情形1：賬號(hào)被黑客拖庫(kù)或撞庫(kù)獲取

拖庫(kù)指的是攻擊者通過(guò)廠商服務(wù)端的漏洞，訪問(wèn)到數(shù)據(jù)庫(kù)，批量地下載獲取數(shù)據(jù)庫(kù)中的信息，從而通過(guò)該方法獲取到注冊(cè)用戶的賬戶和密碼等信息。不過(guò)現(xiàn)在券商的安全防護(hù)措施都做得不錯(cuò)，黑客從券商服務(wù)器直接下載到用戶數(shù)據(jù)的可能性并不大。

根據(jù)安全人士的分析，這次大量用戶的股票賬戶信息泄露的原因，最大可能是撞庫(kù)，撞庫(kù)是利用以往從其他渠道泄露的大批量用戶名和密碼信息，然后去嘗試登錄其他目標(biāo)廠商的服務(wù)，如果用戶的多個(gè)網(wǎng)絡(luò)賬戶的用戶名、密碼相同，就很容易被成功撞庫(kù)（圖1）。

撞庫(kù)流程示意圖

現(xiàn)在很多網(wǎng)絡(luò)活動(dòng)都需要注冊(cè)賬戶、密碼，比如論壇、博客、APP的使用等。為了方便記憶，相當(dāng)一部分朋友都會(huì)使用相同的用戶名和密碼，這就為股票賬戶的泄露埋下安全隱患。比如張三在使用某APP時(shí)使用的是自己手機(jī)號(hào)碼注冊(cè)，并且密碼設(shè)置為和股票賬戶相同。這樣黑客如果對(duì)某APP拖庫(kù)（一些第三方小服務(wù)商數(shù)據(jù)庫(kù)被黑客入侵的事情已屢見(jiàn)不鮮），或者通過(guò)其他非法手段獲得用戶數(shù)據(jù)（比如從各種黑產(chǎn)手上購(gòu)買），那么黑客就可以知道張三的手機(jī)號(hào)碼和常見(jiàn)賬戶的密碼。當(dāng)然黑客還會(huì)通過(guò)張三的微信朋友圈、博客或微博等信息，獲取用戶的開(kāi)戶券商等信息，比如很多朋友喜歡在自己的朋友圈或微博曬交易單，這很容易導(dǎo)致開(kāi)戶券商信息泄露，如圖2的截圖中通過(guò)APP圖標(biāo)可以知道是興業(yè)證券客戶，并且獲得用戶資金賬號(hào)部分?jǐn)?shù)據(jù)。

通過(guò)曬單查看用戶券商信息開(kāi)啟生物特征登錄

這樣黑客們?cè)诘玫竭@些信息后，就會(huì)借助密碼詞典對(duì)用戶的資金賬號(hào)進(jìn)行猜解，然后用獲得的其他網(wǎng)絡(luò)賬號(hào)的密碼嘗試登錄，如果用戶的股票賬戶+密碼和其他APP的相同，就極可能造成股票賬戶被入侵了。

華為手機(jī)截圖中的馬賽克工具

小提示：很多幾年前開(kāi)戶的用戶，資金賬戶大多只有5位數(shù)字，這更容易被猜解，建議及時(shí)到券商升級(jí)賬號(hào)。

●防范措施

撞庫(kù)是由于用戶在多個(gè)網(wǎng)絡(luò)工具中使用相同的密碼造成的，因此平時(shí)要養(yǎng)成為不同工具平臺(tái)設(shè)置不同密碼的習(xí)慣，并且為股票賬戶登錄設(shè)置足夠復(fù)雜的密碼，同時(shí)建議定期更換密碼（如三個(gè)月一換）。大部分券商交易密碼都只支持6位數(shù)字，千萬(wàn)不要用自己的出生年月日作為密碼，也不要用連續(xù)的數(shù)字和電話號(hào)碼作為密碼?？梢允褂米约涸O(shè)定的規(guī)則數(shù)字組合成密碼，如六位數(shù)密碼，生日取兩位數(shù)，當(dāng)今的年份取兩位，自己今年多大取兩位，這樣好記安全性也高。此外資金賬戶登錄密碼、銀證轉(zhuǎn)賬密碼不要設(shè)置為相同的。另外現(xiàn)在手機(jī)大多支持指紋登錄，建議在APP設(shè)置中開(kāi)啟此功能，比如興業(yè)證券用戶，進(jìn)入“我的→生物特征認(rèn)證登錄”，在打開(kāi)的窗口開(kāi)啟“生物特征認(rèn)證登錄”，這樣可以直接使用指紋登錄賬戶，省去記憶密碼的麻煩（圖3）。

