• e工具

中國工商銀行(亞洲) | 保安資訊

保安資訊

保安資訊
請問貴行的網上銀行服務如何保護我的資料?
  • 本行設有多種有效系統作保護,包括利用最新版本的TLS(Transport Layer Security,傳輸層安全協議)和點對點加密技術及使用各防火牆進行保護,將您於網上傳送的資料加密,才傳送至銀行系統,確保了您交易的安全。
  • 本行現時接受電子密碼器作雙重認證。電子密碼器採用新一代動態密碼技術作雙重認證授權,確保網上交易安全。
  • 您於第一次登入系統時必須更改密碼,系統在確認密碼後才會運作。
  • 網上銀行服務系統自動監察您的進行程序。如您於15分鐘內未進行任何指示,系統即自動登出。
  • 網上銀行服務系統會監察到如有連續3次錯誤輸入密碼,系統會立刻自動終止當日網上銀行服務。

為保障閣下安全,請採取以下預防措施防止密碼被欺詐性使用或未經許可之披露。
  • 安裝最新的電腦防毒軟件及個人防火牆,並經常更新病毒資料特徵數據(Virus definition/signature),以確保您的電腦有適當安全措施作保護。
  • 切勿安裝區域不明之軟件或開啟區域不明之電郵附件。
  • 切勿透過附於電郵之連結登入網上銀行服務。
  • 通過數碼證書認證以核實網上銀行伺服器之真確。
  • 當首次登入網上銀行服務,請即更改初次發出之密碼。
  • 定時更改私人密碼。
  • 密碼必須保密。不可向任何人包括本行員工透露您的密碼。
  • 不要以任何可辨作密碼之形式寫下或記錄密碼。
  • 不要以電子郵件發送密碼。
  • 不要以您的身份證號碼、電話號碼、出生日期或姓名的可辨認部份作為密碼。
  • 不要使用相同之用戶編號及密碼作為操作網上銀行賬戶及接駁其他服務(如連接互聯網或其他網址)。
  • 使用數字及大小楷英文字母之組合作為密碼。
  • 理財過程完成後,即從網上銀行服務登出,並消除瀏覽器的記憶體快取記錄。您不應不依循適當登出步驟而隨便離開。
  • 確保在使用網上銀行/手機銀行服務過程中,不使該操作中之個人電腦/手機被閒置不理。
  • 確保使用適當之個人電腦及網上連接安全措施。切勿使用公用電腦登入及操作網上銀行服務(例如網吧)。
  • 您須提供有效的流動電話及聯絡電話號碼作聯絡通知用途,如相關電話號碼已更新需即時通知銀行作修改。
  • 定期留意和遵照香港銀行公會、消費者委員會、香港警務處、香港金融管理局、證券及期貨事務監察委員會、資訊科技署等提供的保安提示。
  • 為了更安全地使用網上銀行,您需要保護好您的電子密碼器及密碼,確保登錄網上銀行的電腦安全可靠,定期更新殺毒軟體,不打開來路不明的程式、鏈結、郵件,保持良好的上網習慣。

為減輕木馬程式影響我行客戶電腦的風險,請考慮參考我行的安全提示以補充以下的安全控制訊息:

  • 客戶切勿從任何不明的網站上下載文件。
  • 客戶切勿打開來歷不明的電郵,亦不應開啟這些電郵內的附件。
  • 客戶切勿經電郵附上的超連結、網上搜尋器、可疑的突現式視窗或其他可疑渠道登入網上服務(如網上銀行),而應在瀏覽器上端的網址欄親自輸入銀行的真實網址或將該網址記錄在瀏覽器書簽內,以連接到銀行網站。
  • 客戶應在使用前驗證我行電子銀行網站的身份和真實性。

