網上銀行安全使用指南：防範常見風險

網上銀行已經成為日常生活一部分。轉帳、繳費、投資買賣,大部分人都習慣在手機或電腦上完成。方便的同時,網絡安全風險也隨之而來。騙徒手法不斷翻新,稍一不慎可能導致財務損失。

這篇文章不會嚇你,只會告訴你實際可做的事,讓你在享受網銀便利之餘,減低被騙風險。

最常見的攻擊手法

了解騙徒如何行騙,才能有效防範。以下是香港最常見的幾種網銀詐騙手法。

釣魚郵件和短訊

你收到一封聲稱來自銀行的電郵或短訊,內容通常是「你的戶口出現可疑活動,請立即登入確認」或「系統升級,需要重新驗證資料」。訊息附有連結,點擊後會進入一個看起來跟銀行網站一模一樣的頁面。

當你輸入用戶名稱、密碼、一次性密碼(OTP)後,這些資料已經落入騙徒手中。他們會立即登入你的真實戶口進行轉帳。

2023年香港警方接獲超過3,000宗釣魚詐騙案,涉及金額超過3億元。受害人當中不乏有一定學歷和資訊科技知識的人,因為釣魚網站製作越來越精良,一般用戶難以分辨真假。

假冒銀行電話

騙徒利用來電顯示技術,將電話號碼偽裝成銀行客戶服務熱線。來電者自稱銀行職員,聲稱你的戶口出現問題,需要你提供資料「核實身份」。

有些更複雜的手法會結合釣魚郵件。騙徒先發送郵件,然後致電「跟進」,增加可信度。他們可能知道你的部分個人資料(例如姓名、電話、電郵),令你誤以為真的是銀行來電。

公共 Wi-Fi 攔截

在咖啡店、商場、機場等地方使用公共 Wi-Fi 登入網上銀行,存在資料被攔截的風險。網絡犯罪分子可以設立假的 Wi-Fi 熱點(例如名稱跟商場 Wi-Fi 很相似),當你連接後,他們就能監控你傳送的所有資料。

即使是真正的公共 Wi-Fi,如果沒有加密(網絡名稱旁邊沒有鎖頭圖示),其他連接同一網絡的人理論上可以截取你的資料。

基本防範措施

以下是每個網銀用戶都應該做的基本防護。這些措施不需要高深技術知識,只需要養成習慣。

密碼設定原則

弱密碼是最大漏洞。「123456」、「password」、「生日日期」這些密碼幾秒內就能被破解。

一個強密碼應該具備:最少12個字元、包含大小楷英文字母、數字和符號、不包含個人資料(姓名、生日、電話)、不使用常見詞語。

實際例子:「MyBank@2026#Secure」比「johnlee1990」強得多。前者包含大小楷、數字、符號,後者只是姓名加出生年份,極易猜中。

更重要的是,不同帳戶使用不同密碼。很多人為了方便記憶,所有網站用同一組密碼。一旦某個網站被入侵,駭客會嘗試用同一組密碼登入其他服務,包括你的網上銀行。

記不住太多密碼怎麼辦?可以使用密碼管理軟件,例如 1Password、Bitwarden、LastPass。這些工具會為每個網站生成獨特的強密碼並加密儲存,你只需要記住一組主密碼。

雙重認證必須開啟

雙重認證(Two-Factor Authentication, 2FA)是指除了密碼之外,還需要提供第二重驗證,通常是手機收到的一次性密碼(OTP)。

即使騙徒取得你的密碼,沒有你的手機就無法完成登入。香港所有主要銀行都提供雙重認證功能,部分更強制啟用。

雙重認證的 OTP 有幾種形式:

• 短訊 OTP:銀行發送6位數字密碼到你的手機
• 銀行 app 推送通知:在 app 內確認登入請求
• 實體保安編碼器:按下裝置產生密碼

其中,app 推送通知和實體編碼器比短訊 OTP 更安全,因為短訊可能被攔截(雖然機會很低)。如果銀行提供多種選擇,優先使用 app 推送或實體編碼器。

定期檢查戶口記錄

養成習慣每週檢查一次銀行戶口記錄。如果發現不明交易,即使金額很小也要立即通知銀行。

有些騙徒會先測試,轉出小額款項(例如10元),看你會否察覺。如果你沒有反應,他們會再進行大額轉帳。

檢查時留意:不認識的收款人、不尋常的轉帳時間(例如凌晨)、金額異常的交易。現在大部分銀行 app 都提供交易通知功能,每次有交易就會推送通知到手機,可以即時發現問題。

