的安全提示以补充以下的安全控制讯息：

• 客户切勿从任何不明的网站上下载文件。
• 客户切勿打开来历不明的电邮，亦不应开启这些电邮内的附件。
• 客户切勿经电邮附上的超连结、网上搜寻器、可疑的突现式视窗或其他可疑渠道登入网上服务(如网上银行)，而应在浏览器上端的网址栏亲自输入银行的真实网址或将该网址记录在浏览器书签内，以连接到银行网站。
• 客户应在使用前验证我行电子银行网站的身份和真实性。

使用Microsoft Internet Explorer 的客户请在使用前以按F11的方式来查看及验证我行电子银行网站的身份和真实性，主要步骤如下

• 在中国工商银行（亚洲）网上银行的网页中按F11 。(若浏览视窗上方状态列显示关上的锁形图像，表示TLS（Transport Layer Security)功能已启动)。
• 按F11后，您在浏览网页的上部份可以找到一个‘锁形’图像，点选后一个认证视窗会出现告知您正在浏览的网页拥有者资料，您可以透过*证书信息认证正在浏览的网页属于中国工商银行(亚洲)所有。

*注：证书信息供客户作认证，包括：
- 证书颁发网站：myebankasia.icbc.com.cn
- 证书颁发者：Symantec Class 3 EV SSL SGC CA - G2
- 有效期：检查安全证书是否在有效期内。

其他浏览器(例如：Safari)的验证步骤与以上步骤相同，但并不需在中国工商银行（亚洲）网上银行的网页中按F11 。

如果您怀疑有未经授权的账户交易，请即致电 (852) 218 95588 与本行客户服务部联络，或与分行接洽。

注意：
为减低被非法入侵的风险, 请即更改路由器(Router)的预设登入密码。

加强保安问题 -- 您的角色与责任

1. 我该如何保管我的密码?
   答：您应注意下列各点并小心保管密码：
   - 不可向任何人透露您的密码或账号
   - 不可让其他人使用您的密码
   - 不要写下或记录密码
   - 不要以您的身份证号码，电话号码或出生日期等作为密码
   - 使用难以猜测的密码
   - 经常更改您的私人密码，正确密码可以是8至12个位的数字或英文字母
2. 我可否储存用户编号及密码以免每次输入?
   答：为确保您交易安全，用户编号及密码不能储存。
3. 我可否以关闭浏览器作为离开系统的方法?
   答：关闭浏览器并不代表离开系统，故必须执行正式离开系统的程序。
4. 资料加密技术是什么?
   答：加密技术将您于网上传送的资料利用密码技术改变表面意思，确保了您资料的安全。而加密与解密程序均按照非常复杂的数学原理编写而成。
5. 为甚么除了需要TLS系统功能外，还使用点对点加密技术?
   答：本行设有多种有效系统作保护，包括利用最新版本的TLS（Transport Layer Security，传输层安全协议）和点对点加密技术及使用各防火墙进行保护，将您于网上传送的资料加密，才传送至银行系统，确保了您交易的安全。
6. 我怎样知道我的浏览器已启动TLS功能?
   答：若浏览视窗下方状态列显示关上的锁形图像，表示TLS功能已启动。您可以通过选择菜单栏“文件”，然后“属性”来验证连接加密状态。
7. 我怎样才可以启动TLS功能?
   答：一般而言，您可于浏览器的安全性设定内选取使用TLS 1.0, TLS 1.1 和 TLS 1.2，以Microsoft Internet Explorer 8.0为例，您可依照下列的程序启动的TLS功能：
   1. 在功能列选择 '工具'
   2. 点选 'Internet选项'
   3. 选择 '进阶'
   4. 进入 '安全性' 项目内, 并点选 '使用 TLS 1.0' , '使用 TLS 1.1' 及 '使用 TLS 1.2' 的对话盒
   5. 点选 '确定' 退出对话盒
8. 我怎样确保我正在浏览的网页是由贵行提供?
   答：为了安全，当您到达本行网上银行的登入网页并输入网上银行账户号码、用户编号﹙如适用﹚及密码前，您可以在浏览的网页底部找到一个‘锁形’图像，点选后一个认证视窗会出现告知您正在浏览的网页拥有者资料，您可以透过资料认证正在浏览的网页属于中国工商银行(亚洲)所有。
9. 当我使用网上银行服务时需警觉些甚么?
   答：在交易进行时切勿按'上一页'或'重新整理'。同时避免将浏览视窗进行缩放，以保持浏览器的稳定性，否则会引致服务终断。
10. 我要连接互联网时，我该如何保护我的个人计算机?
    答：建议安装最新的计算机防毒软件，并经常更新病毒资料特征数据(Virus definition/signature)。为保障个人计算机不会透过互联网被不法入侵，建议安装个人防火墙以作保护。您亦可与信誉良好的资料保安专业顾问或与软件分销商研究，以选取最适当之保安防护软件。
    
