海外複委託

元大落難記1／殭屍網路攻破「證券一哥」被下單　竟是駭客拿到客戶「生日」密碼

國內券商首樁駭客入侵「1125密碼撞庫攻擊」資安事件，爆發至今已近三周，災情最大的元大證券當日即暫停「行動精靈」App的海外複委託電子下單，迄今尚未恢復。據了解，此次通報券商達6家、期貨商1家，「被下單」買港股100多件，災情損失約2千萬元，其中以元大證券的災情最大。根據趨勢科技綜合國際研究分析，金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充（Credential Stuffing）攻擊，是一項利用殭屍網路（botnet）以自動化方式，不斷使用偷來的登錄憑證試圖登錄網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼，再搭配自動化腳本，以疲勞轟炸的方式不斷試圖登錄網路服務，直到某一組帳號密碼成功為止。CTWANT調查，11月25日下午3時許，元大證券、統一證券察覺到客戶的海外複委託下單，出現購買港股「深藍科技控股」的異常案件，即開始主動全面清查帳戶。元大證券當天發出公告，緊急暫停受到駭客攻擊的「行動精靈」App的複委託電子下單，改為人工電話下單；統一證券則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能，改為人工下單。金管會、證交所、期交所等要求業者全面清查下單憑證的安全度，並請民眾勿用「身分證、生日」當帳號、密碼。圖為金管會主委黃天牧。（圖／黃鵬杰攝）隔天上午，KGI凱基證券也和元大證、統一證通報有出現類似的複委託電子下單在同一個港股「深藍科技控股」異常案件，第一時間先鎖住不正常登入以保護客人帳號，阻擋攻擊來源，並通知客戶變更密碼，同時在交易憑證申請上，採取人工加強驗證等措施。同一時間，國泰證券、富邦證券、台新證券也察覺內部異常，但未出現冒名客戶複委託帳戶的成功下單案；元大證、統一證及KGI凱基證券則清查出下單案件，為此次資安事件中的受災券商。CTWANT記者進一步了解，其實國內證券期貨商遭駭客「密碼撞庫攻擊」手法，在去年初即有一波，但未被攻擊成功；三周前，即有證券商陸續向主管機關通報，出現「密碼撞庫攻擊」的駭客資安示警狀況。金管會、證交所官員表示，所謂的「密碼撞庫攻擊」是駭客利用網路、App上民眾外漏的帳號、密碼，以此登錄到券商網路下單系統，冒用客戶身分做金融交易，其他常見駭客攻擊手法還有分散式阻斷服務攻擊（DDoS）、電子郵件社交工程、加密勒索軟體。國內3家券商遭駭客入侵「被下單」的100多件，全都是買港股「深藍科技控股」。（圖／翻攝自東網官網）據金管會、證交所的清查，國內69家券商中共有49家有提供網路、App下單服務。而這次7家券商及期貨商遭密碼撞庫攻擊，相關主管提出質疑，「只針對單一的港股個股『深藍科技控股』（01950, HKG）下單，駭客動機匪夷所思，似乎非單純資安攻擊，全案正由警方調查中。」參與許多企業資訊安全控管的專家則分析，「被駭客攻破的是海外複委託買港股的那一端系統，台股下單功能都正常，高度懷疑是台灣連結港股交易的那一段資訊系統有漏洞，這擴及到兩個國家的資訊安全。」市場即傳出這段期間，疑有「深藍科技控股」大股東賣股，加上正好國內證券商客戶「被駭客下單」承接股票，時間敏感，引起港台媒體大肆報導，港股「深藍科技控股」也在官網聲明，股價買賣波動異常，請投資人注意。券商趕緊以報錯帳反向沖銷，加上「被下單」後的隔天，港股「深藍科技控股」的股價開盤有在平盤以上，損失差額皆由券商自行吸收，未影響到投資人的權益及財產。對此一事件，金管會金融資安行動方案和資本市場藍圖規劃，證券暨期貨市場電腦緊急應變支援小組（SF-CERT）11月底正式成立，將24小時全天候協助證券期貨業者應變資安事件，已將「1125密碼撞庫攻擊」列為研究指標案例。

