网上保安提示及资讯

我们为您提供的保障

本公司采用国际认可的Transport Layer Security (「TLS」)加密技术，保障资料传送的安全，防止第三者盗取客户的资料。
网页伺服器设有防火墙，防止未经授权人士进入本公司的系统。
本公司系统会记录客户的登入次数。如客户连续多次输入错误的登入密码，有关网上银行服务会被即时暂停。
如客户正使用的网上银行服务静止（即没有任何操作指示）了一段指定时间，服务将被自动终止连线，以防止任何未经授权的交易。
本公司的网上银行服务为个人客户提供「流动保安编码」或「保安编码器」作为双重认证工具；此外，企业客户则可选「流动保安编码」、「保安编码器」或「电子证书」作为双重认证工具，以便可在客户透过网上银行进行「指定交易」或「指定投资交易」* 前进一步核实其身份，详情请参阅「双重认证工具」。
当企业客户使用「电子证书」登入企业网上银行时，系统会凭「电子证书」资料核实用户身份。如需申请「电子证书」，请与开户分行联络。如欲查询使用详情，请浏览电子核证服务有限公司网页www.dg-sign.com，并参阅核证作业准则一节。

安全凭证

本公司采用扩展验证SSL证书，让客户可透过检视浏览器的地址栏，核定所进入的网页是否本公司的真确网页。客户可在网上银行的登入版面上按「安全锁」标志，以查阅证书内容，包括其颁发者及有效日期等资料。请注意，各项资料的显示方式会因不同浏览器版本而有所差异。有关扩展验证SSL证书详情，请浏览证书发行者DigiCert的网页。

范例：

中银香港
发给："www.bochk.com"、"its.bochk.com"、"cib.bochk.com"或"igtb.bochk.com"
发行者：DigiCert EV RSA CA G2

客户登入企业网上银行时，如使用「电子证书」作为认证工具，系统会在用户的电脑执行特定的Java applet程式软件。为确保网上安全，一般浏览器会有视窗显示有关程式的「电子证书」及验证资料，以便客户分辨程式真伪。

企业客户在登入企业网上银行前，请检查以下资料：

1.分送的公司： "Bank of China (Hong Kong) Limited"

2.验证发行人真确性的公司："Thawte Consulting cc"

3.安全证书尚未过期且仍然有效

符合基本保安要求的浏览器

为确保客户资料安全，请安装建议的浏览器版本登入网上银行：

个人网上银行、iGTB NET
Microsoft Internet Explorer (版本11或以上)
Microsoft Edge (版本94或以上)
Mozilla Firefox (版本91.2或以上)
Apple Safari (版本14或以上)
Google Chrome (版本95或以上)

网上保安提示

防范伪冒网站
请您保持警觉并注意任何试图冒充本公司网址的伪冒网站。中银香港建议您经电子银行服务进行交易时，应在浏览器直接输入中银香港网址（www.bochk.com），或经官方应用程序商店或可信来源下载的中银香港流动应用程式，接驳至网上银行或手机银行账户。您须确定连线至本公司网站，否则不应提供任何相关的网上银行资料。
欺诈电话、电邮及短讯
请注意，电脑病毒、特洛伊软件及黑客程序可透过电邮传播，蠕虫病毒更可将病毒复制及发送至电邮地址簿上各收件人。因此，您不应开启并应实时删除来历不明的电邮，亦不要透过电子邮件或短讯提供的超连结或二维码登入网上银行及提供支付卡(包括中銀信用卡及中銀卡)资料。如需开启电邮内的附件，亦应先进行病毒扫描。此外，您应提高警觉，以防骗徒借电邮及短讯进行不法活动。

如涉及汇款交易，请勿单靠电邮往来办理。您应使用其他渠道(例如：电话、传真等)确认交易内容及收款人资料后才完成汇款。

例子一：商业层面电邮诈骗
骗徒对一名海外买家及其服务供应商在过去数月的电邮往来进行监视。当该名黑客了解了有关交易详情后，便利用与服务供应商名字相近的假电邮地址，指示买家将款项汇往一欺诈账户。

例子二：冒领遗产电邮诈骗
骗徒发出电邮并声称为银行职员，指其一名已去世的客户留下巨额定期存款，无人认领。骗徒邀请收件人讹称为去世客户的亲属以领取存款。如收件人同意合作，骗徒便要求收件人先缴付款项，以支付文件费用。最终收件人被骗去有关款项。

例子三：退回费用电邮诈骗
骗徒发出电邮并声称为公共服务机构/银行职员，指有一笔费用可退回，需要收件人点击电邮内附上的超连结，诱骗收件人在伪冒网站提供个人资料，包括网上或手机银行登入资料，其后利用网上或手机银行账户转走收件人的财产。

