金融機構必知！三大關鍵掌握亞洲市場 行動銀行App的安全與合規

亞洲行動銀行App 普及與快速增長

行動應用程式的使用正以驚人的速度持續攀升。短短數年間，這些應用程式已徹底改變了我們的生活、工作與互動方式。從娛樂、通訊、交通到購物，行動科技幾乎滲透了日常生活的各個層面，金融服務當然也不例外。過去屬於小眾服務的「行動銀行」，如今已成為金融服務版圖中不可或缺的一環，特別是在亞洲市場。

以新加坡為例，根據Statista的最新數據，當地有高達89%的消費者已經使用行動銀行服務。受惠於使用門檻低與便利性的提升，行動銀行的普及率仍將快速成長，尤其是在一些特定區域，行動App 正在成為最有效的途徑，能夠觸及龐大且多元族群。根據KBV Research預測，2024至2031年間，亞洲行動銀行市場將以超過17%的年均複合成長率（CAGR）持續擴張。

數位服務演進與數位銀行風險攀升

隨著數位銀行服務持續演進，市場上不斷出現新的業者與創新服務。其中一個值得注意的趨勢是「Super App」的崛起，這類平台通常從單一核心功能起步，後續擴展提供各式數位服務。一個最具代表性的例子是微信WeChat，微信最初是以通訊應用程式起家，現已發展成一站式平台， 整合數位支付、電子商務等服務，在中國就服務超過12億用戶。

然而，這類應用程式的發展趨勢並不只限於中國。在整個亞洲地區，像是新加坡的Grab、泰國的Line、印尼的GoTo、越南的Zalo 等，正逐漸獲得更多使用者青睞。這些應用程式提供豐富的服務生態系，並強化使用者體驗，使其對用戶極具吸引力。

金融科技行動應用程式，尤其是行動銀行的持續創新，為應用程式提供者與消費者帶來了顯著的利益。然而，這些不斷演進的應用程式同時也帶來了重大資安風險。由於處理的資料量龐大，它們已成為網路犯罪份子的主要攻擊目標，可能被利用來進行身分竊取、詐騙、間諜活動等各種不法行為。

近期事件凸顯重大風險

多起近期案例凸顯了行動銀行應用程式的脆弱性、資安事件的嚴重性，以及保護行動銀行應用程式與使用裝置的迫切性。

例如，泰國一家會計師事務所使用行動銀行應用程式處理核心交易，包括員工薪資支付，但遭到駭客入侵。此次攻擊在短短30秒內造成損失高達200萬泰銖（約6萬美元）。

另一個例子來自泰國的FinEasy。這款金融科技借貸應用程式被發現在用戶不知情的情況下安裝在手機上。用戶反映無法移除該應用程式，且該程式會存取敏感資料，包括聯絡人，並發送未經請求的通知。部分使用者透過此服務借貸時，竟遭收取高達40%的利率，這在泰國屬於非法行為。