券商遭駭誰危機處理做得好　統一證最坦白　網友卻最心疼三竹資訊

國內證券商、期貨商相繼在11月25、26日，傳出「撞庫攻擊」駭客入侵網路下單平台的資安事件，這已是第二起相同撞庫攻擊手法之案，金管會、證交所期貨所等都高度關切，召集相關單位人員嚴陣以待，假日加班督促交易憑證安全度升級。其中，開發金控旗下的凱基證券、凱基期貨接連都傳出資安事件，凱基證在昨天（26日）上午通報複委託港股「深藍科技控股」的異常下單案，同一天的下午5點37分，凱基期貨也趕緊向期貨交易所通報，凱基期的公司網頁版交易平台疑似遭受駭客攻擊，已立即封鎖駭客攻擊來源。再來看3家券商，面臨資安緊急事件時的危機處理，統一證券很清楚在官網，特大字體說明駭客入侵的時間、受影響的件數，以及後續封鎖可疑網路來源、鎖住個股改為人工下單的做法。統一證券表示，發生當日全面清查就7個帳戶異常，昨日已反向處理，港股「深藍科技控股」的股價開盤有在平盤以上，損失金額不大，並向刑事警察局報案，而網路複委託電子下單皆正常，所有客戶已沒有深藍的部位，最後決定僅鎖住該股交易，將深藍個股改為人工下單。統一證券官網公告。（圖／截自統一證）元大證則是在25日公告暫停「行動精靈」App的複委託電子下單改為人工交易（目前已找不到該公告），另在元大金控官網看到代子公司的說明，並強調自有開發軟體「投資先生」App不受影響，同樣的也報警處理。昨天深夜11：25分，元大證則公告投資先生、點金靈、越是贏、WEB下單的客戶，申請、更新憑證的流程，並標明行動精靈App為三竹系統，現已暫停下載憑證。不過，許多網友在批踢踢留言，認為元大證券的行動精靈App被駭客突破，其實與三竹資訊無關，因為三竹根本不會接觸到顧客的帳號、密碼，而且交易系統的憑證下載與帳號、密碼，也非三竹資訊所做的；還有網友說，三竹資訊做很多家券商下單系統，也非大家都被駭客攻擊成功。元大證券的公告。（圖／截自元大證官網）凱基證官網的26日公告，則是提到「鑑於近日媒體報導同業疑似發生複委託交易系統之資安事件，以及接獲主管機關通報有不明人士不當取得投資人個資與密碼，進而冒名申請憑證及下單等情事」，提醒憑證申請採人工加強驗證等措施，未像統一證、元大證清楚說明自己發生資安事件的時間等原委。凱基證回覆CTWANT記者則是提到，針對客戶因帳號問題發生非本人之交易，已先跟客戶確認，改為人工下單，並提醒客戶變更密碼，維護客戶權益。對於撞庫事件，公司防護監控機制發現遭受撞庫現象，第一時間先鎖住不正常登入以保護客人帳號，阻擋攻擊來源，並通知客戶變更密碼，近期憑證申請採人工加強驗證等措施。目前了解，客戶權益未受影響，凱基證券一向重視資訊安全，也會致力保障客戶權益。凱基證券的撞庫資安事件公告。（圖／截自凱基證券官網）其實，去年初券商即發現有一波的「撞庫攻擊」駭客入侵警報，當時未傳出異常交易案件，今年則是在兩周前，國泰、富邦證通報發現有駭客入侵系統，但成功攔阻未傳出災情，卻在3天前陸續出現異常下單案件，顯示駭客取得到的帳號、密碼，已成功登錄券商的交易系統並完成交易。11月25日元大證發現異常下單港股「深藍科技控股」的案件，緊急關閉「行動精靈」App的海外複委託電子下單功能，改為人工電話下單，清查案件有100多件，災情最大；統一證則是有7件，凱基證有3件（其中2件扣款交易失敗），券商皆是以報錯帳反向沖銷，自行吸收差額，客戶權益未受到任何影響。依照「證券期貨市場資通安全事件通報應變作業注意事項」的規定，券商、期貨商一發現網路內部交易系統有異常時的30分鐘內，即須通報主管機關及回饋聯防的通報系統予以登記、示警，同步提醒其他同業要提高警覺之外，券商、期貨商也須在公司官網公布，提醒消費者大眾注意。