    不同品牌的保安软件，在不同的保护范畴均有其优点及缺点。因此必须对不同的安全性入侵提高警觉，同时留意各品牌保安软件商，对其产品所提供之修补资料程序之发放，并实时更新。
11. 如果我怀疑有未经授权的账户交易，应该怎办?
    答：请即致电 (852) 218 95588 与本行的客户服务部联络，或与分行接洽。

注意

如阁下怀疑网上银行户口被盗用或发现有不寻常交易，请实时联络本行。本行绝不会要求你透露密码或透过电邮索取有关资料。
本行绝不会透过电话、电子邮件或短讯要求您透露任何敏感的个人资料，例如银行账户详细资料、登录名称、登录密码和一次性密码或信用卡号码等。
如收到透露密码的要求，应立即联络我们： 客户服务热线(852) 218 95588 ；或 按此发出送查询。

电子邮件 / 实时讯息

• 在电邮服务中使用高强度密码；
• 使用双重认证以加强你的电邮账号保安；
• 监察及检视登入活动；
• 切勿下载不明来历的档案、开启不明来历的电子邮件及其附件，应立即删除，并在邮箱之「资源回收筒」内删除该等电子邮件；
• 开启或处理附加档案前，须用防计算机病毒软件彻底地把它扫描；
• 取消电子邮件之"Scripting"功能，以免计算机自动开启及执行不明来历的档案；
• 小心提防要求你提供登入信息的可疑电邮或网址；
• 不同账号要使用不同的电邮地址。例如，勿使用相同电邮地址登记银行账号及游戏账号。另外，在不同的网上服务要使用不同的密码；
• 切勿使用公众 Wi-Fi 来登入敏感服务。使用电讯网络会更安全；
• 切勿开启不明来历的实时讯息中的连结。

若对任何声称来自本行的电邮有怀疑，如说你中了抽奖或收到邀请让你轻易地赚取金钱而不须你有任何行动，应联络香港金融管理局 （热线电话：2878 8196）或警方（热线电话： 2860 5012-3）；致电客户服务热线(852) 218 95588 ；或 按此发出查询；或 亲临本行任何一间分行。

诈骗活动

欺诈电邮、预缴费用诈骗案或"419诈骗案"
这类诈骗涉及不知名的人士发出信件或电邮，声称收件人只需协助调动一笔巨款（通常是大笔美元），即可获得可观酬金。讹称涉及的款项可能是公司利润／积存贿款／未动用的政府经费，甚至是已故人士未领取的款项等。

又例如发件人声称为银行职员，指其一名已去世的客户留下巨额定期存款，现无人认领，故邀请收件人合作，讹称为客户的亲属领取存款。如收件人同意合作，发件人便要求收件人预先缴付款项以支付文件费用。最终收件人被骗付款，其后即无法联系寄件人。

骗徒的另一主要目的是套取银行资料。这类交易一般要求收件人先付一笔费用／税款／贿款，否则交易无法完成──亦即要求预缴费用。待受害人付出垫款，骗徒便会从此消失得无影无踪，款项也就永远无法追回。

近期骗徒又有新手法，就是声称只需登入某个银行网站（实质是虚假网站），便可看到有关户口，显示存有数以百万元的结余，借此说服收件人确实有笔款项存在，但实际却并非如此。

此外，收件人的个人资料亦通常会被利用来进行其他诈骗活动。

网上博彩诈骗案
这类信件或电邮会假装通知收件人已中了彩池，但收件人要回覆电邮才可领奖。骗徒接着会要求收件人提供银行资料，声称是为了安排转账。他／她们甚至会要求收件人缴付一笔手续费。待受害人付出款项，骗徒便会从此消失得无影无踪，款项也就永远无法追回。此外，收件人所提供的个人资料亦很可能会被利用来进行其他诈骗活动。

恶作剧电邮
有些人总爱利用别人的忧虑来寻开心，这实是人性丑恶的一面。不少人发出电邮，声称是提醒收件人发现新病毒，但其实是恶作剧性质，纯粹为引起恐慌或企图制造混乱，令商业活动受阻。

这类警告可能并非虚假，但我们千万不要掉以轻心，而应先到防毒软件供应商的网站，例如McAfee、Sophos或Symantec，查明是否真有其事才采取任何行动，包括把电邮转发给亲友和同事。

