网上投资从保密开始

2017年10月16日 年月日
《选择》月刊
492
转发
电邮此页面

网上投资从保密开始

网上投资户口向来「不认人」,任何人只要通过身份认证——目前主要是输入自设的帐户登入名称及密码,就可以登入及使用户口。根据证券及期货事务监察委员会的数字,在截至2017年3月31日止的18个月期间,有12间持牌法团举报了27宗网络保安事件,当中大部分为黑客入侵网上投资户口。要保护自己的投资,首要保护自己的户口登入资料。

防范社交工程圈套

黑客要入侵和操控用户的网上投资户口,先要取得认证用户身份的密码,除了利用电脑病毒入侵电脑和手机之外,他们也可以使出各种社交工程诡计。

社交工程属于仿冒诈骗的伎俩,网络钓鱼是其中一种常见的招数,做法一般是大量散播附有病毒连结的伪冒电邮、网页、社交网页短讯及手机应用程式,要求用户输入个人资料。不慎中计,就有可能泄露重要的个人资料。

此外,骗徒也可以伪装成朋友和亲属,或者是一些大家信任和熟悉的机构人员,例如银行职员或警察,透过电话或电邮联络用户,哄骗用户提供个人资料。

保密要诀

针对黑客攻击,我们必须谨记以下安全守则:

视户口登入资料为高度机密,任何情况下都不要向其他人透露:骗徒可以冒认任何人包括你的中介人向你索取资料,如收到不明来历的电邮,或见到不寻常的弹出画面或视窗,要求你提供个人资料及密码,切勿上当,如有怀疑,可向中介人求证,但切勿使用可疑电邮所提供的联络方法。

避免在社交网页张贴敏感资料:现时人们常用社交网页与朋友沟通,在分享个人资讯时,要小心谨慎,不要张贴与登入户口或重设户口密码有关的资料,例如出生日期、宠物名称等,以防黑客看到。

密码是保护网上投资户口的重要防线:我们不应贪图方便或易记,使用容易破解的密码。「123456」、「qwerty」、「111111」、「987654321」、「password」和「1q2w3e4r」等与键盘排列相关的密码,都是一些高危但偏偏却是最常见的密码。而从字典里找字词,或用自己的个人资料作密码,亦并不安全。反之,我们要设定一些与个人资料无关的密码,最好至少有8个以上的字母,而视乎长度要求,你亦可以把密码设定成词组,或用记忆术来设定密码,令密码难以破解,例如「I have 2 dogs and 1 cat」可以写作「Ih2d&1c」。谨记定期转换密码,不要重复使用同一密码。

采用双重认证:要减低户口被盗用的风险,可能需要加入密码认证以外的身份认证,作双重认证。用户在输入自设的帐户登入名称和密码作第一步认证后,需要进行第二步认证,较普遍的是输入由手机短讯发出或保安编码器产生的一次性密码,亦有采用数码证书或生物认证。现时,当我们使用网上银行服务转帐至未经登记的第三者户口时,就要进行双重认证。

● 不要使用公共场所的电脑登入网上投资户口。

● 当我们进行网上交易时,不要同时进行其他网上活动或连接其他网址,完成交易后,记得备存或打印交易纪录或确认通知,供日后查核。

● 日常奉行良好的上网习惯,包括定期用最新的防毒软件来侦察和扫除任何恶意软件。

黑客入侵户口后如何图利?

黑客用盗来的户口买卖股票,是为了炒高散货。首先,他们会雇用不同人士开立户口,囤积一些流通量低、容易炒作的细价股,然后用盗来的户口买入该等细价股。待该等细价股股价炒上后,黑客就大举抛售自身持股套利。由于进行第三方户口转帐需要双重认证,所以被盗户口的资金一直未有离开户口,然而有关细价股股价变动,却为户口带来重大的帐面损失。

资料来源:钱家有道(由投资者教育中心管理,并获教育局及四家金融监管当局支持)