5家券商股票下單遭「撞庫攻擊」　災情百餘件、凱基證也「被下單」

國內券商「1125撞庫攻擊」遭到駭客入侵網路複委託下單資安事件中，目前已經通報金管會、證交所且遭到「被下單」的券商，除了主動向投資人示警提醒的元大、統一綜合證券之外，KGI凱基證券也有出現下單異常案件；另有國泰、富邦兩家證券則是也有通報遇到類似攻擊，但已成功阻擋駭客入侵，未有客戶遭到異常下單案件。11月25日下午3時許，元大、統一證券主動察覺到客戶的海外複委託下單，出現購買港股「深藍科技控股」的異常案件，即開始主動全面清查帳戶，元大證則是緊急暫停「行動精靈」App的複委託電子下單，改為人工電話下單；統一證則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能，也改為人工下單。到今天為止，元大證的行動精靈」App的複委託電子下單功能仍是全面關閉，一律改為人工電話下單；統一證則是全面維持複委託電子下單功能，僅暫停個股「深藍科技控股」的電子下單交易。根據金管會、證交所與券商的通報聯防機制，近兩周即開始有券商陸續通報出現「撞庫攻擊」的駭客資安示警狀況，國泰證券、富邦證券察覺內部異常，但未出現冒名客戶複委託帳戶的成功下單案；元大證券則是通報清查有100多件、統一證通報有7件、凱基證通報有3件（其中1件扣款交易失敗），損失金額仍在統整中，皆由券商自行吸收。證交所表示，去年（2020年）初即有出現一波「撞庫攻擊」駭客入侵資安通報，但未有異常下單案件。今年的類似撞庫攻擊，則是在前兩周（約11月上旬）開始就有證券商通報有此可疑情況，而在11月25日通報案遭到攻擊最為明顯，元大、統一證即主動清查客戶帳號，提高資訊安全的保護力，維護投資人的財務安全權益。凱基證則是在26日通報出現下單案件。證交所強調，已將券商通報的駭客入侵情況通知其他券商，全面清查及增強網路下單的交易「憑證」的登錄帳號、密碼防護力，提醒投資人勿用身分證、生日作為金融帳號、密碼，提高駭客攻擊的防護。

