密碼撞庫攻擊
」 元大證券 密碼撞庫 行動精靈首次「逾千萬證券戶」一起改密碼 限期1/21只剩三天「沒改就延遲下單」
距離1月21日證交所要求券商全面提醒客戶更改電子下單交易戶密碼一案,只剩3天,千萬證券戶若未在期限內更改密碼的話,證交所已祭出「將延誤下單」的最後通牒手段,即是藉此提高避免遭駭客入侵的資安等級。去年(2021年)「1125密碼撞庫攻擊」資安事件中,至少有凱基證券等逾7家券商、1家期貨商陸續遭到駭客入侵網路,冒名登入客戶的帳戶做複委託電子下單,有的券商因此損失2千多萬元,有的則是發現登入異常案件後緊急防堵成功。豈料,駭客仍是持續發動攻勢,12月下旬開始至今年1月以來,攻擊券商頻率增高,證交所先前已於7日邀集國內所有提供網路下單服務之證券商十多家,在登錄系統、申請或更新憑證須採雙因子驗證機制,並須在21日以前請客戶更改密碼並採用優質密碼,且須妥善保管帳號及密碼,不要用在其他網站,以維護自身權益。目前總共超過1,200萬人有證券戶,其中超過1,000萬人以上有電子下單,在證交所號令券商全體總動員之下,將有超過千萬戶的投資人必須改密碼,免得遭駭。
馬大少回歸1/元大金EPS超車中信金躍第三大 馬維建回鍋證券董事掌舵
2022年金控繼續拚獲利、揚股價,虎虎生威!其中元大金控(2885)不僅以每股稅後盈餘2.87元超車中信金,僅次於富邦金、國泰金躋身前三大金控,馬家第二代馬維建也以元大證券董事新身分重返經營團隊,接下來他與擔任元大金控董事的弟弟馬維辰會把元大帶向何方,引發關注。2021年是元大金獲利大豐收的一年,也是多事之秋。5月間元大證董座及副總遭菱光科技控告價購委託書涉嫌共犯,8月金管會出重手勒令停賣4張首推的投資型保單並祭出高額罰款,11月發生駭客入侵「密碼撞庫攻擊」資安事件,都與元大金的核心主業元大證券有關,年底則是給驚奇,「馬大少回來了!」大家所稱的馬大少,即是元大金控創辦人馬志玲的長子馬維建,他以大股東兼元大創投董事身分,從今年元旦起擔任元大證券董事,該屆董事任期至今年5月底。元大金控大股東馬家二代馬維建(後排左﹚與馬維辰(後排右)兄弟倆,近幾年較少公開露面,行事趨於低調。圖為元大集團2003歲末旺年會家族合影,總裁馬志玲與夫人杜麗莊、媳婦唐可姍(後排中)。(圖/報系資料照)CTWANT調查,其實馬維建2年多前為台北世界貿易中心國際貿易大樓董事長時,即已擔任元大證券董事,但上任5個月後則改派理律法律事務所初級合夥人蘇詠筑出任,蘇現為元大金控法務長。馬維建回鍋元大證券董事會,元大金控對外一律採取低調未說明理由,令外界好奇的是,馬維建為何會選擇此時、董事任期剩不到半年之際回歸。翻開元大證券董事會登記資料,該屆董事共18席,包括馬維建等12位一般董事與6位獨立董事,任期為2019年6月1日至2022年5月31日;馬維建在2019年10月底卸任,睽違2年多後於今年元旦再擔任元大證董事。「馬董回到元大證董事會,一因是去年有兩位董事馬永玲、沈慶光陸續辭任,董事會有2普董、1獨董缺額,加上元大證延續去年台股旺勢,今年更要全力衝刺市占率,更專注推廣『台股基金』相關投資標的商品,因此董事會積極邀請馬董歸隊給力。」知情人士分析說。元大證券購併韓國東洋證券不到一年,2015年第一季已轉虧為盈。(圖/元大金控提供)確實,元大金控以證券起家,元大證去年獲利達232.93億元,對金控整體獲利348.66億元貢獻逾6成,每股稅後盈餘(EPS)達3.89元,其中韓國等10餘處海外據點挹注元大證近2成,為獲利重要動能;發行許多ETF等基金商品的元大投信的EPS則來到8.46元,相當亮麗。「海外投資與併購,都是Victor(馬維建)擅長專注領域,而且鑽研市場趨勢,非常看好今年台股基金發展。」金融界資深主管說。2022年新展望,元大金控表示,金控已發展成具有證券、銀行、人壽、投信、期貨等5大獲利引擎的金控,各有經營重點,其中在龍頭券商元大證券方面,未來將開發更多年輕客層、推動數金業務;對於海外市場,將進行跨境業務的整合,並開發當地利基市場,元大證券會朝發展為亞洲區域型證券機構邁進,包括韓國、香港、泰國、印尼、越南等成熟和開發中市場都有新的策略方向。
網路下單「強制」改登入密碼 股民做這一動作遇駭客恐自行負責