如何核实电邮者身分 ，以揭穿骗徒真面目
于电邮骗案中，骗徒大多利用黑客技术入侵受害人电邮户口，查看受害人与商业伙伴的电邮，再以相同或类似的电邮户口向受害人发出电邮，声称付款银行户口已更改，并要求受害人将指定金额汇入骗徒指定的银行户口。按警方呼吁，市民若收到可疑电邮，应在汇款前主动以电话确认对方真正身份或该项要求的真确性，以防受骗。

浏览器中间人攻击Man-In-The-Browser Attack(MITB)
请务必提高对近期一种名为「浏览器中间人攻击」Man-In-The-Browser Attack (MITB)的警觉。此类攻击者是入侵用户的连线及向用户显示假冒的画面并尝试取得及更改用户的资料。

• 常见的MITB攻击情况是攻击者入侵用户的登入。攻击者在等侯其资料被核实时向用户显示与网上银行相似的画面并要求用户等候。攻击者亦会发出登记收款人或更改用户资料的指示。用户便会经手机短讯收到相关的一次有效密码。此时，攻击者会向用户显示更多假冒的网上银行画面并要求用户输入一次有效密码，以进行登记收款人及／或更改用户资料。
• 如于登入网上银行后发现不正常的画面或讯息，请勿继续。
• 如您经手机短讯收到您没有要求过的一次有效密码，请不要回应并查核您的收款人资料及没有未授权的登记。

查察及报告不寻常 / 怀疑欺诈 / 欺诈之交易

• 定期检查您的账户结余和月结单，立即将账户内不寻常之交易通知本行(请勿忽视不寻常的小额交易) ；
• 定期检查您的个人资料，以免因被人盗用您的个人资料而造成不必要的损失；
• 如联络资料有任何更改，应立即通知本行，以便本行发现不寻常之网上交易时可获及时通知；
• 如怀疑任何关于网上银行交易的可疑事故时，您应立即经以下列任何方式联络我们并提供有关详细资料。

(您最后的登入时间；或 网上银行打印账户资料；或 电子邮件；或 撷取荧幕(如影像)。)
致电客户服务热线(852) 218 95588；或 按此发出查询；或 亲临本行任何一间分行。

更多保安资讯

如欲查询更多有关网上银行安全事宜，请参阅：
由香港金融管理局提供之教育短片
https://www.hkma.gov.hk/gb_chi/smart-consumers/personal-digital-keys/

(1) 双重认证 双倍保障

双重认证是指利用两种不同性质的资料，用作核实用户的真正身份：

利用双重认证的好处：
因骗徒无法在网上盗取您持有的实物工具(如：手提电话)，因而可大幅提升安全程度；可保障高风险的交易，因为只有网上银行用户才持有实物工具，令所有高风险的网上银行交易(例如转账至未登记的第三者账户)都能得到双重保障；使用方法简单，只需依循简单的步骤便能完成高风险交易。

(2) 网上安全您要知

当完成网上交易后，必须点击「登出」确认离开系统，以防止个人资料外泄。请妥善保管您的电子密码器和手机，它是重要的双重认证工具。请不要透过任何电子邮件提供的超连结登入网上银行。我们也不会以电邮方式要求客户提供账户号码、密码或任何个人资料。为确保账户安全，如您连续3次输入错误的网上银行登入密码，您当日的网上银行服务将被临时暂停，如记起登入密码，可于第二天再行尝试登入。如多天后仍未能登入网上银行，服务有可能被暂停，请致电218 95588或直接前往分行查询。

(3) 使用Java plugin要注意的事情

• 访问甲骨文官方网站，下载及安装于2013年1月15日或之后公布的最新Java软件，该软件需针对及解决他们于2013年1月13日的声明中的软件问题。
• 如要使用网银时，才开启有关Java软件。
• 直接输入本行门户网站www.icbcasia.com（不要使用书签的连结），再于中国工商银行（亚洲）门户网站开启及登入本行网上银行。
• 客户可参考“电子银行安全知识专区”中“加强保安 -- 您的角色与责任”的问题８，以确保正在浏览的网页是否由本行提供。
• 正常登入网银及使用，其间不另外使用其他需要Java的不知名网站。
• 正常登出网银。
• 如客户担心Java影响其计算机保安，可登出网银行后立即关闭停用Java，下次再使用网银时再开启Java及使用。

(4) 评估已登记第三者账户

登记第三者账户时，如该账户是高风险商户类别(如货币服务营运者、或能较容易将产品或服务转换为金钱者，如汇款服务商、外币兑换商、珠宝首饰公司、博彩业机构、财务类/借贷类服务者例如股票经纪行、信用卡商户)，请慎重决定申请及浏览本行网页了解更多保安提示。请留意登记某些机构的账户作为第三者账户时，有可能会引起将资金提取或转账至其他未经指定受益人的潜在风险。