券商下單系統爆「撞庫攻擊」　三竹聲明「與之無關」正協助補強交易安全

國內元大證券「行動精靈」App海外複委託下單系統，11月25日下午突然出現所謂的「撞庫攻擊」網路資安事件，遭駭客取得帳號、密碼的顧客，則自動下單買港股「深藍科技控股」，券商正委託系統資訊商新增程序，補強交易安全防護力。統一證也通報類似情節，也因此暫停複委託電子下單。三竹資訊則發布聲明，強調「券商複委託下單系統異常，與三竹資訊無關」。三竹資訊董事長兼總經理邱宏哲也親自向CTWANT記者表示，三竹資訊僅是為券商的App設計前台，並無涉入帳號、密碼，而遭到駭客入侵的屬於券商負責的中後台端，與三竹資訊設計的系統完全無關。元大證「行動精靈」App的海外複委託交易功能，11月25日遭券商主動發現傳出遭駭客入侵的異常下單港股案件之後，緊急關閉改為人工電話下單至今還未恢復，而該系統是委由三竹資訊為元大證量身訂做，其中交易下單的「憑證」登錄則非三竹資訊所做，另為元大證券尋求的合作廠商。三竹資訊表示，該資安事件可以從兩個層面來看，一是駭客如何取得顧客的帳號、密碼？一是下單交易的「憑證」登錄的帳號、密碼，涉及到使用「生日」為帳密的顧客，是否因此容易被駭客入侵，而這也就是如外界所推測的「撞庫攻擊」，駭客從網路上蒐集到民眾常使用的帳號、密碼之後，經由多次嘗試登錄下單金流系統而最後攻擊成功。由於多個「憑證」登錄交易，會讓民眾使用「生日」即可成功登陸，因此此次元大證的「行動精靈」App海外複委託下單系統，出現異常下單資安事件，遭駭客入侵的系統漏洞真正原因，還有待元大證調查了解。目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力，除了原有的「憑證」登錄程序之外，將再新增設計一層的「OTP」（one-time password）簡訊動態密碼的程式，即是一次性單次有效密碼，補強下單交易防護力。以下為三竹資訊聲明全文。針對媒體報導有關110年11月25日有券商發生港股異常下單案件，為避免社會大眾誤解，本公司在此聲明此事件與三竹資訊無關，三竹資訊的系統運作一切正常，持續供應穩定服務給所有客戶，呼籲相關人士發文與報導，應善盡查證之責，切勿混淆視聽。經過了解，近期部份券商遭受駭客撞庫攻擊資安事件頻傳，即駭客拿網上已經洩露的用戶密碼嘗試攻擊，臺灣證券交易所就表示，本月25號下午5點27分已接獲元大證券及統一證券通報資安事件，部分客戶帳戶遭不明人士冒用，進行複委託下單並成交之情事，元大及統一證券表示已暫停複委託電子交易，改採人工下單。對此，三竹資訊對於已發生之事件深表遺憾，同時強調整起駭客事件與三竹資訊毫無關聯。提醒投資人注意，應定期更換投資帳戶之密碼，以維護自身權益。

駭客入侵「被下單」嚇壞股民　犯防邵之雋：更證明「複委託」必要性

元大證「行動精靈」App的海外複委託交易功能，11月25日遭券商主動發現傳出遭駭客入侵的異常下單港股案件之後，緊急關閉改為人工電話下單，財團法人金融法制暨犯罪防制中心董事長邵之雋認為，從這次駭客入侵「被下單」事件，不應負面看待，反而更證明了複委託的必要性。財團法人金融法制暨犯罪防制中心董事長邵之雋表示，從駭客的角度來看，他攻擊的對象並不是金融機構，而是金融機構委外認證系統，這也不意味著元大、統一證找的認證系統商就一定是不好的。由於現在駭客可以利用高速演算法一一破解各種認證的防衛機制，認證廠商要等到被破解了才能理解原本防衛演算系統的盲點。也就是說，隨機認證業者系統被攻破只是遲早的事情，只是不曉得是誰倒楣而已。也因為被攻破，反而證明了複委託機制的必要性。由於不論是國內外的券商系統，被攻破只是機率性的問題，因此重點在系統被攻破後，對交易者的補償問題。今天在國內券商下單，不論理賠或救濟，交易者都可以直接向券商，或者是走金融評議與法院求償。但如果今天發生在國外券商上，國內交易者很可能遇到求助無門的窘境。是以，這次「被下單」事件，不但不應該負面看待，反而更證明了複委託的必要性。

