林海谐缘

 找回密码
 审核注册
搜索
查看: 1241|回复: 1

专家谈:网络联机炒股隐含严重交易风险

[复制链接]
发表于 2007-6-26 12:14:26 | 显示全部楼层 |阅读模式


我从不知道股票交易是怎么回事儿,炒股热和我也没啥关系,今天有媒体想让我对在线证券交易安全做个评估。可怜我对证券交易一无所知,如何评估撒。

好在周围同事中有股民,就对我作了股票交易的扫盲,看完他操盘登录的过程。已经大吃一惊了——感觉偷交易软件的登录账号口令,比偷QQ号还要简单。实在是爆汗,这样的交易风险怎么就没多少人关注呢。

简要描述一下,我对这个交易流程的理解,请股民朋友指正。

交易前,需要到证券公司申请开户,就是账号密码,然后关联一个银行卡。把银行卡的钱,打入证券交易账户。这就是你的仓库了,你用仓库的钱交易股票。买出股票的钱打入银行卡,是不能直接转走的,证券账户和银行卡之间的交易需要安全认证。

我认为银行卡的在线交易安全性明显要好于证券交易,二者的区别,我理解的有:

区别一:在线银行通常有大众版和专业版,大众版显然不适合在线交易,每天支付的金额是有限的。专业版需要文件数字证书或移动数字证书加密,恢复证书或启用证书有复杂的身份验证手段。未得到证书,只拿到账号密码是没有用的。移动数字证书的安全性要好于文件数字证书。

数字证书是在线交易最重要的安全保证,我惊讶的发现证券交易软件是不需要证书的,仅仅一个账号密码。这样没有使用证书加密的信息传输是,除了木马可以直接截取账号密码外,数据包也非常容易被黑客嗅探到。

区别二:在线银行交易,可以直接点对点,从一个账号转入另一个账号;而证券交易,是从你的仓库转入股市这个大海中。你不能直接点对点把一个仓库里的股票直接转入另一个账户。

我们再看看一个典型的证券盗贼木马是如何工作的?

木马运行后,监视当前活动窗口标题是否有“证券、股票、交易”等字样,如果有,就启动键盘钩子记录击键动作,或把鼠标指针活动范围内的屏幕图像截取(虚键盘一样被截走),得手后,木马把相关记录发送给黑客。

黑客拿到这个账号能做什么?

在任意一台电脑下载该证券交易软件客户端安装,输入盗取的账号密码,就可以假冒原主人登入证券交易系统,登录过程完全没有网上银行的复杂安全认证流程。因为证券交易本身的特点,盗窃者想要直接获益,必须还要拿到目标客户的在线银行交易证书和密码。前面提到,由于在线银行的安全性较完善,黑客得手的机会渺茫。

尽管,黑客不能直接得手,他恶搞你可以吧,把你的股票直接低价抛盘,可令股民遭受巨大损失。而此时,因为没有直接的交易到某个账号中,想抓到这样的人,难上加难。如果在线炒股的人越来越多,同时控制更多股民,获得交易权限的情况就会越多,此时,黑客就有机会获利了,控制操作同一支股票,黑客从中渔利,当然,他只能获取其中一部分。然而,受损失的股民就会更多。

我们往严重处再想想,简直觉得有些恐怖。如果这个黑客神经不太正常,在控制了大量股民的交易权限之后,想扰乱股市,他只要随便乱抛就是了。如果量够大,对股价肯定会产生影响。

还好,这些只是假设,但风险肯定是非常严重,而且是真实存在的。

怎么解决这些交易风险?

第一,我认为首要的责任在证券公司,现在的交易系统自身的弱点太明显,应该尽快改进。一个涉及千万股民切身利益的交易系统,其安全性怎么只能与QQ聊天工具的安全性相当呢。这简直是个笑话儿。

第二,股民。如果你对信息安全缺乏自信,强烈建议你采用其它方式进行证券交易。

如果你必须使用在线证券交易,建议在安装交易软件的电脑上,尽量避免应用其它软件系统,保持系统功能的单一,减少风险。使用防火墙、反病毒软件降低木马病毒入侵的风险。使用正版软件,并经常检查安装系统补丁,降低系统风险。

希望本文对股民有所提醒和帮助,如果文章对证券公司不利,我深感抱歉,还是请相关证券公司尽快改进交易系统的安全性吧。对于我看到的交易系统,我只能评价为“糟透了”。
发表于 2007-6-26 15:53:17 | 显示全部楼层
网络无真正安全,股市有风险,入市要谨慎 [s:24]
您需要登录后才可以回帖 登录 | 审核注册

本版积分规则

QQ|手机版|小黑屋|林海谐缘论坛 ( 豫ICP备07015145号 ) |
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论 | 管理员:linker(QQ:80555546) 群:3067918

GMT+8, 2024-11-21 22:45 , Processed in 0.025215 second(s), 14 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表