進階保護措施

做好基本防護後,可以考慮以下進階措施,進一步提升安全性。

使用 VPN 保護連線

虛擬私人網絡(VPN)會加密你的網絡連線,令其他人無法攔截你傳送的資料。如果你需要在公共場所使用網上銀行,VPN 可以提供額外保護層。

選擇 VPN 時注意幾點:選擇信譽良好的付費服務(免費 VPN 可能本身就是安全風險)、查看是否有「無日誌政策」、確認加密標準(最少 AES-256)。

實際操作很簡單:下載 VPN app、登入帳戶、選擇伺服器位置、啟動連線。之後所有網絡活動都會經過加密通道。

不過需要注意,部分銀行會阻擋來自 VPN 的連線,因為無法確認登入地點。如果遇到這情況,可以改用手機數據而非公共 Wi-Fi。

設定交易限額和通知

大部分銀行允許你設定每日轉帳限額。如果你平常不需要大額轉帳,可以將限額設為較低水平,例如每日最多轉帳5,000元。

即使駭客成功登入你的戶口,也只能轉走有限金額。你可以在發現問題後立即聯絡銀行凍結戶口,減少損失。

同時,啟用所有可用的通知功能:登入通知、轉帳通知、更改資料通知。每次有相關活動,手機都會收到即時提示。

避開可疑連結和附件

永遠不要點擊郵件或短訊內的銀行連結,即使看起來很真實。正確做法是自己在瀏覽器輸入銀行網址,或使用已安裝的官方 app。

銀行不會透過電郵或短訊要求你提供密碼、信用卡號、OTP 等敏感資料。如果收到這類訊息,直接刪除,不要回覆或點擊任何連結。

看到可疑郵件時可以留意幾個細節:寄件人電郵地址是否正確(騙徒會用相似但不完全相同的地址)、內容有否文法錯誤或奇怪用語、連結的實際網址(將滑鼠指標移到連結上,不要點擊,查看底部顯示的網址)。

如果懷疑帳戶被入侵

即使做足預防措施,也可能遇到意外。如果懷疑帳戶安全受威脅,立即採取行動可以減少損失。

第一步:立即聯絡銀行

不要猶豫,馬上致電銀行客戶服務熱線(使用銀行卡背面或官方網站上的電話號碼,不要用可疑來電顯示的號碼)。要求暫時凍結帳戶,阻止任何交易。

銀行會核實你的身份後立即處理。暫時凍結不會影響已授權的自動轉帳(例如供樓、保險),但會阻止新的轉帳指示。

第二步:更改所有密碼

凍結帳戶後,立即更改網上銀行密碼。如果你在其他網站使用相同或相似密碼,也要一併更改。

同時檢查帳戶設定,確認收款人名單、聯絡電話、電郵地址沒有被竄改。駭客有時會添加自己控制的收款人或更改聯絡資料,方便日後再次入侵。

第三步:檢查其他帳戶

如果網上銀行被入侵,其他使用相同密碼的帳戶也可能受影響。檢查電郵、社交媒體、購物網站等,確認沒有可疑活動。

特別留意電郵帳戶。很多服務的密碼重設功能會發送連結到電郵,如果電郵被入侵,駭客可以透過「忘記密碼」功能取得其他帳戶的控制權。

第四步:報警備案

如果確認有財務損失,應向警方報案。即使金額不大,報案記錄對日後追討或保險索償有幫助。

警方網絡安全及科技罪案調查科專門處理這類案件。報案時準備好所有相關資料:交易記錄截圖、可疑郵件或短訊、損失金額明細。

銀行本身的責任

網銀安全不只是用戶責任,銀行也有義務保護客戶資料和資金。

香港金融管理局對銀行的網絡安全有嚴格要求。銀行必須使用加密技術保護資料傳輸、定期進行安全審計、建立異常交易監測系統。

如果你因銀行系統漏洞而蒙受損失(而非因為自己洩漏密碼),銀行有責任賠償。但實際上,大部分網銀詐騙案都是因為用戶被騙自行洩漏資料,這種情況下銀行通常不會賠償。

所以,與其事後追究責任,不如事前做好防範。銀行可以提供工具和技術保障,但最終守護自己財產的還是你自己。

保持警覺但不必過度恐慌

看完這些風險和防範措施,你可能覺得網上銀行很危險。但實際上,只要做好基本防護,網銀是相當安全的。

全球每天有數以億計的網銀交易順利完成。被騙的案例雖然存在,但比例很低。重點是養成良好習慣:不點擊可疑連結、使用強密碼、啟用雙重認證、定期檢查戶口。

網絡安全就像鎖門一樣,雖然無法保證百分百安全,但已經可以阻擋絕大部分風險。小心但不過度緊張,才是正確態度。