元大證「行動精靈」關閉複委託電子下單　三竹資訊喊冤：沒有做憑證

國內券商發現複委託疑遭駭客入侵，異常下單買港股「深藍科技控股」事件中，元大證昨天下午緊急關閉「行動精靈」App的海外複委託電子下單交易，改為人工電話下單，至今還未恢復該功能，但另一支下單系統的App「投資先生」仍正常運作。同時，統一證券也與元大證在同一天（11月25日）通報證交所，表示複委託下單系統異常遭駭客入侵，統一證並在官網以特大字體提醒民眾留意頻傳的網路攻擊事件，並為了提升交易安全，請勿使用個人相關資料做為交易密碼。例如：身份證字號、生日、電話等個人資料，建議使用英文含數字的優質密碼做為交易密碼，以免有心人士取得或盜用。由於元大證的「行動精靈」App是委由三竹資訊設計製作，統一證券也是三竹資訊合作廠商客戶，CTWANT記者特別去電請教上櫃的三竹資訊（8284），發言人林志鴻說明原委。三竹資訊發言人林志鴻表示，三竹確實是受到元大證委託製作其「行動精靈」App，昨天下午也被通知「行動精靈」App的海外複委託下單港股有出現異常狀況，因此該功能先關閉下架。由於三竹資訊僅是依券商需求客製化下單系統App，但其中相關的交易憑證登錄API功能下載安裝，非由三竹資訊所提供及設計的，因此該事件將會繼續與元大證商議後續處理。三竹資訊發言人林志鴻也強調，三竹資訊為許多券商量身訂做股票下單系統之外，也有自己的三竹下單App，目前交易系統皆為正常，除了元大證通知行動精靈暫時關閉海外複委託的電子下單，改為人工電話下單，詢問其他合作的券商，近期發覺疑似駭客入侵的案件數量確實有增加趨勢。至於為券商提供「憑證」登錄的廠商，國內有兩大廠，CTWANT記者正去電進一步調查遭到駭客入侵的Gate安全門被突破的關鍵。證交所也發布新聞稿，要求券商提高、補強「憑證」登錄的防護力，並且檢視近期兩周有更新憑證之客戶是否有類似異常案件，如非本人登錄即刻暫停該客戶帳密。

股票下單系統疑遭駭！元大證海外複委託改人工接單　統一證公告提醒換密碼

元大證、統一證、凱基證陸續在官網發布重要公告，提醒股民下單時預防網路駭客入侵，避免用生日、身分證字號等作為密碼之外，元大證還發現港股異常下單案件，暫停複委託電子交易，緊急改為人工電話接單，並已向刑事局報警調查中。元大證公告暫停複委託交易，統一、凱基證券提醒民眾下單的密碼，要隨時更換，且勿用生日、身分證等號碼。（圖／截自證券官網）元大證券表示，公司向來重視資訊安全，於11月25日下午3時許主動發現有疑似異常之港股委託後，擔心為港股詐騙案，故於聯繫部分客戶確認屬非本人交易後，為確保客戶權益，遂緊急自3點45分起暫停受理複委託電子交易，改以人工接單。目前本公司正在釐清相關原因，一定會盡力確保客戶權益，請客戶放心。元大證公告暫停複委託交易，統一、凱基證券提醒民眾下單的密碼，要隨時更換，且勿用生日、身分證等號碼。（圖／截自證券官網）統一證昨天也在官網以特大字體提醒民眾，近期網路攻擊事件頻傳，為了提升交易安全，提醒客戶請勿使用個人相關資料做為交易密碼。例如：身份證字號、生日、電話等個人資料，建議使用英文含數字的優質密碼做為交易密碼，以免有心人士取得或盜用。元大證公告暫停複委託交易，統一、凱基證券提醒民眾下單的密碼，要隨時更換，且勿用生日、身分證等號碼。（圖／截自證券官網）凱基證券昨天則是在官網發布重要公告，嚴重聲明，從未與任何第三方資訊業者合作或授權同意其以客戶帳號密碼登入，並自凱基證平台截取庫存資訊匯入第三方平台之情事，請客戶切勿於第三方平台輸入於本公司之帳號密碼及個人資料（如生日）或將該等資訊提供予他人，以免遭洩漏或不當利用並影響個人帳號於本公司平台之使用。另建議您定期更換密碼，以確保您的個人帳戶安全。