情形1:账号被黑客拖库或撞库获取
拖库指的是攻击者通过厂商服务端的漏洞,访问到数据库,批量地下载获取数据库中的信息,从而通过该方法获取到注册用户的账户和密码等信息。不过现在券商的安全防护措施都做得不错,黑客从券商服务器直接下载到用户数据的可能性并不大。
根据安全人士的分析,这次大量用户的股票账户信息泄露的原因,最大可能是撞库,撞库是利用以往从其他渠道泄露的大批量用户名和密码信息,然后去尝试登录其他目标厂商的服务,如果用户的多个网络账户的用户名、密码相同,就很容易被成功撞库(图1)。
撞库流程示意图
现在很多网络活动都需要注册账户、密码,比如论坛、博客、APP的使用等。为了方便记忆,相当一部分朋友都会使用相同的用户名和密码,这就为股票账户的泄露埋下安全隐患。比如张三在使用某APP时使用的是自己手机号码注册,并且密码设置为和股票账户相同。这样黑客如果对某APP拖库(一些第三方小服务商数据库被黑客入侵的事情已屡见不鲜),或者通过其他非法手段获得用户数据(比如从各种黑产手上购买),那么黑客就可以知道张三的手机号码和常见账户的密码。当然黑客还会通过张三的微信朋友圈、博客或微博等信息,获取用户的开户券商等信息,比如很多朋友喜欢在自己的朋友圈或微博晒交易单,这很容易导致开户券商信息泄露,如图2的截图中通过APP图标可以知道是兴业证券客户,并且获得用户资金账号部分数据。
通過晒单查看用户券商信息开启生物特征登录
这样黑客们在得到这些信息后,就会借助密码词典对用户的资金账号进行猜解,然后用获得的其他网络账号的密码尝试登录,如果用户的股票账户+密码和其他APP的相同,就极可能造成股票账户被入侵了。
华为手机截图中的马赛克工具
小提示:很多几年前开户的用户,资金账户大多只有5位数字,这更容易被猜解,建议及时到券商升级账号。●防范措施
撞库是由于用户在多个网络工具中使用相同的密码造成的,因此平时要养成为不同工具平台设置不同密码的习惯,并且为股票账户登录设置足够复杂的密码,同时建议定期更换密码(如三个月一换)。大部分券商交易密码都只支持6位数字,千万不要用自己的出生年月日作为密码,也不要用连续的数字和电话号码作为密码。可以使用自己设定的规则数字组合成密码,如六位数密码,生日取两位数,当今的年份取两位,自己今年多大取两位,这样好记安全性也高。此外资金账户登录密码、银证转账密码不要设置为相同的。另外现在手机大多支持指纹登录,建议在APP设置中开启此功能,比如兴业证券用户,进入“我的→生物特征认证登录”,在打开的窗口开启“生物特征认证登录”,这样可以直接使用指纹登录账户,省去记忆密码的麻烦(图3)。
另外开户券商和资金账号泄露,主要是由于用户截图时没有隐藏隐私信息导致的,平时在朋友圈、微博晒图前,一定要将隐私信息遮盖。比如电脑用户可以使用QQ截图,截图完成后点击下方工具栏的马赛克图标,将隐私信息进行马赛克处理后再晒图,也可以直接利用画图工具的橡皮擦进行擦除处理(图4)。
如果是手机用户的话,很多手机自带的截图软件也可以进行类似处理,比如华为手机用户完成截图后,点击“编辑”进入就可以使用马赛克工具处理屏幕截图(图5)。情形2:被诱导泄露股票账号和密码
现在网上有各种形形色色的炒股骗局,比如很多股民被拉入某股票群,听信所谓推荐牛股、炒股分成的诱惑,将自己的股票账号、密码告诉所谓操盘手,最终导致资金损失。一些朋友则在手机上不小心点击伪基站发出的短信,误填信息,或者在电脑上浏览钓鱼网站导致自己账号密码的泄露。
查看正规官网
●防范措施对于网上的各种炒股骗局,大家一定要提高警惕,任何所谓推荐股票合作分红都不要相信,不要轻易向陌生人提供自己的股票账号和密码。对于伪基站短信,手机用户尽量不要点击短信链接访问网页,比如即使收到显示为券商服务号的短信要求我们进行密码更改等操作,也建议在手机浏览器中访问券商主页,现在券商网址都是用HTTPS加密协议,在百度搜索主页时一定要注意查看。比如华为手机用户在使用手机内置的浏览器百度搜索时,正规券商的网址后会添加“绿色”官网标记,这类网址才是正规主页,用户最好访问券商官网主页进行相应的操作(图6)。
对于电脑用户,很多浏览器都自带有防钓鱼功能。比如QQ浏览器用户,只要访问的是正规券商官网主页,地址栏都会显示一个绿色的认证标记,展开后可以看到认证公司,一般就是对应的券商名称,只有这种网站才是正规官网,否则请不要访问(图7)。
查看网站归属
情形3:黑客、木马入侵导致信息泄露
现在网上病毒横行,无论是手机还是电脑用户,在浏览网络或安装应用时,都很容易被暗地里装上各种病毒木马,这些病毒木马会在设备后台运行,目的之一就是窃取股票账号和密码,因此在日常使用股票交易软件时要做好安全防范。●防范措施
比如手机用户,可以将交易软件加入支付安全保护中心,以华为手机为例,在“设置”窗口输入“支付安全保护中心”,再进行搜索,启动该组件后,在保护列表将交易APP保护模式开启即可(图8)。360手机卫士、腾讯手机管家等安全软件也有类似的设置,大家只要在安全软件中开启支付保护,这样在手机上交易的时候就可以很好地保护股票账户的安全。
开启交易软件支付安全保护中心
查看安全性概览
