投资者倪女士(已向上海警方报案)告诉记者,发现账户被盗后,她立刻通过开户券商国金证券调取了异常数据,发现被盗交易是通过同花顺手机App进行委托的
多地账户被盗、股票被清仓 转而接盘
是不是很久没有(甚至从未)修改过股票账户的密码,那么,建议您看看最近发生的这件事。
眼瞅着账户里的股票被人清仓,转而高位接盘第二天一字跌停的股票,而且全程都不是自己在操作,会是一种什么样的感受?!
近日,来自不同省市,开户于不同券商的多位投资者向上证报记者反映,他们的股票账户分别被盗,且都在4月2日卖出全部原有持仓后,又全仓买入了济民制药(46.770, -0.01, -0.02%)。4月3日,济民制药一字跌停。而过去一年间,济民制药股价已上涨数倍。
这些投资者的开户券商涉及国盛证券、华福证券、国金证券(9.560, -0.27, -2.75%)等,但多数人使用过同花顺(116.240, -7.60, -6.14%)软件炒股。据一家券商提供的后台数据,受害投资者4月2日清仓和买入操作,是通过同花顺公版软件进行的。
对此,同花顺方面今日作出声明:“据我们了解到的情况,部分投资者因为在炒股微信群里被骗或其他各种原因,泄露了证券公司的交易账号和密码,导致盗买盗卖的发生。”
投资者“被全仓”买入高位股
投资者陈女士(已向福建警方报案)告诉记者,事情发生在4月2日上午11时许,当时她发现自己证券账户里的股票被全部卖掉,“我以为自己按到了一键清仓,所以又将原有的股票委托买入,然后就去吃午饭了。结果,到下午发现所有的委托都被撤单,还全仓买入了济民制药。”
陈女士账户成交撤单截图
在一个由各地投资者组建的微信群中,还有11位投资者有着与陈女士同样的遭遇。据他们统计,累计损失超过200万元,人均近20万元。
陈女士表示,实际的受害者可能更多:“最新进群的一位投资者平时不看股票账户,直到4月9日才发现被盗号了。”
至于是否曾向人泄露账户密码,陈女士对记者说,她“可以确认并保证,没有把账户密码泄露给任何人。”
据悉,这些投资者中,部分已向公安机关报案,并获受理。
投资者向警方报案的回执单
曾莫名收到短信验证码
记者所接触的受害投资者有一个共同点,其被盗证券账户都关联了同花顺App。
投资者冯先生(开户于山西)到4月3日才发现账户被盗。根据开户券商国盛证券提供给冯先生的情况说明,4月2日11时19分至11时20分,他的股票账户内有5笔委托卖出记录(几乎全仓卖出)并成交。经查询,该5笔交易登录地点为MIP:39.144.16.165。12时09分,有1笔委托买入记录(全仓买入济民制药)且成交。经查询,这笔交易登录地点为MIP:223.104.254.40。
上述6笔交易均使用苹果手机在同花顺公版客户端进行交易,交易的IP地址也与冯先生账户常用登录地址完全不同。
券商给出的情况说明
据冯先生说,同花顺方面向他表示,将会积极沟通,配合调查具体原因,并建议他报案。
那么,幕后黑手是如何盗取账号密码的?