使用Microsoft Internet Explorer 的客戶請在使用前以按F11的方式來查看及驗證我行電子銀行網站的身份和真實性,主要步驟如下

  • 在中國工商銀行(亞洲)網上銀行的網頁中按F11 。(若瀏覽視窗上方狀態列顯示關上的鎖形圖像,表示TLS(Transport Layer Security)功能已啟動)。
  • 按F11後,您在瀏覽網頁的上部份可以找到一個‘鎖形’圖像,點選後一個認證視窗會出現告知您正在瀏覽的網頁擁有者資料,您可以透過*證書信息認證正在瀏覽的網頁屬於中國工商銀行(亞洲)所有。

*註:證書信息供客戶作認證,包括:
- 證書頒發網站:myebankasia.icbc.com.cn
- 證書頒發者:Symantec Class 3 EV SSL SGC CA - G2
- 有效期:檢查安全證書是否在有效期內。


其他瀏覽器(例如:Safari)的驗證步驟與以上步驟相同,但並不需在中國工商銀行(亞洲)網上銀行的網頁中按F11 。

如果您懷疑有未經授權的賬戶交易,請即致電 (852) 218 95588 與本行客戶服務部聯絡,或與分行接洽。


注意:
為減低被非法入侵的風險, 請即更改路由器(Router)的預設登入密碼。



加強保安問題 -- 您的角色與責任
  1. 我該如何保管我的密碼?
    答:您應注意下列各點並小心保管密碼:
    - 不可向任何人透露您的密碼或賬號
    - 不可讓其他人使用您的密碼
    - 不要寫下或記錄密碼
    - 不要以您的身份證號碼,電話號碼或出生日期等作為密碼
    - 使用難以猜測的密碼
    - 經常更改您的私人密碼,正確密碼可以是8至12個位的數字或英文字母
  2. 我可否儲存用戶編號及密碼以免每次輸入?
    答:為確保您交易安全,用戶編號及密碼不能儲存。
  3. 我可否以關閉瀏覽器作為離開系統的方法?
    答:關閉瀏覽器並不代表離開系統,故必須執行正式離開系統的程序。
  4. 資料加密技術是什麼?
    答:加密技術將您於網上傳送的資料利用密碼技術改變表面意思,確保了您資料的安全。而加密與解密程序均按照非常複雜的數學原理編寫而成。
  5. 為甚麼除了需要TLS系統功能外,還使用點對點加密技術?
    答:本行設有多種有效系統作保護,包括利用最新版本的TLS(Transport Layer Security,傳輸層安全協議)和點對點加密技術及使用各防火牆進行保護,將您於網上傳送的資料加密,才傳送至銀行系統,確保了您交易的安全。
  6. 我怎樣知道我的瀏覽器已啟動TLS功能?
    答:若瀏覽視窗下方狀態列顯示關上的鎖形圖像,表示TLS功能已啟動。您可以通過選擇菜單欄“文件”,然後“屬性”來驗證連接加密狀態。
  7. 我怎樣才可以啟動TLS功能?
    答:一般而言,您可於瀏覽器的安全性設定內選取使用TLS 1.0, TLS 1.1 和 TLS 1.2,以Microsoft Internet Explorer 8.0為例,您可依照下列的程序啟動的TLS功能:
    1. 在功能列選擇 '工具'
    2. 點選 'Internet選項'
    3. 選擇 '進階'
    4. 進入 '安全性' 項目內, 並點選 '使用 TLS 1.0' , '使用 TLS 1.1' 及 '使用 TLS 1.2' 的對話盒
    5. 點選 '確定' 退出對話盒
  8. 我怎樣確保我正在瀏覽的網頁是由貴行提供?
    答:為了安全,當您到達本行網上銀行的登入網頁並輸入網上銀行賬戶號碼、用戶編號﹙如適用﹚及密碼前,您可以在瀏覽的網頁底部找到一個‘鎖形’圖像,點選後一個認證視窗會出現告知您正在瀏覽的網頁擁有者資料,您可以透過資料認證正在瀏覽的網頁屬於中國工商銀行(亞洲)所有。
  9. 當我使用網上銀行服務時需警覺些甚麼?
    答:在交易進行時切勿按'上一頁'或'重新整理'。同時避免將瀏覽視窗進行縮放,以保持瀏覽器的穩定性,否則會引致服務終斷。
  10. 我要連接互聯網時,我該如何保護我的個人電腦?
    答:建議安裝最新的電腦防毒軟件,並經常更新病毒資料特徵數據(Virus definition/signature)。為保障個人電腦不會透過互聯網被不法入侵,建議安裝個人防火牆以作保護。您亦可與信譽良好的資料保安專業顧問或與軟件分銷商研究,以選取最適當之保安防護軟件。