這些事件反映出，惡意行動應用程式對消費者與企業的威脅正變得更加複雜與嚴峻。

亞洲行動銀行應用程式 企業三大關鍵策略

策略1：防範日益演進且愈加複雜的威脅

隨著數位銀行平台的使用與數量增加，威脅也隨之上升。如今，這些應用程式面臨的風險範圍包括：

• 資料外洩：敏感的金融資料是網路犯罪份子的主要目標，資料外洩可能造成聲譽受損、法律責任以及重大財務損失。

• 網路釣魚攻擊：犯罪份子常透過假冒的電子郵件或網站誘使用戶提供登入憑證、個人資訊及金融資料。

• 身分盜用：網路釣魚或資料外洩常導致身分盜用，進而造成可觀的財務及聲譽損失。

• 勒索軟體攻擊：惡意攻擊者透過此類攻擊手法鎖住公司的系統或資料，並要求支付贖金以解鎖。此類攻擊已對各行各業及不同地區的組織造成重大財務與營運影響。

• API漏洞：API的認證不足或使用者權限控管不當，都可能使敏感資料暴露給攻擊者。

策略2： 遵循日益複雜且持續演進的法規與標準

亞洲各地的金融機構面臨越來越複雜的監管環境，相關規範也不斷在演進，旨在保護消費者資料及維護金融體系的完整性，以下是一些重要的法規範例：

新加坡Safe App Standard

由新加坡資安局（Cyber Security Agency of Singapore）制定的Safe App Standard，訂定了行動應用程式安全的基本最佳實務。該標準旨在協助應用程式開發者與提供者防範新加坡境內的行動惡意程式與詐騙手法，針對高風險情境提供指導，包括帳戶變更（如新增第三方收款人、提高轉帳限額、大額交易）以及應用程式安全設定變更等情況。

馬來西亞技術風險管理標準

技術風險管理標準著重於所有金融機構必須實施健全的風險管理控制，並建立安全的技術創新框架。此標準規定馬來西亞金融機構為降低技術風險必須達到的最低標準，詳列了多項措施以保障系統與客戶資訊安全，包括持續評估及專門的防禦網路攻擊計劃。

針對保障行動應用程式與裝置安全所需的控制措施，技術風險管理標準提出了明確規範。例如，要求組織的行動應用程式應該被設計成能夠在行動裝置上運行，並應確保其運行環境安全且防篡改。

新加坡金融管理局（MAS）的規範要求

新加坡金融管理局（MAS）是該國的中央銀行及金融監管機構。MAS制定了關於治理、風險管理、反洗錢等方面的詳細規範。其技術風險管理（TRM）指南為新加坡金融機構必須遵循的一套最佳實務，涵蓋資料保護、使用者認證、整體應用程式安全等領域。

TRM指南包含許多針對行動應用程式安全的具體要求，例如保護私密加密金鑰、實施防篡改措施、執行應用程式完整性檢查，以及建立防範中間人攻擊的防護機制。

此外，MAS也發布了多項指令，其中包括Notice #FSM-N06「網路衛生通知」 (Notice on Cyber Hygiene)，該指令詳列銀行需遵循的資安標準，包括保護管理員帳號、強化使用者認證、實施防惡意軟體措施。

亞太經濟合作組織（APEC）的資料傳輸規範

亞太經濟合作組織（APEC）的跨境隱私執行協議（CPEA）建立了一個區域性合作框架，用於隱私法規的執行。此框架目的在於讓成員國的組織能更順暢地進行資料傳輸，同時確保資料保護。該框架要求採取適當措施，以保障消費者資訊安全，包括防止資料遺失、未經授權的存取、處理、使用及揭露。

CPEA由美國聯邦貿易委員會（FTC）與日本個人資訊保護委員會（PPC）共同管理。迄今為止，參與單位包括來自澳洲、加拿大、台灣、中國、韓國、墨西哥、菲律賓及新加坡等數十個委員會與部門。

印尼金融服務管理局（OJK）的法規

OJK（印尼金融服務管理局）是印尼的金融監管機構，負責制定並執行涵蓋整個金融服務產業（包含行動銀行 App 與數位銀行）的標準。OJK要求金融機構建立健全的治理架構、風險管理與資安措施。

這些標準明確規定必須保障客戶資料安全，要求銀行進行風險與成熟度評估， 並公開評估結果與報告相關資安事件。依據標準，銀行必須定期進行資安測試，包括漏洞分析、情境模擬測試。

新加坡與泰國的個人資料保護（PDPA）

新加坡與泰國均已實施個人資料保護法 （PDPA）。這些法規主要規範組織如何 收集、使用、提供及處理個人資料。兩國法規都要求企業在資料外洩時通知受害者，並對違規者施加罰則。

