网上炒股安全成难题

2007-08-30 07:15:48

　　[扬子晚报网消息] 　　本报讯 20％的网上炒股股民，正在成为木马攻击的目标，可能遭遇资金损失；网银数字证书也不能完全为网民金钱进出遮风挡雨——记者昨天获悉，奇虎360安全中心刚刚发布了2007年上半年中国互联网不安全报告，我国网银和网上炒股安全现状堪忧。

　　数字证书做不到完美

　　报告显示，为了解决排队问题，众多商业银行一直在推行网上银行业务。但由于各个银行不具备足够的安全技术方面的基础，使得用户网银账号被盗、资金被转走等案例频频出现。

　　专家介绍说，为增强网银安全性，不少银行开始推行基于移动介质的数字证书，例如工行U盾、招行优Key等。有了数字证书，即使用户的用户名和口令被盗，如果盗窃者没有用户的数字证书，也无法登录网银。另外，即使盗窃者连数字证书文件也拿到了，由于在另一台电脑上导入数字证书时，网银服务器也会问用户事先设定的一系列验证问题，这也加大了盗窃的难度。

　　但数字证书并非完美。一方面移动数字证书有成本，另外如果用户电脑上有黑客或后门类的木马程序，并且已经窃取了用户的网银账号、用户名和口令，盗窃者就可以远程操纵用户电脑，登录用户的网银了，而且这些远程操纵可以做到非常隐蔽，难以被用户发觉。

　　新股民忽略网上安全

　　据统计，中国目前有超过1亿的股民，其中多数为新入市的股民，其中有不少于20%的股民在网上炒股。这些新股民缺乏必要的安全意识和技术手段，也成为盗号木马攻击的目标。一旦被木马程序侵入电脑，股民们将会面临巨大的财产损失风险。

　　专家介绍说，不少股民在网上炒股时，其证券账号与银行资金账号往往使用相同的用户名和口令，所以一旦木马程序从炒股软件中窃取了用户账号，就能通过网上银行去窃取用户银行账号中的资金。而在券商提供的炒股下单软件中，虽然也会包含一定的安全保护模块，但同样由于技术的专业性不够，无法提供持续有效的安全保护。

　　虽然炒股下单软件中，用户的证券账号与银行资金账号是绑定的（资金只能在用户自己的证券账户与银行账户间互转），但是盗窃者一旦窃取了用户炒股软件的账户，就可以通过股票的买卖操作使自己获利，同时使用户蒙受损失。例如盗窃者可以用一个明显超出市场价位的价格（例如涨停价）卖出某只股票，然后通过木马程序操纵某些股民的炒股软件去买入这只股票，这样盗窃者就可以获取巨额收益，而股民们则蒙受重大损失。

　　（管小峰徐晓风）

【发表评论】

编辑：　　　来源：扬子晚报