    不同品牌的保安軟件,在不同的保護範疇均有其優點及缺點。因此必須對不同的安全性入侵提高警覺,同時留意各品牌保安軟件商,對其產品所提供之修補資料程式之發放,並即時更新。
  11. 如果我懷疑有未經授權的賬戶交易,應該怎辦?
    答:請即致電 (852) 218 95588 與本行的客戶服務部聯絡,或與分行接洽。
注意

如閣下懷疑網上銀行戶口被盜用或發現有不尋常交易,請即時聯絡本行。本行絕不會要求你透露密碼或透過電郵索取有關資料
本行絕不會透過電話、電子郵件或短訊要求您透露任何敏感的個人資料,例如銀行賬戶詳細資料、登錄名稱、登錄密碼和一次性密碼或信用卡號碼等。
如收到透露密碼的要求,應立即聯絡我們: 客戶服務熱線(852) 218 95588 ;或 按此發出送查詢。



電子郵件 / 即時訊息
  • 在電郵服務中使用高強度密碼;
  • 使用雙重認證以加強你的電郵帳號保安;
  • 監察及檢視登入活動;
  • 切勿下載不明來歷的檔案、開啟不明來歷的電子郵件及其附件,應立即刪除,並在郵箱之「資源回收筒」內刪除該等電子郵件;
  • 開啟或處理附加檔案前,須用防電腦病毒軟件徹底地把它掃描;
  • 取消電子郵件之"Scripting"功能,以免電腦自動開啟及執行不明來歷的檔案;
  • 小心提防要求你提供登入資訊的可疑電郵或網址;
  • 不同帳號要使用不同的電郵地址。例如,勿使用相同電郵地址登記銀行帳號及遊戲帳號。另外,在不同的網上服務要使用不同的密碼;
  • 切勿使用公眾 Wi-Fi 來登入敏感服務。使用電訊網絡會更安全;
  • 切勿開啟不明來歷的即時訊息中的連結。

若對任何聲稱來自本行的電郵有懷疑,如說你中了抽獎或收到邀請讓你輕易地賺取金錢而不須你有任何行動,應聯絡香港金融管理局 (熱線電話:2878 8196)或警方(熱線電話: 2860 5012-3);致電客戶服務熱線(852) 218 95588 ;或 按此發出查詢;或 親臨本行任何一間分行



詐騙活動

欺詐電郵、預繳費用詐騙案或"419詐騙案"
這類詐騙涉及不知名的人士發出信件或電郵,聲稱收件人只需協助調動一筆鉅款(通常是大筆美元),即可獲得可觀酬金。訛稱涉及的款項可能是公司利潤/積存賄款/未動用的政府經費,甚至是已故人士未領取的款項等。

又例如發件人聲稱為銀行職員,指其一名已去世的客戶留下巨額定期存款,現無人認領,故邀請收件人合作,訛稱為客戶的親屬領取存款。如收件人同意合作,發件人便要求收件人預先繳付款項以支付文件費用。最終收件人被騙付款,其後即無法聯繫寄件人。