另外開(kāi)戶券商和資金賬號(hào)泄露，主要是由于用戶截圖時(shí)沒(méi)有隱藏隱私信息導(dǎo)致的，平時(shí)在朋友圈、微博曬圖前，一定要將隱私信息遮蓋。比如電腦用戶可以使用QQ截圖，截圖完成后點(diǎn)擊下方工具欄的馬賽克圖標(biāo)，將隱私信息進(jìn)行馬賽克處理后再曬圖，也可以直接利用畫(huà)圖工具的橡皮擦進(jìn)行擦除處理（圖4）。

如果是手機(jī)用戶的話，很多手機(jī)自帶的截圖軟件也可以進(jìn)行類似處理，比如華為手機(jī)用戶完成截圖后，點(diǎn)擊“編輯”進(jìn)入就可以使用馬賽克工具處理屏幕截圖（圖5）。

情形2：被誘導(dǎo)泄露股票賬號(hào)和密碼

現(xiàn)在網(wǎng)上有各種形形色色的炒股騙局，比如很多股民被拉入某股票群，聽(tīng)信所謂推薦牛股、炒股分成的誘惑，將自己的股票賬號(hào)、密碼告訴所謂操盤手，最終導(dǎo)致資金損失。一些朋友則在手機(jī)上不小心點(diǎn)擊偽基站發(fā)出的短信，誤填信息，或者在電腦上瀏覽釣魚(yú)網(wǎng)站導(dǎo)致自己賬號(hào)密碼的泄露。

查看正規(guī)官網(wǎng)

●防范措施

對(duì)于網(wǎng)上的各種炒股騙局，大家一定要提高警惕，任何所謂推薦股票合作分紅都不要相信，不要輕易向陌生人提供自己的股票賬號(hào)和密碼。對(duì)于偽基站短信，手機(jī)用戶盡量不要點(diǎn)擊短信鏈接訪問(wèn)網(wǎng)頁(yè)，比如即使收到顯示為券商服務(wù)號(hào)的短信要求我們進(jìn)行密碼更改等操作，也建議在手機(jī)瀏覽器中訪問(wèn)券商主頁(yè)，現(xiàn)在券商網(wǎng)址都是用HTTPS加密協(xié)議，在百度搜索主頁(yè)時(shí)一定要注意查看。比如華為手機(jī)用戶在使用手機(jī)內(nèi)置的瀏覽器百度搜索時(shí)，正規(guī)券商的網(wǎng)址后會(huì)添加“綠色”官網(wǎng)標(biāo)記，這類網(wǎng)址才是正規(guī)主頁(yè)，用戶最好訪問(wèn)券商官網(wǎng)主頁(yè)進(jìn)行相應(yīng)的操作（圖6）。

對(duì)于電腦用戶，很多瀏覽器都自帶有防釣魚(yú)功能。比如QQ瀏覽器用戶，只要訪問(wèn)的是正規(guī)券商官網(wǎng)主頁(yè)，地址欄都會(huì)顯示一個(gè)綠色的認(rèn)證標(biāo)記，展開(kāi)后可以看到認(rèn)證公司，一般就是對(duì)應(yīng)的券商名稱，只有這種網(wǎng)站才是正規(guī)官網(wǎng)，否則請(qǐng)不要訪問(wèn)（圖7）。

查看網(wǎng)站歸屬

情形3：黑客、木馬入侵導(dǎo)致信息泄露

現(xiàn)在網(wǎng)上病毒橫行，無(wú)論是手機(jī)還是電腦用戶，在瀏覽網(wǎng)絡(luò)或安裝應(yīng)用時(shí)，都很容易被暗地里裝上各種病毒木馬，這些病毒木馬會(huì)在設(shè)備后臺(tái)運(yùn)行，目的之一就是竊取股票賬號(hào)和密碼，因此在日常使用股票交易軟件時(shí)要做好安全防范。

●防范措施

比如手機(jī)用戶，可以將交易軟件加入支付安全保護(hù)中心，以華為手機(jī)為例，在“設(shè)置”窗口輸入“支付安全保護(hù)中心”，再進(jìn)行搜索，啟動(dòng)該組件后，在保護(hù)列表將交易APP保護(hù)模式開(kāi)啟即可（圖8）。360手機(jī)衛(wèi)士、騰訊手機(jī)管家等安全軟件也有類似的設(shè)置，大家只要在安全軟件中開(kāi)啟支付保護(hù)，這樣在手機(jī)上交易的時(shí)候就可以很好地保護(hù)股票賬戶的安全。

