資料安全宣告

引言

本行在網路安全的管理上,採用符合主管機關標準的安全技術和處理方法,以確保客戶的線上交易安全與資料不會外洩,然而網路安全環境的建立,網路使用者也必須採取相關的「個人網路安全防範方法」,藉以確保使用網路金融服務時可以獲得更多的安全保障。

本行網路安全措施

  • 本網站安控機制符合主管機關規定的安全需求。
  • 為確保客戶送出交易後之資料傳輸的安全,採用的安全措施如下:
  1. 採用世界最先進的256 bits SSL(Secure Socket Layer)通訊保密機制,對客戶的密碼、帳號、交易資訊等機密性資料「加密保護」,使它於網際網路(Internet)上傳輸時,不會被第三者竊知,完全確保客戶於網路傳輸時的資料正確性、隱密性及安全性。
  2. SSL之「安全網路註冊標章」標示於首頁之左下角。客戶可於首頁上按滑鼠左鍵,查看網頁內容,確認本網頁是否已啟用SSL保密機制。
  3. 資料部份:利用專線傳輸資料,採用DES 128 bits 的加解密機制加密,並於資料送至銀行帳務主機時,再行解開資料並檢查前後二次的資料是否一致,以防止資料在傳輸 過程中遭篡改及偽造,保障資料傳輸的安全性
  4. 密碼部分:利用專線傳輸密碼,採用DES 128 bits 的加解密機制加密,於客戶密碼送至主機時,再行代入主機之HSM檢查是否正確,以防止客戶密碼在傳輸過程中遭竊取。
  5. 交易加密機制部分:為確保用戶之交易安全,於Internet網路傳輸過程中,除SSL加密機制外,另加入動態密碼保護機制。
  • 系統管理面所採用的安全措施如下:
  1. 防火牆系統:架設防火牆設備,以阻隔非法使用者對內部特定資料的存取,使內部重要機器不被外界透過網路任意連接使用,並透過NAT(網路位址轉譯)設定讓駭客找不到主機真正的IP位址,以防止非法使用者使用偵測軟體直接找到主機進行破壞。
  2. 入侵偵測系統(IDS)及入侵防禦系統(IPS):透過IDS及IPS針對外部來源封包進行分析,根據入侵特徵資料庫作比對及判斷流量中特定協定是否符合應有的運作,將違反資訊安全的特徵封包或流量進行阻隔。當網路流量超過或低於正常交易流量時,系統將針對異常流量採取適當處理,例如封鎖來源IP位址。
  3. 系統備援措施:各項設備皆有完善之定期維護與檢修計畫,網路銀行設備WEB、AP伺服器互為線上即時備援,可自行互相做故障自動切換,DB伺服器採定時備份手動切換。各項設備皆有人員隨時監控,以便即時處理突發事故。
  4. 存取權控制:依主管機關規定之風險性高低設有不同的身分驗證機制,現行採行之SSL交易有「身分證字號」、「使用者代碼」、「網路銀行密碼」等三道存取驗證關卡。
  5. 電腦系統密碼檔加密
  6. 關於客戶的基本資料及密碼,皆是保存在本行「專屬」的封閉式帳務主機系統內,任何人皆無法透過任何查詢方式或系統程式取得客戶基本資料及自行設定的密碼,若駭客想進入竊取資料也難以通過一層層嚴密封鎖的關卡。對於「網路銀行密碼」更是經過「加密」以亂碼形式加以保存,若有心人士想解開密碼也不是一件易事。
  7. 交易紀錄保存:保存所有含數位簽章之電子訊息及經由網路所提供相關電子訊息之記錄,確保紀錄之真實性及完整性,盡善良管理人之注意義務。
  • 本網站網路交易主機系統設有防入侵偵測,同時提供最高等級安全控管軟/硬體及防火牆,使用者無須顧慮資料外洩。
  • 定期對所有主機進行網路安全檢查,透過網路對 Internet 主機進行系統弱點及漏洞檢查。
  • 現於 Internet 上已有建置入侵偵測系統 (IPS),可偵測出異常的網路行為,提供即時的預警通知,以確保本行內部重要網路設備及伺服器安全。
  • 電腦病毒的防護:採用 Symantec 防毒軟體,可有效掌握病毒狀況。
  • 交易元件經過簽章,以確保元件來自本行,並保護元件在發行後不會被竄改。
  • 本系統受入侵預防設備及防火牆的保護,以抵擋駭客入侵,若經判斷屬於駭客入侵所導致,則立即停止網銀服務及其對外連線,待系統人員處理確認沒問題並變更相關設備帳號密碼後再開啟網銀服務,以確保安全。