騙徒的另一主要目的是套取銀行資料。這類交易一般要求收件人先付一筆費用/稅款/賄款,否則交易無法完成──亦即要求預繳費用。待受害人付出墊款,騙徒便會從此消失得無影無蹤,款項也就永遠無法追回。

近期騙徒又有新手法,就是聲稱只需登入某個銀行網站(實質是虛假網站),便可看到有關戶口,顯示存有數以百萬元的結餘,借此說服收件人確實有筆款項存在,但實際卻並非如此。

此外,收件人的個人資料亦通常會被利用來進行其他詐騙活動。


網上博彩詐騙案
這類信件或電郵會假裝通知收件人已中了彩池,但收件人要回覆電郵才可領獎。騙徒接著會要求收件人提供銀行資料,聲稱是為了安排轉賬。他/她們甚至會要求收件人繳付一筆手續費。待受害人付出款項,騙徒便會從此消失得無影無蹤,款項也就永遠無法追回。此外,收件人所提供的個人資料亦很可能會被利用來進行其他詐騙活動。


惡作劇電郵
有些人總愛利用別人的憂慮來尋開心,這實是人性醜惡的一面。不少人發出電郵,聲稱是提醒收件人發現新病毒,但其實是惡作劇性質,純粹為引起恐慌或企圖製造混亂,令商業活動受阻。

這類警告可能並非虛假,但我們千萬不要掉以輕心,而應先到防毒軟件供應商的網站,例如McAfee、Sophos或Symantec,查明是否真有其事才採取任何行動,包括把電郵轉發給親友和同事。


如何核實電郵者身分 ,以揭穿騙徒真面目
於電郵騙案中,騙徒大多利用駭客技術入侵受害人電郵戶口,查看受害人與商業伙伴的電郵,再以相同或類似的電郵戶口向受害人發出電郵,聲稱付款銀行戶口已更改,並要求受害人將指定金額匯入騙徒指定的銀行戶口。按警方呼籲,市民若收到可疑電郵,應在匯款前主動以電話確認對方真正身份或該項要求的真確性,以防受騙。


瀏覽器中間人攻擊Man-In-The-Browser Attack(MITB)
請務必提高對近期一種名為「瀏覽器中間人攻擊」Man-In-The-Browser Attack (MITB)的警覺。此類攻擊者是入侵用戶的連線及向用戶顯示假冒的畫面並嘗試取得及更改用戶的資料。

  • 常見的MITB攻擊情況是攻擊者入侵用戶的登入。攻擊者在等侯其資料被核實時向用戶顯示與網上銀行相似的畫面並要求用戶等候。攻擊者亦會發出登記收款人或更改用戶資料的指示。用戶便會經手機短訊收到相關的一次有效密碼。此時,攻擊者會向用戶顯示更多假冒的網上銀行畫面並要求用戶輸入一次有效密碼,以進行登記收款人及/或更改用戶資料。
  • 如於登入網上銀行後發現不正常的畫面或訊息,請勿繼續。
  • 如您經手機短訊收到您沒有要求過的一次有效密碼,請不要回應並查核您的收款人資料及沒有未授權的登記。

查察及報告不尋常 / 懷疑欺詐 / 欺詐之交易
  • 定期檢查您的賬戶結餘和月結單,立即將賬戶內不尋常之交易通知本行(請勿忽視不尋常的小額交易) ;
  • 定期檢查您的個人資料,以免因被人盜用您的個人資料而造成不必要的損失;
  • 如聯絡資料有任何更改,應立即通知本行,以便本行發現不尋常之網上交易時可獲及時通知;
  • 如懷疑任何關於網上銀行交易的可疑事故時,您應立即經以下列任何方式聯絡我們並提供有關詳細資料。

(您最後的登入時間;或 網上銀行列印賬戶資料;或 電子郵件;或 擷取螢幕(如影像)。)
致電客戶服務熱線(852) 218 95588;或 按此發出查詢;或 親臨本行任何一間分行



