香港日前發生一宗令人震驚的離奇網上資產盜竊案!一名網上保安專家的妻子在搭乘前往哈爾濱的飛機期間,在完全沒有網絡信號、手機無離身的情況下,其證券戶口內的900萬港元美股資產,在短短一小時內被黑客「清空轉移」。黑客並非直接提走現金,而是採用極其高明的「末日期權」對倒手法,在表面上合法地將資金輸光。事主落地後發現大筆畢生積蓄化為烏有,而證券公司及相關機構卻以「合規登入」為由拒絕承擔責任,甚至拒絕提供異常登入紀錄,令事主投訴無門,面臨精神崩潰。
去旅行本是一件開開心心的事,但對於香港的楊女士來說,卻演變成了一場人生噩夢。楊女士是一名退休人士,其丈夫在退休前更是一名專業的網絡保安工作者。兩口子一直以來都非常注重網絡安全,從來不隨便點擊不明連結,亦不會在公共地方亂連Wi-Fi,自以為防範工作做得萬無一失。然而,黑客的手法已經超乎了一般市民的想像。
萬呎高空無網絡積蓄被清空 落地驚見「美股變廢紙」
事發於去年12月中旬,楊女士與丈夫由香港機場登機前往哈爾濱旅行。在接近5個小時的飛行航程中,兩人的手機都處於飛行模式,完全沒有連接任何網絡。
直到旅行的第三天,楊女士在旅遊景點期間,突然收到證券公司打來的電話。當時因為景點人潮洶湧而未能接聽,但她隨即感到不安,於是立刻登入自己的股票戶口查看。不看猶自可,一看之下令她當場震驚到不知所措——她戶口內總值高達900萬港元的美股,竟然在日前她坐飛機的那一個小時內,全部被強制賣出!
這筆高達900萬港元的資金,是楊女士十多年來真金白銀投資、辛辛苦苦累積下來的退休積蓄,竟然在瞬間化為烏有。
避開轉賬審查 黑客使出「暗黑對倒術」表面極合法
最令人百思不得其解的是,黑客在賣光楊女士的美股後,並沒有嘗試將現金提款到外部銀行戶口。因為黑客知道,一般證券戶口提現需要兩至三天的處理時間,而且會觸發金融機構的保安警報。
為了以最快速度「洗走」資金,黑客採用了一種極高明的手段:利用楊女士戶口內的百多萬美金現金,在市場上以極高價格,接下黑客自己手上持有、還有一個小時就到期、即將變成廢紙的「末日期權」合約(俗稱末日權證)。透過這種在市場上的「左手交右手」瘋狂對倒,短短幾秒鐘內,楊女士戶口內的現金就合法地「輸」給了黑客,而黑客則在另一端成功套現離場。
雙重認證形同虛設?專家拆解黑客「潛伏行騙」技倆
楊女士非常疑惑,自己的股票戶口明明設定了雙重認證(Google Authenticator),每30秒就會自動更新一次密碼,而且手機一直在自己身邊,黑客到底是如何拿走驗證碼的?
網絡安全專家經過詳細檢查後拆解了這個近年的新型行騙手法。專家指出,黑客其實一早已經通過高仿的「釣魚網頁」設下陷阱。雖然事主表示沒有亂點連結,但現今的AI釣魚網頁極度逼真,普通人肉眼根本無法分辨。
黑客在事主某次誤入假網頁時,不僅目擊了用戶輸入密碼,更在後台即時複製了那組30秒內有效的雙重驗證碼。黑客成功登入真網站後,利用特殊劇本(Script)鎖定瀏覽器狀態,令戶口保持在「持續登入」的狀態。黑客隨後一直默默潛伏,直到計算準確,得知事主登上飛機、無法接收任何即時短訊與電郵通知的黃金空窗期,才突然出手瘋狂進行交易。
證券公司與監管機構互推 異常登入15次竟被當「私隱」
楊女士事後向證券公司理論,對方卻表示所有交易均屬於「合規登入」,並指是事主自己通過雙重認證進入戶口進行買賣,因此拒絕承擔任何責任。
更令楊女士憤怒的是,證券公司透露在事發前幾天(12月15日至19日期間),曾出現高達15次使用「新裝置」登入的異常活動。楊女士強烈質疑:「我十幾二十年來都用同一部電腦,有15次新裝置登入,為什麼不打電話提醒我?」更離奇的是,楊女士查看自己的郵箱,發現那幾天的電郵紀錄竟然是一片空白,懷疑通報電郵一早被黑客在後台偷偷刪除。當楊女士要求證券公司提供發出警告信的紀錄時,對方竟以「基於私隱條款」為由拒絕提供。
楊女士其後向證監會投訴,但得到的答覆同樣是「由於屬於合規登入,不予受理並已結案」。她亦嘗試尋找金融糾紛調解機構,但由於涉案金額超過100萬港元,按照條例必須獲得證券公司雙方同意才能進行仲裁,而財大氣粗的證券公司自然選擇了拒絕。目前案件已交由警方重案組跟進,但至今仍未有進展。
【網友回應】
事件曝光後,在各大社交平台掀起軒然大波,大批網民對現行的網絡金融安全感到極度擔憂:
- 「太恐怖了,有雙重認證都沒用,以後誰還敢把錢放在證券行?」
- 「新裝置連續登入15次都不鎖戶口,這家證券公司的風控系統簡直是垃圾。」
- 「最不合理的是,受害者要求看自己的通訊紀錄,居然用私隱理由拒絕?到底是保護客戶還是保護自己?」
- 「黑客這招期權對倒真的太絕了,在交易所合法把錢洗走,簡直是完美犯罪。」
- 「看來以後就算不開不明連結,只要戶口有大筆資金,都要定期強制登出所有裝置才安全。」
【Hothk 編輯評論】
這宗案情揭露了現行本港網上金融監管的巨大漏洞。在科技日新月異的今天,市民一向信賴的「雙重認證(MFA)」在AI與高超的釣魚技術面前,顯然已經不再是萬能的防彈衣。最令人失望的是金融機構與監管機構的態度。面對15次新裝置登入的明顯異常,風控系統竟然形同虛設;事後更以官僚程序和所謂的「私隱」為藉口推卸責任。
如果一家受監管的金融機構,連客戶最基本的資產安全都無法保障,出事後只會把責任推給一句「合規登入」,這將會徹底摧毀香港作為金融中心的信譽。政府及相關監管部門必須正視此類新型犯罪,盡快修訂過時的監管條例與仲裁上限,否則下一個在萬呎高空被洗劫一空的,隨時可能是你和我。