開(kāi)啟交易軟件支付安全保護(hù)中心

查看安全性概覽

電腦用戶可以通過(guò)各種安全軟件進(jìn)行保護(hù)，比如Windows 10用戶使用系統(tǒng)自帶的Windows Defender，就可以很好避免木馬病毒入侵，只要打開(kāi)安全中心的設(shè)置，進(jìn)入“安全性概覽”，確保這里的選項(xiàng)全部開(kāi)啟（圖9）。以后注意及時(shí)安裝系統(tǒng)補(bǔ)丁和升級(jí)病毒庫(kù)，這樣就可以很好保護(hù)股票交易軟件的安全了。

情形4：異地登錄/非授權(quán)設(shè)備登錄造成泄露

很多股民的損失都是在異地設(shè)備登錄或在非授權(quán)設(shè)備上登錄造成的，比如這次鬧得沸沸揚(yáng)揚(yáng)的股票信息泄露事件，黑客竊取的用戶賬戶IP地址均為在廣東的設(shè)備登錄過(guò)的。

●防范措施

如果懷疑自己的賬戶信息泄密，可以通過(guò)查看賬戶登錄IP地址來(lái)進(jìn)行查證。比如對(duì)于光大證券用戶的電腦端操作（手機(jī)光大證券APP用戶默認(rèn)也會(huì)顯示同樣的信息），每次進(jìn)行股票交易的時(shí)候，軟件都會(huì)彈出最近的上一次登錄的IP或手機(jī)號(hào)碼，以及網(wǎng)卡MAC地址（圖10）。

光大證券顯示登錄信息

小提示：如果你的券商交易軟件沒(méi)有顯示這些信息，大家也可以打電話給自己的開(kāi)戶券商，讓客服幫助你在服務(wù)器上查詢這些信息，或者轉(zhuǎn)到支持顯示這些信息的券商開(kāi)戶交易。

大家可以根據(jù)這些信息，查詢自己的股票賬戶是否存在異地登錄風(fēng)險(xiǎn)。比如IP對(duì)應(yīng)的地址可以打開(kāi)https：//www.ip138.com/（電腦端和手機(jī)端瀏覽器均可以直接訪問(wèn)），按提示輸入IP地址就可以查詢到它對(duì)應(yīng)的城市地址了，如果發(fā)現(xiàn)地址不對(duì)就需要注意了（圖11）。一些軟件會(huì)顯示登錄手機(jī)號(hào)，同樣可以在這個(gè)網(wǎng)站查詢手機(jī)號(hào)的歸屬地。

查詢IP地址對(duì)應(yīng)城市

對(duì)于電腦端用戶，如果要查詢MAC地址的話，可以啟動(dòng)命令提示符，輸入ipconfig/all命令，在打開(kāi)窗口的網(wǎng)卡選項(xiàng)下面，顯示的物理地址信息就是MAC地址，它是網(wǎng)卡硬件的標(biāo)志（可以表明聯(lián)網(wǎng)的是哪一臺(tái)電腦）。如果交易軟件顯示的MAC地址和自己電腦上顯示的不一致，那么就說(shuō)明你的交易軟件在其他電腦（或手機(jī)設(shè)備）上登錄過(guò)了（圖12）。

查看電腦網(wǎng)卡的MAC地址

手機(jī)端用戶也可以查看自己的MAC地址，以華為手機(jī)為例，依次進(jìn)入“設(shè)置→關(guān)于手機(jī)→狀態(tài)消息”，在打開(kāi)的窗口中，“WLANMAC地址”顯示的就是手機(jī)無(wú)線網(wǎng)卡的MAC地址信息，大家可以將這個(gè)信息和APP顯示的核對(duì)（圖13）。

查看手機(jī)的MAC地址

注意，對(duì)于常在電腦、平板、手機(jī)上交易的用戶，在核查MAC地址時(shí)還需要對(duì)這些設(shè)備的地址信息也進(jìn)行交叉核對(duì)。