投资者倪女士(已向上海警方报案)告诉记者,发现账户被盗后,她立刻通过开户券商国金证券调取了异常数据,发现被盗交易是通过同花顺手机App进行委托的。委托交易记录里的手机尾号是1003,与她日常交易的尾号0707不同。“1003这个手机号,是我多年前使用的,曾用它登录同花顺关联我的国金证券账户。”
据了解,同花顺账号一般是手机号,然后再绑定证券账户。在同花顺App上登录账号,可选择本机号码一键登录,也可选择验证码登录(输入短信验证码即可登录)。冯先生称,部分投资者在3月底曾收到过验证码短信提示,他猜测,当时就有不法分子在尝试破解账户密码。
记者联系了一位同花顺App的使用者,尝试用对方的手机号登录,在对方告知验证码后,登录进入就能看到与手机号关联的证券账户。
对此,海通证券(12.880, -0.24, -1.83%)零售与网络金融部副总经理杨薇表示,她推测,可能是“弱密码”被黑客“撞库”了。
所谓“撞库”,即黑客入侵防范程度较低的网站或应用,将注册用户的资料数据库全部盗走,由此成套得到用户的手机号、用户名、密码等信息,名为“拖库”。而后,黑客利用相同手机号、用户名,以与之匹配的密码在其他网站或应用上尝试登录,如果通过,即可盗取高价值账户。
不过,同花顺App如非本机登录还需验证码,因此,不法分子在获得手机号码后,还要用其他手段获知验证码才行。
同花顺建议:立即报警
就上述情况,上证报第一时间向同花顺方面求证,同花顺今日作出回应,摘录如下:
(1)我们留意到了(一些)网络信息,与同花顺相关的内容完全与事实不符。同花顺始终以客户的利益为出发点,与各大证券公司一起,为证券市场参与者提供安全、便捷的优质服务。
(2)部分投资者安全防范意识不够导致资金账户、密码泄露。据我们了解到的情况,部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公司的交易账号和密码,导致盗买盗卖的发生。
(3)不法分子同普通股民一样,也可能会使用同花顺软件。但同花顺有完善的安全机制,能有效防范不法分子的犯罪活动,确保用户的安全。
(4)如果客户确信不是自己操作从而发生盗买盗卖,建议立即报警。同花顺将联合券商提供充分的帮助。必要时,同花顺可提供法律援助。
记者注意到,在股吧论坛,确有人发贴称“组团被骗”买入相关个股,情况与同花顺声明的第二点类似。但也有受害投资者坚称,从未泄露账户及密码信息。
请定期修改密码!
投资者该如何更好地保护自己的账户安全,降低被盗号风险?接受采访的各方提示最多的办法,就是定期修改密码。
湘财证券经纪业务总部总经理周乐峰表示,对普通投资者而言,首先要加强密码管理,对交易密码要定期修改。不法分子会利用投资者密码长期不修改,甚至是使用初始密码疏漏来进行破解密码。
恒泰证券零售业务相关负责人向上证报记者表示,密码方面有几个需注意的问题:首先,账户的密码设置不要过于简单;其二,密码要定期更换;其三,不要在非官方认证的,以及陌生网站和App上输入自己的账号密码,防止密码被盗。另外,还要注意提防虚假客服、虚假咨询机构。
同花顺也提醒用户,在任何互联网环境下,应设置强密码,定期更改密码,对不同网络和系统要用不同的密码等。
海通证券杨薇则表示,第三方平台的账号一般是手机号,然后绑定券商交易账号,所以可能被人利用手机号“撞库”。客户在e海通财和海通发布的其它交易软件都是通过证券资金账号而非手机号登录的,被“撞库”的风险较小。
然而,目前券商账户一般采取6位数密码,强度较弱。未来如增加英文大小写、手机绑定等方式,可以提高密码保护的强度。
据悉,为提高账户安全性,中银证券(21.190, -1.03, -4.64%)、东方证券(9.440, -0.17, -1.77%)已推出动态口令,如在第三方平台登录,客户除需输入密码外,还要从券商获得一次性的动态口令才能进入账户操作。
安信证券也在其自研的移动终端安信手机证券App的登录流程上进行了全方位的防护处理。如登录时仅能通过安信安全键盘键入信息、密码输入框禁止复制粘贴;针对开放性比较强的安卓系统,禁止手机截屏和录屏。
盗取账户交易是犯罪!
那么,不法分子的盗号交易行为是什么法律性质呢?
北京市京师律师事务律师许浩认为,行为人窃取他人股票资金账号及密码后,操纵他人账户低卖高买股票,同时在自己的股票账户上高卖低买同一股票并从中获利的行为,符合盗窃罪的特征,应以盗窃罪定罪处罚,并以其实际占为己有的数额作为盗窃数额。
民事责任方面,基于券商(等机构)与客户之间存在合同关系,由于券商(等机构)没有尽到安全保障义务导致投资者损失的,应承担赔偿责