國內至少8家證券期貨商遭到駭客入侵,引爆網路複委託下單的「1125密碼撞庫攻擊」重大資安事件,受到股民投資人關切,證交所在今年台股開市第一周即邀集券商確實執行加強資安防護措施,且須「強制」所有客戶更改登入系統密碼及更新憑證,並以人工審核方式核發電子交易憑證,確保交易安全。金融法制暨犯罪防制中心董事長邵之雋則提醒,進一步了解遭駭客入侵的客戶,部分是有使用一些提供記帳、理財帳戶管理服務的App,但證券商依法其實未與這些App有合作串聯網路平台,卻因App供應商逕行請民眾將登入券商的帳號、密碼,交由他們一併整合服務,不僅讓民眾誤解以為可直接連結券商網路,也因此造成資安漏洞。邵之雋表示,這些App供應商也已緊急關閉該功能,此次券商雖都自行吸收被下單的金額損失,但若依法律層面來看,若是因為民眾同意將自己的帳號密碼提供他人代為登入券商網路系統,而非券商的網路系統有資安漏洞的話,所產生的損失可能就是要由民眾自行負責,因此提醒民眾莫私將金融帳號密碼提供給他人使用。金融法制暨犯罪防制中心董事長邵之雋強調,若由民眾自行同意提供自己的金融帳號密碼給他人代登入網路使用,所產生的資安損失恐得由自行負責吸收。(圖/馬景平攝)國內有凱基證券等至少7家券商、1家期貨商,在2021年「1125密碼撞庫攻擊」資安事件中,陸續遭到駭客入侵網路複委託下單,有的券商因此損失2千多萬元,有的則是發現登入異常案件後緊急防堵成功。臺灣證券交易所與金管會等單位相當重視此資安事件,於今年1月7日邀集國內所有提供網路下單服務之證券商,研商及重申應落實資安相關規範,並呼籲投資人本身亦應加強注意交易安全。證交所表示,所有提供網路下單服務之證券商,已採行或進行客戶登入系統、申請或更新憑證採雙因子驗證機制的系統修改,證交所並呼籲投資人,應及時更改密碼並採用優質密碼,妥善保管帳號及密碼,不要在其他網站,提供或共用相同的帳號密碼,以維護自身權益。證券商在完成雙因子系統修改前,應在短期內採行相關防範措施,以降低資安的風險,例如:強制所有客戶更改登入系統之密碼,更新憑證,以人工審核方式核發電子交易憑證,以確保交易安全。另為發揮資安聯防效益,與會人士建議,證券商應加強通報,強化資安事件資訊分享,例如將被登入之帳戶、駭客使用之IP及手機UID等資訊,提供給證交所及櫃買中心彙整及分享,藉以協助業者強化資安防護能力。
元大落難記1/殭屍網路攻破「證券一哥」被下單 竟是駭客拿到客戶「生日」密碼
國內券商首樁駭客入侵「1125密碼撞庫攻擊」資安事件,爆發至今已近三周,災情最大的元大證券當日即暫停「行動精靈」App的海外複委託電子下單,迄今尚未恢復。據了解,此次通報券商達6家、期貨商1家,「被下單」買港股100多件,災情損失約2千萬元,其中以元大證券的災情最大。根據趨勢科技綜合國際研究分析,金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 (Credential Stuffing)攻擊,是一項利用殭屍網路(botnet)以自動化方式,不斷使用偷來的登錄憑證試圖登錄網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登錄網路服務,直到某一組帳號密碼成功為止。CTWANT調查,11月25日下午3時許,元大證券、統一證券察覺到客戶的海外複委託下單,出現購買港股「深藍科技控股」的異常案件,即開始主動全面清查帳戶。元大證券當天發出公告,緊急暫停受到駭客攻擊的「行動精靈」App的複委託電子下單,改為人工電話下單;統一證券則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能,改為人工下單。金管會、證交所、期交所等要求業者全面清查下單憑證的安全度,並請民眾勿用「身分證、生日」當帳號、密碼。圖為金管會主委黃天牧。(圖/黃鵬杰攝)隔天上午,KGI凱基證券也和元大證、統一證通報有出現類似的複委託電子下單在同一個港股「深藍科技控股」異常案件,第一時間先鎖住不正常登入以保護客人帳號,阻擋攻擊來源,並通知客戶變更密碼,同時在交易憑證申請上,採取人工加強驗證等措施。同一時間,國泰證券、富邦證券、台新證券也察覺內部異常,但未出現冒名客戶複委託帳戶的成功下單案;元大證、統一證及KGI凱基證券則清查出下單案件,為此次資安事件中的受災券商。CTWANT記者進一步了解,其實國內證券期貨商遭駭客「密碼撞庫攻擊」手法,在去年初即有一波,但未被攻擊成功;三周前,即有證券商陸續向主管機關通報,出現「密碼撞庫攻擊」的駭客資安示警狀況。