2022.01.30 17:58 臺北時間

【虎年新春理財】駭客入侵憂資安漏洞 3招自保不被割韭菜

mm-logo
財經理財
3招守住帳戶個資,防範有心人在不知不覺中盜用帳號下單「割韭菜」。
3招守住帳戶個資,防範有心人在不知不覺中盜用帳號下單「割韭菜」。
睡夢中竟遭「割韭菜」!去年多家券商複委託系統遭駭客入侵,爆出百件客戶「被下單」買港股,隨後股價跳水暴跌,看到成交通知還一頭霧水的投資人,帳面損失已達3成。近期「撞庫攻擊」事件頻傳,專家建議,應提升密碼安全性層級,並謹慎使用第三方平台服務。
去年11月25日,上百位投資人在不知不覺間,成了在香港上市的中國企業「深藍科技控股」主力拋售受災戶,許多人是直到券商軟體跳出成交通知,甚至是等到營業員來電確認是否買進港股時,才驚覺帳戶被盜用下單。

釣魚網站 竊取個資

去年底撞庫事件主角是在港上市的中企「深藍科技控股」,駭客入侵當日股價大幅震盪。(翻攝自艾華迪集團官網)
這起「隔空割韭菜」事件,甚至還包括從未使用過複委託買賣的客戶,不論如何,受災戶都成為主要股東拉高出貨的「接盤俠」,讓人非常傻眼。而當日該檔股價大跌超過30%,高低振幅更逾5成,幕後黑手藉機套現的舉動不言而喻。
事件發生時,元大、統一證券先後察覺客戶海外複委託購買港股的異常下單狀況,在第一時間緊急發出公告暫停受理App電子下單,改為人工電話接單。隔日凱基證券再度出現類似案件,國泰、富邦、台新證券也察覺內部異常,所幸證券公司當下即時鎖住不正常登入的帳號、阻擋攻擊來源,以保護客人權益,否則造成連鎖反應的後果不可小覷。而本次投資人無故蒙受的財產損失,則由券商全數吸收。
至於為什麼會出現「密碼撞庫攻擊」的事件?可能起源於駭客由財金、釣魚網站或App等管道,取得客戶如身分證字號、密碼、出生年月日等帳戶資訊後,搭配自動化不斷「疲勞轟炸」企圖登入各券商的網路下單系統,直到某一組帳號密碼被「撞」成功為止。
尤其這些財金網站資安強度不如金融機構時,更易遭攻陷,例如知名的股市籌碼看盤軟體,日前推出匯入券商庫存的整合式系統,經由「一鍵式操作」就能將分散在各家券商的庫存股票,統整在一個手機應用程式當中。
另外,還有主打創新式記帳的App,除連結銀行、基金、電子票證、電子發票、保險及加密貨幣等資料同步外,亦能藉由提供身分證、密碼綁定國內證券商取得帳務資料,集中查看各家證券庫存及明細。

三重驗證 提高防護

近期「撞庫攻擊」災情頻傳,主管機關祭出第三道「OTP」身分驗證關卡。
為了保障民眾權益,去年主管機關曾要求採用雙因子認證防護機制,現今各大券商也趕工升級、再多新增一道簡訊動態密碼「OTP」的交易安全防護關卡,希望藉由「三重驗證」提高交易安全防護力。
以元大投資先生App為例,首次在手機下載後,不僅登入時需輸入帳號、密碼,仍需完成出生日期及行動電話(簡訊)或電子郵件的OTP驗證,才能成功申請1年期的有效憑證。
資安專家提醒,在使用科技創新服務、享受便利性之餘,客戶也需注重在資訊保密及交易安全上取得平衡,尤其是使用非金融機構網站或App時須特別小心,並留意在追求方便進行個人財務管理的過程中,是否有機會在無意間將資料洩漏給有心人士。
在此,也提供3個方式,幫助提升帳戶安全的強度。像是加強登入密碼複雜度、提升密碼更換及憑證下載頻率及在使用財金網站時,盡可能註冊不同的帳號及密碼。

複雜密碼 定期變更

使用App做股票投資交易,除加強登入密碼複雜度,也要記得定期更換密碼。
其中,在密碼複雜度方面,根據密碼資料庫Have I Been Pwned(HIBP)統計,無論是不分國內外網友常用的連續數字組合(123456、111111、123321)、鍵盤上的直排qazwsx與橫排qwertyui,或是很受歡迎的「password」,還是台灣人愛用的「au4a83」(密碼) 或「ji32k7au4a83」(我的密碼),都要盡量避開。
建議選擇使用包含大、小寫英文字母、數字及特殊字元的不相干單字組合,形成複雜的密碼系統,較不易被駭客複製及破解,如Invest$21cAsh具有個人獨特意義及想法,並盡可能隨著系統提醒密碼更新時定期變更,最重要的還是使用各大社群或入口平台時,不要貪圖一時方便或擔心忘記,而只設定單一組的密碼「一路用到底」,以確保個人資料及帳戶安全。
更新時間|2023.09.12 20:41 臺北時間
延伸閱讀

支持鏡週刊

小心意大意義
小額贊助鏡週刊!

每月 $79 元全站看到飽
暢享無廣告閱讀體驗

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀

更多內容,歡迎 鏡週刊紙本雜誌鏡週刊數位訂閱了解內容授權資訊

月費、年費會員免費線上閱讀動態雜誌

線上閱讀