更多保安資訊

如欲查詢更多有關網上銀行安全事宜,請參閱:
由香港金融管理局提供之教育短片
https://www.hkma.gov.hk/chi/smart-consumers/personal-digital-keys/

(1) 雙重認證 雙倍保障

雙重認證是指利用兩種不同性質的資料,用作核實用戶的真正身份:


雙重認證 雙倍保障

利用雙重認證的好處:
因騙徒無法在網上盜取您持有的實物工具(如:手提電話),因而可大幅提升安全程度;可保障高風險的交易,因為只有網上銀行用戶才持有實物工具,令所有高風險的網上銀行交易(例如轉賬至未登記的第三者賬戶)都能得到雙重保障;使用方法簡單,只需依循簡單的步驟便能完成高風險交易。



(2) 網上安全您要知

當完成網上交易後,必須點擊「登出」確認離開系統,以防止個人資料外洩。請妥善保管您的電子密碼器和手機,它是重要的雙重認證工具。請不要透過任何電子郵件提供的超連結登入網上銀行。我們也不會以電郵方式要求客戶提供賬戶號碼、密碼或任何個人資料。為確保賬戶安全,如您連續3次輸入錯誤的網上銀行登入密碼,您當日的網上銀行服務將被臨時暫停,如記起登入密碼,可於第二天再行嘗試登入。如多天後仍未能登入網上銀行,服務有可能被暫停,請致電218 95588或直接前往分行查詢。



(3) 使用Java plugin要注意的事情
  • 訪問甲骨文官方網站,下載及安裝於2013年1月15日或之後公佈的最新Java軟件,該軟件需針對及解決他們於2013年1月13日的聲明中的軟件問題。
  • 如要使用網銀時,才開啟有關Java軟件。
  • 直接輸入本行門戶網站www.icbcasia.com(不要使用書籤的連結),再於中國工商銀行(亞洲)門戶網站開啟及登入本行網上銀行。
  • 客戶可參考“電子銀行安全知識專區”中“加強保安 -- 您的角色與責任”的問題8,以確保正在瀏覽的網頁是否由本行提供。
  • 正常登入網銀及使用,其間不另外使用其他需要Java的不知名網站。
  • 正常登出網銀。
  • 如客戶擔心Java影響其電腦保安,可登出網銀行後立即關閉停用Java,下次再使用網銀時再開啟Java及使用。

(4) 評估已登記第三者賬戶

登記第三者賬戶時,如該賬戶是高風險商戶類別(如貨幣服務營運者、或能較容易將產品或服務轉換為金錢者,如匯款服務商、外幣兌換商、珠寶首飾公司、博彩業機構、財務類/借貸類服務者例如股票經紀行、信用卡商戶),請慎重決定申請及瀏覽本行網頁了解更多保安提示。請留意登記某些機構的賬戶作為第三者賬戶時,有可能會引起將資金提取或轉賬至其他未經指定受益人的潛在風險。