金管會、證交所官員表示,所謂的「密碼撞庫攻擊」是駭客利用網路、App上民眾外漏的帳號、密碼,以此登錄到券商網路下單系統,冒用客戶身分做金融交易,其他常見駭客攻擊手法還有分散式阻斷服務攻擊(DDoS)、電子郵件社交工程、加密勒索軟體。國內3家券商遭駭客入侵「被下單」的100多件,全都是買港股「深藍科技控股」。(圖/翻攝自東網官網)據金管會、證交所的清查,國內69家券商中共有49家有提供網路、App下單服務。而這次7家券商及期貨商遭密碼撞庫攻擊,相關主管提出質疑,「只針對單一的港股個股『深藍科技控股』(01950, HKG)下單,駭客動機匪夷所思,似乎非單純資安攻擊,全案正由警方調查中。」參與許多企業資訊安全控管的專家則分析,「被駭客攻破的是海外複委託買港股的那一端系統,台股下單功能都正常,高度懷疑是台灣連結港股交易的那一段資訊系統有漏洞,這擴及到兩個國家的資訊安全。」市場即傳出這段期間,疑有「深藍科技控股」大股東賣股,加上正好國內證券商客戶「被駭客下單」承接股票,時間敏感,引起港台媒體大肆報導,港股「深藍科技控股」也在官網聲明,股價買賣波動異常,請投資人注意。券商趕緊以報錯帳反向沖銷,加上「被下單」後的隔天,港股「深藍科技控股」的股價開盤有在平盤以上,損失差額皆由券商自行吸收,未影響到投資人的權益及財產。對此一事件,金管會金融資安行動方案和資本市場藍圖規劃,證券暨期貨市場電腦緊急應變支援小組(SF-CERT)11月底正式成立,將24小時全天候協助證券期貨業者應變資安事件,已將「1125密碼撞庫攻擊」列為研究指標案例。
元大落難記2/行動精靈App複委託出事 「看盤一哥」邱老大喊冤:不關我事
元大證券有兩款網路下單的App,今年11月25日通報遭到駭客「密碼撞庫」攻擊的「行動精靈」為三竹資訊(8284)所設計的,儘管真正讓駭客攻破的漏洞原因,還未調查公布,但到底是哪個環節有了問題,引發網友熱議,三竹資訊創辦人邱宏哲也親上火線澄清,維護商譽。CTWANT調查,國內49家券商所推出的網路、App股票下單系統,很多是出自三竹資訊設計的。此次駭客發動的「密碼撞庫攻擊」的證券期貨商中,元大證就在官網公告標明其暫停複委託電子下單的「行動精靈」App,即是三竹資訊所做的,元大證券並表示另一款「投資先生」App則正常運作。此消息傳出,三竹資訊總部即排山倒海湧入許多客戶廠商來電「關切」,甚至也憂心商品安全性,三竹資訊為了維護品牌商譽,趕緊發聲明稿澄清;不過,在批踢踢上卻有許多網友留言「相挺」三竹資訊,認為很多家券商的網路下單,也是三竹設計,卻只有「元大」證券的App出狀況,應非三竹之過。「1125密碼撞庫攻擊」危及三竹商譽,非同小可,66歲三竹資訊創辦人、董事長兼總經理邱宏哲,隔日傍晚接受CTWANT記者採訪,他親自「掛保證」說,「三竹資訊僅是做App系統的前台,並沒有中後台,也沒有客戶的帳號與密碼,也不是做投資人交易憑證的廠商。駭客取得的帳號、密碼根本非由三竹資訊所外洩的,根本與三竹資訊無關。」三竹資訊多為券商設計股票下單系統,堪稱「看盤一哥」,批踢踢許多網友留言相挺三竹商譽。(圖/翻攝自apple app store)這是業界人稱「邱老大」的邱宏哲,1991年創辦三竹資訊,以發送簡訊、設計行動看盤、企業開發與企業即時通等為營業項目,成立迄今30年,是國內數百萬股民每日的股市看盤資訊、下單交易及成交資訊回報供應商,可說是台股幕後英雄的「看盤一哥」,2020年營收逾18.8億元,2021年迄今累計營收已逾17.8億元。去年5月18日三竹(8284)上櫃期間,因競價拍賣完成後第6天,才發布簡訊費用遭調漲的重大訊息,市場一片譁然,遭櫃買中心以延遲公布重要訊息為由,處罰10萬元,引發「競拍風暴」。當時,邱宏哲為維護辛苦大半輩子的三竹商譽,他對投資人發出一封「三竹保證信」,表示若掛牌賣股有虧損,通通有補貼,且每股還補償2元,此舉可說是空前絕後。這位下午進公司工作到隔天上午的邱宏哲,鮮少與媒體打交道,11月26日下午上班後對於這次「1125密碼撞庫攻擊券商」波及三竹,他因而再次親上火線,大動作向外界說明三竹開發的看盤App與此事「無關」。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。