新加坡的PDPA對個人資料要求分為收集、管理與個人自主權三大類。在資料管理方面，法規要求採取保護措施，確保資料免於未經授權的存取、收集、使用及揭露。

泰國PDPA同樣賦予個人對其個人資訊的收集與使用方式的權利。適用範圍不只泰國境內公司，境外企業只要處理泰國公民的資料也要遵守。

2024年底，泰國依據此法首次開罰，一家私營公司因多項違規行為被處以700 萬泰銖（約20萬美元以上）的罰款。

策略3：為全新責任時代做好準備

亞洲各國政府正開始要求企業不僅要預防資安事件發生，還需對事件後果負起承擔責任。

例如在泰國，數位經濟與社會部部長宣布計畫發布行政命令，要求銀行與行動服務提供者對網路詐騙受害者進行賠償。 同樣地，新加坡金融管理局（MAS）與資訊通信媒體發展局（IMDA）推出了共享責任框架（Shared Responsibility Framework），明確規範電信業者和金融機構（包含銀行及主要支付服務提供商）在防範釣魚攻擊與詐騙時必須履行的資安責任。

依共享責任框架規定相關單位未能履行責任，則必須對受害者進行賠償。框架中視金融機構為首要責任方，若金融機構未遵守規範，將優先負責補償受害者的損失。換句話說，若發生未經授權的交易，且事後確認該組織不符合規範，該組織就必須承擔相關金錢損失。

這項標準涵蓋了利用數位連結將受害者導向假網站的網路釣魚詐騙。根據該框架規範，金融機構必須落實多項措施，包括對潛在高風險行為發出即時警示、建立詐騙監控機制，設置「冷卻期」，在發生變更（如新裝置登入）後延遲相關交易操作。

亞洲行動銀行的快速成長帶來了巨大商機，但同時也伴隨著重大風險。隨著數位服務愈加融入日常生活，網路犯罪分子也持續採取更複雜且持續的攻擊手法。金融機構必須採取強韌的安全措施、符合多層次的監管要求、建立全新的資安責任文化，以領先於不斷演變的風險。

Quokka正是因應這些挑戰的解決方案。 透過Quokka Q-mast與Q-scout，組織能在行動應用程式及其處理的敏感資料周圍，建立強而有力的防護措施，讓團隊持續提供便利的行動銀行服務，同時不犧牲安全性。

Q-mast：顛覆行動應用程式的安全檢測

Q-mast是專為開發者設計的行動應用程式安全檢測（MAST）解決方案。它讓開發者能將MAST整合進開發流程，確保每個應用程式從一開始就具備安全性。 透過在CI/CD中自動化執行安全測試， Q-mast可提供詳細威脅報告、修復建議，以及通過或失敗證據。依靠專利技術，Q-mast的分析引擎可進行比市面上任何其他MAST解決方案更深入、全面的檢測。

Q-scout：強化行動銀行應用程式的安全防護

對於亞洲的金融機構而言，Q-scout為 銀行員工提供進階的安全保護。它可掃描受管控及個人應用程式的惡意行為， 並強制執行嚴格的資料傳輸政策。

例如， Q-scout能偵測可疑應用程式，包含試圖過度索取權限、蒐集過量個資，或將資料傳輸到高風險地點。透過這種方式，抵禦惡意攻擊者試圖蒐集資料以進行鎖定式網路釣魚（spear phishing）。

此外，Q-scout可協助企業符合業界標準，同時維護員工與客戶的隱私。其簡化的資安管理流程，使其成為希望以最少IT人力投入維護行動安全的組織最佳選擇。

關於Quokka App黑箱檢測

Quokka採用靜態與動態分析技術，能夠發現應用程式中的未授權API調用、敏感數據暴露、弱加密實作及逆向工程風險。此外，該工具可自動識別與OWASP Mobile Top 10相關的安全問題，提供詳細的風險報告與修復建議，並可通過現有的DevOps工具與CI/CD 集成，使開發人員能夠迅速強化應用程式安全性。

透過Quokka App黑箱檢測，企業能夠因應不斷變化的行動安全威脅，快速識別應用程式中的潛在風險，降低潛在攻擊風險，並提升資安合規能力。無論是對於內部安全審查還是供應鏈安全評估，Quokka都能提供高效、深入的行動應用安全檢測，確保您的應用程式能夠抵禦各種威脅。

Quokka App黑箱檢測-可信任的安全及隱私檢測>>>https://www.gss.com.tw/product-services-nav/info-security/quokka