我从不知道股票交易是怎么回事儿,炒股热和我也没啥关系,今天有媒体想让我对在线证券交易安全做个评估。可怜我对证券交易一无所知,如何评估。
好在周围同事中有股民,就对我作了股票交易的扫盲,看完他操盘登录的过程。已经大吃一惊了——感觉偷交易软件的登录账号口令,比偷QQ号还要简单。实在是爆汗,这样的交易风险怎么就没多少人关注呢。
简要描述一下,我对这个交易流程的理解,请股民朋友指正。
交易前,需要到证券公司申请开户,就是账号密码,然后关联一个银行卡。把银行卡的钱,打入证券交易账户。这就是你的仓库了,你用仓库的钱交易股票。买出股票的钱打入银行卡,是不能直接转走的,证券账户和银行卡之间的交易需要安全认证。
我认为银行卡的在线交易安全性明显要好于证券交易,二者的区别,我理解的有:
区别一:在线银行通常有大众版和专业版,大众版显然不适合在线交易,每天支付的金额是有限的。专业版需要文件数字证书或移动数字证书加密,恢复证书或启用证书有复杂的身份验证手段。未得到证书,只拿到账号密码是没有用的。移动数字证书的安全性要好于文件数字证书。
数字证书是在线交易最重要的安全保证,我惊讶的发现证券交易软件是不需要证书的,仅仅一个账号密码。这样没有使用证书加密的信息传输是,除了木马可以直接截取账号密码外,数据包也非常容易被黑客嗅探到。
区别二:在线银行交易,可以直接点对点,从一个账号转入另一个账号;而证券交易,是从你的仓库转入股市这个大海中。你不能直接点对点把一个仓库里的股票直接转入另一个账户。
我们再看看一个典型的证券盗贼木马是如何工作的?
木马运行后,监视当前活动窗口标题是否有“证券、股票、交易”等字样,如果有,就启动键盘钩子记录击键动作,或把鼠标指针活动范围内的屏幕图像截取(虚键盘一样被截走),得手后,木马把相关记录发送给黑客。
黑客拿到这个账号能做什么?
在任意一台电脑下载该证券交易软件客户端安装,输入盗取的账号密码,就可以假冒原主人登入证券交易系统,登录过程完全没有网上银行的复杂安全认证流程。因为证券交易本身的特点,盗窃者想要直接获益,必须还要拿到目标客户的在线银行交易证书和密码。前面提到,由于在线银行的安全性较完善,黑客得手的机会渺茫。
尽管,黑客不能直接得手,他恶搞你可以吧,把你的股票直接低价抛盘,可令股民遭受巨大损失。而此时,因为没有直接的交易到某个账号中,想抓到这样的人,难上加难。如果在线炒股的人越来越多,同时控制更多股民,获得交易权限的情况就会越多,此时,黑客就有机会获利了,控制操作同一支股票,黑客从中渔利,当然,他只能获取其中一部分。然而,受损失的股民就会更多。
我们往严重处再想想,简直觉得有些恐怖。如果这个黑客神经不太正常,在控制了大量股民的交易权限之后,想扰乱股市,他只要随便乱抛就是了。如果量够大,对股价肯定会产生影响。
还好,这些只是假设,但风险肯定是非常严重,而且是真实存在的。
怎么解决这些交易风险?
第一,我认为首要的责任在证券公司,现在的交易系统自身的弱点太明显,应该尽快改进。一个涉及千万股民切身利益的交易系统,其安全性怎么只能与QQ聊天工具的安全性相当呢。这简直是个笑话儿。
第二,股民。如果你对信息安全缺乏自信,强烈建议你采用其它方式进行证券交易。
如果你必须使用在线证券交易,建议在安装交易软件的电脑上,尽量避免应用其它软件系统,保持系统功能的单一,减少风险。使用防火墙、反病毒软件降低木马病毒入侵的风险。使用正版软件,并经常检查安装系统补丁,降低系统风险。
希望本文对股民有所提醒和帮助,如果文章对证券公司不利,我深感抱歉,还是请相关证券公司尽快改进交易系统的安全性吧。对于我看到的交易系统,我只能评价为“糟透了”。