行動銀行 APP 由於低使用門檻與高度便利性在亞洲快速普及,但也同時引發詐騙案件增加,以及政府強化監管的挑戰。本文將講解保護消費者的區域性安全框架與監管規範。
行動應用程式的使用正以驚人的速度持續攀升。短短數年間,這些應用程式已徹底改變了我們的生活、工作與互動方式。從娛樂、通訊、交通到購物,行動科技幾乎滲透了日常生活的各個層面,金融服務當然也不例外。過去屬於小眾服務的「行動銀行」,如今已成為金融服務版圖中不可或缺的一環,特別是在亞洲市場。
以新加坡為例,根據 Statista 的最新數據,當地有高達 89% 的消費者已經使用行動銀行服務。受惠於使用門檻低與便利性的提升,行動銀行的普及率仍將快速成長,尤其是在一些特定區域,行動 APP 正在成為最有效的途徑,能夠觸及龐大且多元族群。根據 KBV Research 預測,2024 至 2031 年間,亞洲行動銀行市場將以超過 17% 的年均複合成長率(CAGR)持續擴張。
隨著數位銀行服務持續演進,市場上不斷出現新的業者與創新服務。其中一個值得注意的趨勢是 「超級應用程式Super App」 的崛起,這類平台通常從單一核心功能起步,後續擴展提供各式數位服務。一個最具代表性的例子是微信 WeChat。微信最初是以通訊應用程式起家,現已發展成一站式平台,整合數位支付、電子商務等服務,在中國就服務超過 12 億用戶。
然而,這股 Super App 的發展趨勢並不只限於中國。在整個亞洲地區,像是新加坡的 Grab、泰國的 Line、印尼的 GoTo、越南的 Zalo 等,正逐漸獲得更多使用者青睞。這些應用程式提供豐富的服務生態系,並強化使用者體驗,使其對用戶極具吸引力。
金融科技行動應用程式,尤其是行動銀行的持續創新,為應用程式提供者與消費者帶來了顯著的利益。然而,這些不斷演進的應用程式同時也帶來了 重大資安風險。由於處理的資料量龐大,它們已成為網路犯罪份子的主要攻擊目標,可能被利用來進行身分竊取、詐騙、間諜活動等各種不法行為。
多起近期案例凸顯了行動銀行應用程式的脆弱性、資安事件的嚴重性,以及保護行動銀行應用程式與使用裝置的迫切性。
例如,泰國一家會計師事務所使用行動銀行應用程式處理核心交易,包括員工薪資支付,但遭到駭客入侵。此次攻擊在短短 30 秒內造成損失高達 200 萬泰銖(約 6 萬美元)。
另一個例子來自泰國的 FinEasy。這款金融科技借貸應用程式被發現在用戶不知情的情況下安裝在手機上。用戶反映無法移除該應用程式,且該程式會存取敏感資料,包括聯絡人,並發送未經請求的通知。部分使用者透過此服務借貸時,竟遭收取高達 40% 的利率,這在泰國屬於非法行為。
這些事件反映出,惡意行動應用程式對消費者與企業的威脅正變得更加複雜與嚴峻。
隨著數位銀行平台的使用與數量增加,威脅也隨之上升。如今,這些應用程式面臨的風險範圍包括:
亞洲各地的金融機構面臨越來越複雜的監管環境,規範不斷演進,旨在保護消費者資料及維護金融體系的完整性。
以下是一些最重要的法規範例:
由新加坡資安局(Cyber Security Agency of Singapore)制定的 Safe App Standard,訂定了行動應用程式安全的基本最佳實務。該指引旨在協助應用程式開發者與提供者防範新加坡境內的行動惡意程式與詐騙手法。標準針對高風險情境提供指導,包括帳戶變更(如:新增第三方收款人、提高轉帳限額、大額交易),以及應用程式安全設定變更等情況。
技術風險管理標準著重於所有金融機構 必須實施健全的風險管理控制,並建立安全的技術創新框架。此標準規定了馬來西亞金融機構為降低技術風險必須達到的最低標準。標準詳列多項措施,以保障系統與客戶資訊安全,包括持續評估及專門的防網路攻擊計劃。
針對保障行動應用程式與裝置安全所需的控制措施,技術風險管理標準提出了明確規範。例如,標準要求組織「行動應用程式應該被設計成能夠在行動裝置上運行,並應確保其運行環境安全且防篡改」。
新加坡金融管理局(MAS) 是該國的中央銀行及金融監管機構。MAS 制定了關於 治理、風險管理、反洗錢等方面的詳細規範。其技術風險管理(TRM)指南 為新加坡金融機構必須遵循的一套最佳實務,涵蓋資料保護、使用者認證、整體應用程式安全等領域。
TRM 指南包含許多針對行動應用程式安全的具體要求,例如保護私密加密金鑰、實施防篡改措施、執行應用程式完整性檢查,以及建立防範中間人攻擊的防護機制。
此外,MAS 也發布了多項指令,其中包括 Notice #FSM-N06「網路衛生通知」,該指令詳列銀行需遵循的資安標準,包括保護管理員帳號、強化使用者認證、實施防惡意軟體措施。
