De nouvelles mesures anti-phishing entrent en vigueur le 16 décembre ; les banques et les opérateurs télécoms partageront la responsabilité des pertes liées aux escroqueries

SINGAPOUR, 26 octobre – Des banques telles que DBS Bank, UOB, OCBC Bank et Citibank, ainsi que des fournisseurs de services de paiement proposant des portefeuilles électroniques, tels que Grab, YouTrip et

Plusieurs banques et prestataires de services de paiement seront les premiers à participer à un nouveau cadre qui déterminera qui est responsable de couvrir les pertes subies par les escroqueries par phishing. Le cadre, qui sera pleinement mis en œuvre le 16 décembre, vise à établir des obligations claires pour les institutions financières et les opérateurs de télécommunications en matière de prévention et de réponse aux escroqueries par phishing.

DBS Bank, UOB, OCBC Bank, Citibank, Grab, YouTrip et Revolut seront parmi les premiers à rejoindre le cadre, qui a été finalisé jeudi. Les quatre sociétés de télécommunications – Singtel, StarHub, M1 et Simba Telecom – emboîteront le pas, a rapporté le Straits Times.

Si les obligations définies par l'Autorité monétaire de Singapour (MAS) et l'Infocomm Media Development Authority (IMDA) pour les institutions financières et les opérateurs de télécommunications sont remplies, les victimes devront supporter le coût d'une arnaque.

Voici un résumé des obligations des institutions financières et des opérateurs de télécommunications qui entreront en vigueur le 16 décembre.

Institutions financières

Période de refroidissement de 12 heures : les institutions financières et les banques sont tenues de mettre en œuvre une période de refroidissement de 12 heures lorsqu'un jeton de sécurité numérique est activé, par exemple lorsqu'un utilisateur crée un compte sur un nouvel appareil. Au cours de la période, aucune activité à haut risque ne peut être réalisée, comme l'ajout de nouveaux bénéficiaires ou la réalisation de transactions de grande valeur, afin de donner aux clients plus de temps pour repérer d'éventuelles activités inhabituelles sur leurs comptes. Le délai de réflexion de 12 heures s'applique également aux connexions à un portefeuille électronique tel que Grab sur un nouvel appareil.

Alerter les utilisateurs des activités à haut risque : les utilisateurs doivent être immédiatement avertis chaque fois qu'un jeton de sécurité numérique lié à leurs comptes est activé, et en cas d'activités à haut risque comme des transactions de grande valeur.

Informer les utilisateurs des transactions sortantes : les banques et les institutions financières doivent alerter les clients des transactions sortantes via des notifications en temps réel afin que les clients puissent signaler rapidement les escroqueries potentielles.

Canal de signalement 24 heures sur 24 et « kill switch » : les utilisateurs doivent toujours avoir accès à un canal de signalement, leur permettant de contacter l'institution financière pour empêcher les fraudeurs d'effectuer des transactions frauduleuses sur leurs comptes. Les clients devraient également avoir accès à un « kill switch » qui leur permet de geler leurs comptes et d’empêcher d’autres transactions non autorisées. La fonctionnalité d'urgence a été introduite en 2022 à la suite d'une série d'escroqueries par phishing ciblant les clients d'OCBC, qui ont perdu au total environ 13,7 millions de dollars singapouriens (45,03 millions de RM)

Mettre en place une surveillance des fraudes en temps réel : les institutions financières seront tenues de mettre en place des systèmes de surveillance des fraudes en temps réel qui bloquent les transactions non autorisées. Les banques doivent être capables de détecter le moment où une grosse somme d'argent – ​​définie comme une transaction impliquant plus de la moitié du solde d'un compte d'au moins 50 000 $ S (164 330 RM) – est transférée depuis un compte, et soit de bloquer la transaction suspecte. jusqu'à ce qu'il soit en mesure d'obtenir la confirmation du client ou de suspendre la transaction pendant au moins 24 heures.

Télécoms

Signaler les agrégateurs non autorisés : les clients doivent recevoir des messages texte affichant le nom de l'expéditeur uniquement s'ils proviennent d'expéditeurs autorisés enregistrés dans le registre d'identification des expéditeurs SMS de l'IMDA. Les entreprises envoient fréquemment des messages texte en masse via des agrégateurs, qui agissent au nom d'une entreprise. Les textes reçus par les utilisateurs provenant de sources non autorisées seront signalés comme « arnaque probable ».

Bloquer les identifiants d'expéditeur non autorisés : les opérateurs de télécommunications sont tenus de bloquer les messages de tous les agrégateurs non autorisés pour empêcher leurs clients de recevoir des SMS d'identification d'expéditeur provenant de canaux externes, y compris de réseaux inconnus.

Filtres anti-arnaque : les opérateurs télécoms sont censés mettre en place des filtres anti-arnaque pour tous les messages SMS qui transitent par leurs réseaux. Les filtres sont conçus pour rechercher les messages contenant des URL correspondant à une base de données de liens malveillants signalés.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!