個人網路安全防範方法

您必須建立相關的「個人網路安全防範方法」,以確保個人在網路使用上的安全環境。
  • 使用網路銀行時需特別留意是否為正確之官方網站網址。
  • 隨時核對銀行帳戶明細,做好帳務管理。
  • 網路銀行交易完成後,應儘速檢核是否正確,一旦發覺或懷疑網路銀行帳戶、密碼未經授權而被他人使用時,立即通知銀行。
  • 切勿將密碼書寫於明顯易讓他人取得之處,且避免將網路密碼設為簡單容易猜中的數字。
  • 務必將一般網站的密碼(可能是明碼)與網路交易的密碼區分,以免被有心人士猜中或盜用。
  • 輸入密碼時請留意身旁是否有人或監視器窺視,同時保持經常變更密碼的習慣。
  • 網路銀行轉帳功能只能將錢轉出,無法將他人的錢轉入,不要聽從他人電話指示操作網路銀行。
  • 使用網路銀行過程中遇到任何可疑之事,千萬不可疏忽,必須立即與銀行確認自己的帳戶是否有異常。
  • 儘量不要在類似之公共場所或網路咖啡使用網路銀行,避免資料外洩。
  • 在離開座位或交易完畢,要養成立刻登出網路銀行的習慣。記得點選「登出」離開網頁,同時將網際網路選項中的Temporary Internet Files及記錄(History)刪除,再將視窗關閉。
  • 切勿開啟任何帶有附件之來歷不明電子郵件,以免個人電腦遭植入木馬程式。
  • 個人電腦應安裝掃毒軟體並經常更新病毒碼,定期檢查電腦是否被植入木馬程式,同時也必須安裝個人防火牆。

防制詐騙

「網路銀行」只能將錢轉出,無法把別人的錢轉入,提醒您小心下列詐騙手法:
  • 被要求告知網路銀行密碼或重設為其提供的密碼。
  • 被要求至往來銀行約定轉入帳號。
  • 被告知要測試跨行轉帳功能是否正常;或被告知對帳戶控管有問題;或被告知往來銀行有內賊盜賣客戶資料。
  • 被要求轉帳至指定帳戶,以協助檢警辦案。
  • 被告知有卡費未繳或卡片被盜刷或電話費未繳。
  • 接獲自稱國安局或警調單位人員電話,或不明來電者要求核對個人資料。
  • 接獲自稱國稅局(或稅捐處)人員退稅通知;或自稱電信業(或健保局)退費通知。
  • 接到自稱法院、法官、警察局或銀行行員來電詢問帳務資料。
  • 接獲自稱XX銀行客服人員或語音的電話。
若有疑問可洽本行客服專線:0800-611-020