手機保安資訊問題
  1. 如何保障手機銀行使用安全?
    答:- 請客戶經常保持警覺,注意任何試圖冒充本公司手機銀行的偽造網站或iPhone/Android 應用程序。在任何情況下,閣下均不應透過來歷不明的電子郵件中的超鏈接,進入自己的手機銀行銀行交易賬戶。為確保閣下的個人資料安全,閣下應使用從Apple App Store/Google Play官方網站下載的手機銀行應用程序登入本行手機銀行。
    - 使用流動電話原先提供的瀏覽器,避免使用由其它來源下載的新安裝瀏覽器,定時清除瀏覽器的暫存及歷史資料。切勿在瀏覽器選擇儲存或保留密碼,并關閉瀏覽器「自動完成」設定,防止第三者從瀏覽器盜取您的登入資料。
    -流動設備(流動電話或平板電腦)須安裝和定期更新保安程式、防毒程式和防間諜程式。避免在裝有盜版、破解版、偽造及/或未授權應用程序的流動設備或軟件保護被破解或已獲得流動設備的軟件作業系統最高權限的流動設備上(包括但不限於已「越獄 (jailbroken)」或「刷機 (rooted)」的流動設備)使用手機銀行。
    - 確定所使用的流動設備操作系統及應用軟件仍受供應商支援,並啓動自動更新功能定期從可信賴的來源取得及為流動設備安裝修補程序。請謹記定期更新手機操作系統,確保您的流動裝置的應用程式、作業系統和防病毒軟件為最新版本。切勿嘗試安裝來源不明的軟體/應用程式。如發現任何可疑的程式,切勿嘗試下載、登入及應即時停止操作。
    - 避免使用公眾地方的Wi-Fi(無線網絡)及欠缺密碼保護的Wi-Fi登入手機銀行。當使用Wi-Fi無線上網時,使用已加密及可信賴的Wi-Fi無線網絡或服務提供者,並採用保安措施,例如盡可能使用保護無線計算機網絡安全的系統 (Wi-Fi Protected Access),或移除不必要的Wi-Fi連線設定。 -關閉無需使用的無線網絡功能(如Wi-Fi、藍芽、NFC)。
    - 每次使用手機銀行時,請先核對上一次登入及登出的記錄;應定期檢查賬戶結餘及核對交易記錄。如發現可疑情況,請即與我行聯絡。
    - 客戶於收到密碼函件後,請緊記私人密碼並把該信銷毀。為確保私人密碼得以保密,本行建議首次使用時,更改私人密碼,並且切勿以身份證號碼、電話號碼、出生日期、駕駛執照或容易被猜中的號碼或文字作為密碼,並避免使用閣下於其它網站登記的密碼作為登入密碼。
    - 切勿向任何人 (包括銀行職員及警方) 透露 閣下的手機銀行賬戶名稱及密碼(包括一次性密碼),亦不應隨便向任何人透露 閣下的個人資料,如身份證號碼、出生日期等。
    - 切勿將密碼寫在任何手機銀行所需的裝置,或經常與此等裝置放在一起的對象上,而應確保您緊記這密碼。
    - 切勿讓第三者使用您的手機銀行及密碼。請設定難以猜測的鎖機密碼及自動上鎖功能。
    - 避免於環境擠迫的地方登入手機銀行,並留意個別手機在輸入密碼時,有關密碼可能以明碼的方式放大,間接讓他人有機會偷取有關登入資料,閣下應格外小心。
    - 進行銀行交易前,請先查看四周環境,確保沒有人看見您的手機銀行密碼。
    - 為安全著想,請透過個人網上電子銀行,定期更改您的手機銀行密碼。
    - 基於保安問題,客戶不可同時使用三個不同平台(例:WAP、iPhone App及Android App)登入同一個網上理財賬戶。
  2. 如果遺失手機銀行密碼或手機應如何處理?
    答:如閣下遺失手機銀行密碼或手機,或懷疑密碼或手機遭盜用,或賬戶曾錄得未經授權的交易,請即與手機服務供應商及本行聯絡。
  3. 手機銀行應用程式是免費的嗎?
    答:我們不會從手機銀行應用程式收取任何費用。但是,當您在訪問或下載該應用程式時, 您的手機網路運營商可能會收取費用。您將對上述費用負責。
  4. 於手機銀行是否可應用雙重認證?有什麼好處?
    答:雙重認證是指利用兩種不同性質的資料,用作核實用戶的真正身份:
    雙重認證
    利用雙重認證的好處:
    因騙徒無法在網上盜取您持有的實物工具(如:電子密碼器),因而可大幅提升安全程度;可保障高風險的交易,因為只有網上銀行用戶才持有實物工具,令所有高風險的網上銀行交易(例如轉賬至未登記的第三者賬戶)都能得到雙重保障;使用方法簡單,只需依循簡單的步驟便能完成高風險交易。

保安資訊