例子四：支付卡钓鱼电邮或短讯诈骗
骗徒伪冒商业平台/邮政服务/速递公司/政府部门/银行发出钓鱼电邮或短讯，以不同借口要求客户点击电邮或短讯内的超链接进行验证、换领积分、退款、付费或个人资料更新，例如讹称需客户更新资料才能继续提供服务，或客户有包裹因故无法派递而需更新资料及/或额外付费，或客户账户被多收款项可申请退款或自动扣账失败需提供信用卡资料作实时处理等，诱骗客户在该超链接的伪冒网站内输入个人及支付卡资料。

例子五：假冒银行职员电话骗案
骗徒假冒银行职员的骗徒来电，声称客户的银行账户有问题（例如：有可疑非法交易记录、涉及洗黑钱等）并将会被冻结。其后，骗徒讹称需要核实客户身份，要求客户回答许多问题，藉此骗取大量个人及银行账户资料。骗徒更要求客户将资金转账至指定本地银行账户，以「解冻」其账户，藉此骗取客户的金钱。
浏览器中间人攻击
曾发现有个别企业客户的电脑在使用企业网上银行时，怀疑受特洛伊木马程序攻击，在登入企业网上银行时，电脑显示一个虚假网页，除要求客户输入登入名称、密码外，并同时要求客户输入由保安编码器发出的一次性"交易确认编码"。

请注意在登入网上银行时，本公司不会要求您输入一次性"交易确认编码"。(请参阅以下网上银行登入版面)
您应在个人电脑安装防火墙软件及防电脑病毒软件，并且不时更新，同时应避免进入可疑网站或从该等网站下载软件，亦不要随便开启来历不明的电邮内的附件。

伪冒电邮及短讯的常见特征
「网络钓鱼」的骗徒经常讹称商业平台/邮政服务/速递公司/政府部门/银行之名发出虚假电邮或短讯，企图诱骗您提供账户资料、密码、个人资料或支付卡号码。下列为一些伪冒电邮及短讯常见特征，有助提高警剔。
- 内容出现语法不通、错别字或拼写错误。
- 虚假电邮、短讯及伪冒网站的超链接会以不同组合，甚至仿似相关机构真正网址的域名（如以类似的英文字母、数字或符号取代）出现。
- 虚假短讯的发送人名称有机会与真实商户名称相同，导致虚假短讯与过往来自真实商户的短讯共同显示。
- 内容通常涉及的重要讯息或要求提供个人资料以核实账户，例如︰大额转账的交易通知或須启用新的安全功能的通知，并要求点击超连结或开启附件。
- 虚假电邮一般包含超连结或附件。屏幕显示的超链接看似是相关机构的真正网址，但当用鼠标指向电邮显示的链接时是其他网址。
请您透过以下本公司的官方网站登入网上银行。切勿透过任何电子邮件丶短讯丶二维码丶互联网搜索器或社交网络平台提供的超连结，或非本公司认可的第三者网站或流动应用程式登入本公司的网上银行。如有查询，请即与本公司联络：

银行网址
中银香港 https://www.bochk.com

个人网上银行登入流程
请输入网上银行号码/用户名称、网上银行密码、验证码及按「登入」，后续以流动保安编码、实体保安编码器或短讯一次性密码完成验证

iGTB NET双重认证登录流程 (不适用于「电子证书」用户)