為了保證交易設(shè)備的安全，很多券商還支持對(duì)登錄設(shè)備進(jìn)行綁定，這樣可以有效阻止非授權(quán)設(shè)備登錄。比如中原證券的電腦端用戶，在交易委托界面點(diǎn)擊“用戶綁定”，在打開(kāi)的窗口按照屏幕的提示完成當(dāng)前電腦的綁定即可（最多可以綁定5臺(tái)），這樣你的賬戶就無(wú)法在非授權(quán)的電腦上登錄交易了，可有效避免賬戶泄露后異地交易帶來(lái)的損失（圖14）。

用戶綁定

手機(jī)端也有很多券商的APP有類似功能，比如興業(yè)證券的用戶，登錄股票賬戶后，點(diǎn)擊上方的用戶賬戶（不是股票賬戶）進(jìn)入賬號(hào)管理，點(diǎn)擊“認(rèn)證中心→授權(quán)登錄設(shè)備→登錄授權(quán)和已激活設(shè)備管理”，接著在打開(kāi)的窗口就可以查看到授權(quán)登錄的設(shè)備。如果有不是自己登錄的設(shè)備，表明賬號(hào)已經(jīng)泄露，按提示將非授權(quán)設(shè)備刪除并及時(shí)更改密碼即可（圖15）。

查看授權(quán)設(shè)備

交易軟件的其他安全設(shè)置

除了上述防范措施外，針對(duì)交易軟件的一些安全選項(xiàng)，也需要用戶進(jìn)行設(shè)置以保護(hù)交易安全。

1.取消記住賬號(hào)+密碼和自動(dòng)登錄功能

很多交易軟件在登錄時(shí)有記住賬號(hào)+密碼和自動(dòng)登錄功能，這些功能雖然方便，但是極易帶來(lái)安全隱患，如自己電腦或手機(jī)被黑客遠(yuǎn)程控制后，這樣攻擊者就不需要找資金賬號(hào)和密碼，直接就可以進(jìn)入用戶的賬戶進(jìn)行操作。如東興證券手機(jī)用戶可以在登錄界面點(diǎn)擊安全設(shè)置，勾選“不記住賬號(hào)”，這樣每次登錄都需要手動(dòng)輸入資金賬號(hào)（圖16）。

取消記住賬號(hào)功能

小提示：很多手機(jī)本身也有記住密碼功能，這個(gè)功能大家也要謹(jǐn)慎使用。

2.設(shè)置合適的在線時(shí)間

為了方便用戶交易，很多交易軟件都有設(shè)置一定時(shí)間在線的功能，這個(gè)功能會(huì)讓其他接觸該設(shè)備的外人不需要輸入密碼直接進(jìn)入賬戶。大家要根據(jù)自己實(shí)際情況設(shè)置合適的時(shí)間，比如對(duì)于電腦端東方財(cái)富證券的用戶，可以在交易設(shè)置里選擇鎖屏?xí)r間是5分鐘（圖17）。

在線時(shí)間設(shè)置

3.使用多重驗(yàn)證登錄

為了更好保護(hù)賬戶安全，現(xiàn)在很多券商都支持添加多重驗(yàn)證，比如興業(yè)證券手機(jī)用戶，在登錄界面可以在認(rèn)證類型選擇“動(dòng)態(tài)口令”來(lái)登錄，這樣每次登錄口令都是不同的，可以很好保護(hù)賬戶的登錄安全（圖18）。此外很多券商還支持手機(jī)驗(yàn)證碼登錄、證書(shū)登錄等，大家可以根據(jù)自己的情況加以選擇。

興業(yè)證券的登錄認(rèn)證選擇

綜合防范才能有效保護(hù)交易賬戶的安全

現(xiàn)在網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，很多朋友在日常交易時(shí)已經(jīng)保持足夠高的警惕性，不過(guò)安全防范需要全面性的防范措施。很多時(shí)候自己的信息被泄露是由于多種安全隱患綜合導(dǎo)致的，比如在朋友圈曬圖時(shí)不小心泄露自己的資金賬號(hào);股票賬戶綁定的第三方存管銀行則和某個(gè)游戲充值平臺(tái)相同，導(dǎo)致游戲平臺(tái)拖庫(kù)后泄露自己的銀行存管賬戶;股票交易密碼則是電腦中木馬后被黑客竊取。這樣一系列的信息泄露后，就給黑客們以可乘之機(jī)，不僅自己的賬戶會(huì)被他們用于接盤高位股票，銀證轉(zhuǎn)出的資金也可能被轉(zhuǎn)移到黑客的賬戶上，最終造成難以估量的損失。因此在日常操作中一定要進(jìn)行綜合防范。