手机保安资讯问题

1. 如何保障手机银行使用安全?
   答：- 请客户经常保持警觉，注意任何试图冒充本公司手机银行的伪造网站或iPhone/Android 应用程序。在任何情况下，阁下均不应透过来历不明的电子邮件中的超链接，进入自己的手机银行银行交易账户。为确保阁下的个人资料安全，阁下应使用本行提供的官方网址"m.icbcasia.com"或"//.mobilehk.icbc.com.cn"或从Apple App Store/Google Play官方网站下载的手机银行应用程序登入本行手机银行。
   - 使用流动电话原先提供的浏览器，避免使用由其它来源下载的新安装浏览器，定时清除浏览器的暂存及历史资料。切勿在浏览器选择储存或保留密码，并关闭浏览器「自动完成」设定，防止第三者从浏览器盗取您的登入资料。
   - 流动设备（流动电话或平板计算机）须安装和定期更新保安程序、防毒程序和防间谍程序。避免在装有盗版、破解版、伪造及/或未授权应用程序的流动设备或软件保护被破解或已获得流动设备的软件作业系统最高权限的流动设备上（包括但不限于已「越狱 (jailbroken)」或「刷机 (rooted)」的流动设备）使用手机银行。
   - 确定所使用的流动设备操作系统及应用软件仍受供应商支援，并啓动自动更新功能定期从可信赖的来源取得及为流动设备安装修补程序。请谨记定期更新手机操作系统，确保您的流动装置的应用程序、作业系统和防病毒软件为最新版本。切勿尝试安装来源不明的软件/应用程序。如发现任何可疑的程序，切勿尝试下载、登入及应实时停止操作。
   - 避免使用公众地方的Wi-Fi(无线网络)及欠缺密码保护的Wi-Fi登入手机银行。当使用Wi-Fi无线上网时，使用已加密及可信赖的Wi-Fi无线网络或服务提供者，并采用保安措施，例如尽可能使用保护无线计算机网络安全的系统 (Wi-Fi Protected Access)，或移除不必要的Wi-Fi连线设定。 -关闭无需使用的无线网络功能(如Wi-Fi、蓝芽、NFC)。
   -每次使用手机银行时，请先核对上一次登入及登出的记录；应定期检查账户结余及核对交易记录。如发现可疑情况，请即与我行联络。
   - 客户于收到密码函件后，请紧记私人密码并把该信销毁。为确保私人密码得以保密，本行建议首次使用时，更改私人密码，并且切勿以身份证号码、电话号码、出生日期、驾驶执照或容易被猜中的号码或文字作为密码，并避免使用阁下于其它网站登记的密码作为登入密码。
   - 切勿向任何人 (包括银行职员及警方) 透露 阁下的手机银行账户名称及密码(包括一次性密码)，亦不应随便向任何人透露 阁下的个人资料，如身份证号码、出生日期等。
   - 切勿将密码写在任何手机银行所需的装置，或经常与此等装置放在一起的对象上，而应确保您紧记这密码。
   - 切勿让第三者使用您的手机银行及密码。请设定难以猜测的锁机密码及自动上锁功能。
   - 避免于环境挤迫的地方登入手机银行，并留意个别手机在输入密码时，有关密码可能以明码的方式放大，间接让他人有机会偷取有关登入资料，阁下应格外小心。
   - 进行银行交易前，请先查看四周环境，确保没有人看见您的手机银行密码。
   - 为安全着想，请透过个人网上电子银行，定期更改您的手机银行密码。
   - 基于保安问题，客户不可同时使用三个不同平台（例：WAP、iPhone App及Android App）登入同一个网上理财账户。
2. 如果遗失手机银行密码或手机应如何处理?
   答：如阁下遗失手机银行密码或手机，或怀疑密码或手机遭盗用，或账户曾录得未经授权的交易，请即与手机服务供应商及本行联络。
3. 手机银行应用程序是免费的吗?
   答：我们不会从手机银行应用程序收取任何费用。但是，当您在访问或下载该应用程序时， 您的手机网络运营商可能会收取费用。您将对上述费用负责。
4. 于手机银行是否可应用双重认证？有什么好处？
   答：双重认证是指利用两种不同性质的资料，用作核实用户的真正身份：
   
   利用双重认证的好处：
   因骗徒无法在网上盗取您持有的实物工具(如：电子密码器)，因而可大幅提升安全程度；可保障高风险的交易，因为只有网上银行用户才持有实物工具，令所有高风险的网上银行交易(例如转账至未登记的第三者账户)都能得到双重保障；使用方法简单，只需依循简单的步骤便能完成高风险交易。