请输入iGTB平台编号/登录名称、使用者代号、密码及验证码，然后按「双重认证登录」

于「双重认证登录」版面，输入由保安编码器/流动保安编码产生的一次性「保安编码」

您可选择基本登入进行查询

个人手机银行登入流程

请输入网上银行号码/用户名称、网上银行密码、验证码及按「登入」，后续以流动保安编码、实体保安编码器或短讯一次性密码完成验证

您亦可选择以「生物认证」(例如：指纹、Face ID)登入手机银行

iGTB MOBILE登录

请输入iGTB号码/登录名称、使用者代号、密码及验证码，然后按「基本登录」或「双重认证登录」

您可选择启用流动保安编码及「生物认证」(例如：指纹、Face ID)以登录iGTB MOBILE
妥善保管个人密码及个人资料
- 当收妥密码函件后，应尽快透过网上银行更改密码，然后将密码函件销毁。
- 请牢记密码，切勿以任何形式记录密码而不加掩饰。
- 切勿使用容易被猜中的字符作为密码（例如：姓名、出生日期、香港身份证/护照号码等），并须避免使用与其他网站相同的密码作为登入密码。
- 请妥善保管保安装置和认证因素（如个人密码），切勿向任何人透露网上银行用户名称及密码，不应随便向任何人透露任何个人资料（例如︰香港身份证/护照号码及副本、出生日期等），亦不应使用非本公司认可的网站/流动应用程式或他人的电子装置上载或拍摄个人资料。
- 请定期更改密码。
- 您应该小心在社交网络平台上分享信息。切勿披露您身份的个人信息（例如：姓名、电邮地址、出生日期、通讯地址、电话号码等）。
- 您应负责采取合理措施，安全和保密地保管用于进入网上银行及启动流动支付应用程式的任何设备（例如：个人电脑、保安编码器、流动装置、「"电子证书」"和身份证明文件）、密码（例如: 网上银行密码、验证密码及电话银行密码）或「"生物认证」"（例如：指纹和Face ID）。
- 切勿让任何其他人士使用其认证因素；切勿转发一次性密码或推送提示予第三者。
- 如使用登入网上银行的任何设备、密码或「生物认证」，您须负责当中提出的所有指示。
- 如发觉或怀疑其认证因素（如密码或双重认证工具）或装置遭泄露、遗失、被盗用或发现账户有未经授权的交易，请即与本公司联络。
- 本公司在您进行"指定交易"时，才会要求您输入由保安编码器或流动保安编码发出的一次性「交易确认编码」，绝不需要您在保安编码器或流动保安编码上输入任何资料以产生「登入/保安编码」。您如有任何怀疑，切勿按照可疑网页上的指示操作或输入任何资料，并请即终止网上银行的操作。如有查询，请与本公司联络。
- 您可选择以保安编码器或流动保安编码登入网上银行以增强安全性。
保护您的个人电脑
- 请定期下载并安装操作系统及浏览器的更新程式。
- 请为个人电脑安装防火墙。
- 请为个人电脑安装病毒侦测软件，并定期更新病毒定义档及进行病毒扫描。
- 请设定难以猜破的锁机密码及自动上锁功能。
- 切勿下载或安装来历不明的程式，亦不应开启可疑的档案、电邮或短讯，以防止黑客程式或电脑病毒盗取您的个人资料。
- 如透过无线网络使用网上银行，您必须加强安全设定以确保使用的网络是安全及可靠。
使用网上银行时须注意的安全措施
- 切勿在浏览器选择储存或保留密码，并关闭浏览器的「自动完成」设定，防止第三者从浏览器盗取您的登入资料。
- 切勿透过公用电脑或公用无线网络登入网上银行。
- 只设定及使用可靠的无线网络上网。
- 请您透过本公司的官方网站登入网上银行，切勿透过任何电邮、短讯、二维码、互联网搜索器或社交网络平台提供的超连结，或非本公司认可的第三者网站或流动应用程式登入网上银行。如有查询，请即与本公司联络。
- 登入网上银行前，建议关闭其他浏览器视窗。此外，在使用网上银行时，切勿同时开启其他可疑浏览器及浏览其他网站。
- 在登入网上银行时，请确定没有其他人在旁窥视，以免泄露您的用户名称及密码。
- 每次使用网上银行时，请先核对上一次登入及登出的纪录；您亦应定期检查账户结余及核对交易纪录。如发现可疑情况，请即与本公司联络。
- 请留意本公司的短讯及电邮提示，定期查阅账户交易，以识别任何未经授权的交易或不寻常的情况。
- 当完成网上交易后，必须按「登出」离开系统，同时亦须关闭浏览器及删除浏览器的暂存及历史资料。
- 如使用保密匙储存「电子证书」作为双重认证工具，请于完成网上交易后将装置从电脑中移除，并存放于安全地方。
- 切勿在未登出网上银行前离开电脑。
- 有关其他使用互联网时应注意的保安措施，请按此处。
- 如您作出欺诈或严重疏忽行为，如未能妥善保管接驳网上银行的设备、密码或「生物认证」，您或须对因经其账户进行的任何未经授权交易而蒙受的直接损失负责。
- 若损失是因您的欺诈行为而引致，您将要承担所有损失。若损失是因您严重疏忽（可能包括在知情情况下容许他人使用其设备、密码或「生物认证」），或者因您在发觉或相信其接驳网上银行所用的密码或设备遭泄露、遗失或被盗用，又或其账户曾录得未经授权交易后，未能在合理切实可行的情况下尽快通知本公司而引致，您亦可能要承担所有损失。您如未能遵守上文所载的保障措施而导致损失，此点的规定亦可能适用。
- 请确保在本公司登记用于接收本公司重要通知的联络方式（例如用于网上付款的短讯及电邮通知）是最新的，以便有关通知能够及时向客户发送。
企业网上银行客户的注意事项
- 为财务交易设定双重授权：请为企业网上银行的财务交易设定双重授权，以加强保安。
- 账户活动监察：您可设定短讯、电邮、收件箱或手机应用程式之入账/出账通知以追踪账户之各项活动。
- 定期备份：良好的备份策略对信息安全来说是必要的。您应时常将自己不同程度重要性的数据加以归类。若您的数据里包含有敏感性的数据，建议您对它进行加密。