电脑用户可以通过各种安全软件进行保护,比如Windows 10用户使用系统自带的Windows Defender,就可以很好避免木马病毒入侵,只要打开安全中心的设置,进入“安全性概览”,确保这里的选项全部开启(图9)。以后注意及时安装系统补丁和升级病毒库,这样就可以很好保护股票交易软件的安全了。情形4:异地登录/非授权设备登录造成泄露
很多股民的损失都是在异地设备登录或在非授权设备上登录造成的,比如这次闹得沸沸扬扬的股票信息泄露事件,黑客窃取的用户账户IP地址均为在广东的设备登录过的。●防范措施
如果怀疑自己的账户信息泄密,可以通过查看账户登录IP地址来进行查证。比如对于光大证券用户的电脑端操作(手机光大证券APP用户默认也会显示同样的信息),每次进行股票交易的时候,软件都会弹出最近的上一次登录的IP或手机号码,以及网卡MAC地址(图10)。
光大证券显示登录信息
小提示:如果你的券商交易软件没有显示这些信息,大家也可以打电话给自己的开户券商,让客服帮助你在服务器上查询这些信息,或者转到支持显示这些信息的券商开户交易。
大家可以根据这些信息,查询自己的股票账户是否存在异地登录风险。比如IP对应的地址可以打开https://www.ip138.com/(电脑端和手机端浏览器均可以直接访问),按提示输入IP地址就可以查询到它对应的城市地址了,如果发现地址不对就需要注意了(图11)。一些软件会显示登录手机号,同样可以在这个网站查询手机号的归属地。
查询IP地址对应城市
对于电脑端用户,如果要查询MAC地址的话,可以启动命令提示符,输入ipconfig/all命令,在打开窗口的网卡选项下面,显示的物理地址信息就是MAC地址,它是网卡硬件的标志(可以表明联网的是哪一台电脑)。如果交易软件显示的MAC地址和自己电脑上显示的不一致,那么就说明你的交易软件在其他电脑(或手机设备)上登录过了(图12)。
查看电脑网卡的MAC地址
手机端用户也可以查看自己的MAC地址,以华为手机为例,依次进入“设置→关于手机→状态消息”,在打开的窗口中,“WLANMAC地址”显示的就是手机无线网卡的MAC地址信息,大家可以将这个信息和APP显示的核对(图13)。
查看手機的MAC地址
注意,对于常在电脑、平板、手机上交易的用户,在核查MAC地址时还需要对这些设备的地址信息也进行交叉核对。
为了保证交易设备的安全,很多券商还支持对登录设备进行绑定,这样可以有效阻止非授权设备登录。比如中原证券的电脑端用户,在交易委托界面点击“用户绑定”,在打开的窗口按照屏幕的提示完成当前电脑的绑定即可(最多可以绑定5台),这样你的账户就无法在非授权的电脑上登录交易了,可有效避免账户泄露后异地交易带来的损失(图14)。
用户绑定
手机端也有很多券商的APP有类似功能,比如兴业证券的用户,登录股票账户后,点击上方的用户账户(不是股票账户)进入账号管理,点击“认证中心→授权登录设备→登录授权和已激活设备管理”,接着在打开的窗口就可以查看到授权登录的设备。如果有不是自己登录的设备,表明账号已经泄露,按提示将非授权设备删除并及时更改密码即可(图15)。
查看授权设备
交易软件的其他安全设置除了上述防范措施外,针对交易软件的一些安全选项,也需要用户进行设置以保护交易安全。1.取消记住账号+密码和自动登录功能
很多交易软件在登录时有记住账号+密码和自动登录功能,这些功能虽然方便,但是极易带来安全隐患,如自己电脑或手机被黑客远程控制后,这样攻击者就不需要找资金账号和密码,直接就可以进入用户的账户进行操作。如东兴证券手机用户可以在登录界面点击安全设置,勾选“不记住账号”,这样每次登录都需要手动输入资金账号(图16)。
取消记住账号功能
小提示:很多手机本身也有记住密码功能,这个功能大家也要谨慎使用。2.设置合适的在线时间
为了方便用户交易,很多交易软件都有设置一定时间在线的功能,这个功能会让其他接触该设备的外人不需要输入密码直接进入账户。大家要根据自己实际情况设置合适的时间,比如对于电脑端东方财富证券的用户,可以在交易设置里选择锁屏时间是5分钟(图17)。
在线时间设置
3.使用多重验证登录为了更好保护账户安全,现在很多券商都支持添加多重验证,比如兴业证券手机用户,在登录界面可以在认证类型选择“动态口令”来登录,这样每次登录口令都是不同的,可以很好保護账户的登录安全(图18)。此外很多券商还支持手机验证码登录、证书登录等,大家可以根据自己的情况加以选择。
兴业证券的登录认证选择
综合防范才能有效保护交易账户的安全现在网络安全形势日益严峻,很多朋友在日常交易时已经保持足够高的警惕性,不过安全防范需要全面性的防范措施。很多时候自己的信息被泄露是由于多种安全隐患综合导致的,比如在朋友圈晒图时不小心泄露自己的资金账号;股票账户绑定的第三方存管银行则和某个游戏充值平台相同,导致游戏平台拖库后泄露自己的银行存管账户;股票交易密码则是电脑中木马后被黑客窃取。这样一系列的信息泄露后,就给黑客们以可乘之机,不仅自己的账户会被他们用于接盘高位股票,银证转出的资金也可能被转移到黑客的账户上,最终造成难以估量的损失。因此在日常操作中一定要进行综合防范。