亞太經濟合作組織(APEC)跨境隱私執行協議(CPEA) 建立了一個區域性合作框架,用於隱私法規的執行。此框架目的在在讓成員國的組織能更順暢地進行資料傳輸,同時確保資料保護。該框架要求採取適當措施,以保障消費者資訊安全,包括防止資料遺失、未經授權的存取、處理、使用及揭露。
CPEA 由美國聯邦貿易委員會(FTC)與 日本個人資訊保護委員會(PPC)共同管理。迄今為止,參與單位包括來自澳洲、加拿大、台灣、中國、韓國、墨西哥、菲律賓及新加坡等數十個委員會與部門。
OJK(印尼金融服務管理局) 是印尼的金融監管機構,負責制定並執行涵蓋整個金融服務產業(包含行動銀行 App 與數位銀行)的標準。OJK 要求金融機構建立健全的治理架構、風險管理與資安措施。
這些標準明確規定必須保障客戶資料安全。法規要求銀行進行風險與成熟度評估、並公開評估結果與報告任何資安事件。依據標準,銀行必須定期進行資安測試,包括漏洞分析、情境模擬測試。
新加坡與泰國均已實施個人資料保護法(PDPA)。這些法規主要規範組織如何收集、使用、提供及處理個人資料。兩國法規都要求企業在資料外洩時 通知受害者,並對違規者 施加罰則。
新加坡的 PDPA 對個人資料要求分為三大類:收集、管理與個人自主權。在資料管理方面,法規要求採取保護措施,確保資料 免於未經授權的存取、收集、使用及揭露。
泰國 PDPA 同樣賦予個人對其個人資訊的收集與使用方式的權利。適用範圍不只泰國境內公司,境外企業只要處理泰國公民的資料也要遵守。
2024 年底,泰國依據此法首次開罰,一家私營公司因多項違規行為 被處以 700 萬泰銖(約 20 萬美元以上) 的罰款。
亞洲各國政府正開始要求企業不僅要預防資安事件發生,還需對事件後果負起承擔責任。
例如在泰國,數位經濟與社會部部長宣布計畫發布行政命令,要求銀行與行動服務提供者對網路詐騙受害者進行賠償。
同樣地,新加坡金融管理局(MAS)與資訊通信媒體發展局(IMDA)推出了 共享責任框架(Shared Responsibility Framework),明確規範電信業者和金融機構(包含銀行及主要支付服務提供商)在防範釣魚攻擊與詐騙時必須履行的資安責任。
這個框架同時規定,如果相關單位未能履行責任,則必須對受害者進行賠償。框架中視金融機構為首要責任方,若金融機構未遵守規範,將優先負責補償受害者的損失。換句話說,若發生未經授權的交易,且事後確認該組織不符合規範,該組織就必須承擔相關金錢損失。
這項標準涵蓋了例如 利用數位連結將受害者導向假網站的網路釣魚詐騙。根據該框架,金融機構必須落實多項措施,包括:
對潛在高風險行為發出即時警示、建立詐騙監控機制,設置「冷卻期」,在發生變更(如新裝置登入)後延遲相關交易操作。
隨著行動應用程式成為亞洲地區購物、銀行、投資的主要途徑,強而有力的資安措施比以往任何時候都更為重要。為了保護消費者與企業資料,金融機構必須採用先進的資安解決方案。這正是 Quokka 的工具 Q-mast 與 Q-scout 發揮作用的地方。
Q-mast 是專為開發者設計的行動應用程式安全檢測(MAST)解決方案。它讓開發者能將 MAST 整合進開發流程,確保每個應用程式從一開始就具備安全性。透過在 CI/CD 中自動化執行安全測試,Q-mast 可提供詳細威脅報告、修復建議,以及通過/失敗證據。依靠專利技術,Q-mast 的分析引擎可進行比市面上任何其他 MAST 解決方案更深入、全面的檢測。
對於亞洲的金融機構而言,Q-scout 為銀行員工提供進階的安全保護。它可掃描受管控及個人應用程式的惡意行為,並強制執行嚴格的資料傳輸政策。
例如, Q-scout 能偵測可疑應用程式,包含試圖過度索取權限、蒐集過量個資,或將資料傳輸到高風險地點。透過這種方式,抵禦惡意攻擊者試圖蒐集資料以進行鎖定式網路釣魚(spear phishing)。
此外,Q-scout 可協助企業符合業界標準,同時維護員工與客戶的隱私。其簡化的資安管理流程,使其成為 希望以最少 IT 人力投入維護行動安全 的組織最佳選擇。
亞洲行動銀行的快速成長帶來了巨大商機,但同時也伴隨著重大風險。隨著數位服務愈加融入日常生活,網路犯罪分子也持續採取更複雜且持續的攻擊手法。金融機構必須採取強韌的安全措施、符合多層次的監管要求、建立全新的資安責任文化,以領先於不斷演變的風險。
Quokka 的 Q-mast 與 Q-scout 正是因應這些挑戰的解決方案。提供現今金融機構所需的資安能力。透過這些解決方案,組織能在行動應用程式及其處理的敏感資料周圍,建立強而有力的防護措施,讓團隊持續提供便利的行動銀行服務,同時不犧牲安全性。
若您對 Quokka 有興趣,歡迎於官網中留下資料,將有專人與您聯繫 ➤ https://www.gss.com.tw/product-services-nav/info-security/quokka