認識「網路釣魚」詐騙手法

  1. 提供您參考詐騙集團在網路上的「網路釣魚」詐騙手法,請您多加留意。
  • 【手法一】購買網路關鍵字廣告服務:於各大入口網站搜尋行銷服務刊登「關鍵字廣告」,民眾上網搜尋「網路銀行」、「金融資訊」等條件時,搜尋結果的最上方即出現犯罪集團之「關鍵字廣告」,讓一般民眾點選而連結到假冒的網站。
  • 【手法二】註冊相似度極高之網域(網站)名稱:利用網路申請註冊網域名稱(Domain Name),駭客利用極為相似之字母或數字,使上網之民眾難以辨別真偽,而誤觸駭客之網路釣魚陷阱。
  • 【手法三】盜取個人隱私資料:當民眾連結網頁時就會下載木馬程式,包括遠端遙控功能及鍵盤側錄程式(keyloger),側錄民眾上網時所輸入之帳號密碼,包括電子郵件、網路銀行等帳號密碼,並搜尋電腦所有磁碟是否存有憑證檔案,再將憑證及鍵盤操作紀錄之帳號密碼遠端傳送回駭客主控台,取得民眾之憑證、帳號及密碼後即可登入各式網站會員帳戶,任意盜取個人資料。
  • 【手法四】客製化犯罪行動之進行:犯罪集團會針對特定對象,進行詳盡的資料蒐集,包括姓名、身分證字號、公司電話、手機、住家電話、電子郵件帳號、信用卡資料、親屬(聯絡人)資料及個人所有登錄過的網站帳號密碼等,利用非法取得之資料,運用社交攻擊手法,更進一步取得各種個人身分驗證資料,以「假冒客戶」通過客服人員所提問之身分驗證資訊,藉此「套出」更多個人隱私資料,進行各種假冒身分之犯罪詐騙行為。
  • 【手法五】木馬程式植入:當民眾點選疑似「正牌」之網站後,駭客利用暗藏網頁框架夾藏惡意程式碼,以隱藏方式指向連結至租用之ISP業網頁空間,執行駭客詐騙集團預先上傳之數個網頁程式,再自動連回「正牌」的網站,使民眾沒有感覺任何異樣,但是,實際上卻已執行了駭客暗藏的網頁程式碼,並下載多個木馬程式至民眾的個人電腦,做為竊取電腦內個人隱私資料之用。
  • 【手法六】寄發垃圾郵件:寄件人通常偽裝成知名銀行、金融聯合徵信中心等知名公司,標題則多半為「系統更新,請檢查帳號」、「保護帳號,請變更密碼」、「帳號被關閉,請上網重新啟動」等容易吸引使用者注意的字眼,而郵件中幾乎都會有知名公司的商標,藉以取信於受害者,然後再提供一個偽裝過的連結,誘騙使用者登入假網站輸入個人資料。
  • 【手法七】複製網站:複製與銀行官方網站一模一樣的網站後,等待不知情客戶上網鍵入網路銀行帳號、密碼。
  1. ​京城銀行網站絕不會如釣魚網站寄發電子郵件或以其他方式要求客戶揭露帳戶資訊或任何密碼,請千萬不要回應此類郵件,並馬上刪除。如你需要更多關於防制詐騙郵件的資訊請連結到下方網站http://165.gov.tw/index.aspx。

 

網路安全交易

提醒您使用網路服務需注意下列事項:
  • 留意個人隱私資料: 因網路具有快速傳播資料之特性,建議您勿將個人隱私資料過度於網路上曝光,以免成為有心人士覬覦之對象。
  • 識別網站名稱:利用網路搜尋相關網站時,要特別小心關鍵字廣告可能是犯罪集團所設下的陷阱,若要使用本行網路銀行服務時,務必特別留意是否為正確官方網站之網址http://www.ktb.com.tw。
  • 使用正版軟體:建議電腦安裝正版軟體,隨時或定期上網修補系統程式漏洞,確保電腦安全,以免儲存於電腦的資料外洩。
  • 注意密碼設定:大多數民眾使用「密碼提示」功能會設定與個人相關的資料做為密碼提示,如「生日」、「手機號碼」等,而犯罪集團會針對個人蒐集詳細的資料,即可利用密碼提示猜到密碼,建議您在設定密碼提示時,不要以個人相關資料做為密碼提示的問題或答案,而且密碼設定至少要有英文、數字與特殊符號等,以免帳號密碼遭盜用。
  • 切勿使用通用密碼:部份民眾為了密碼方便記憶,將所有於網路上使用之密碼設為相同(如電子郵件、網路銀行),犯罪集團只要成功取得其中一項的密碼,對於個人的其他網路帳號密碼即可以通行無阻,建議您於不同的網路服務設定不同的密碼,且不要將帳號密碼記錄儲存於電腦檔案內,以免檔案遭竊時被犯罪集團非法利用。