股票账户被盗!同花顺事件波及十多家券商,你的账户安全吗?券商火速提示风险,第三方软件成"牛夫人"?

2023-03-06 17:30发布

盘点过去一周的行业热点,股民“账号被盗高位接盘”的奇葩剧情仍处于C位。


近日,有一些股民反映证券账户被盗用,不仅卖出原有持仓股票,更大量买入次日一字跌停的济民制药。开户券商虽然不同,但使用同花顺软件是投资者的共同点之一,因此投资者们也将矛头对准了同花顺。此后,同花顺也对此作出声明,称“网络传言与事实不符”, 呼吁用户加强账户安全防范意识。


在受害者报警、券商配合调查、同花顺自证清白之际,关于此次风险事件的产生却在业内引发一场大讨论,更有多家券商通过各种方式提醒投资者注意安全。同时,券商与第三方软件的“相爱相杀”,也被不断复盘。有业内人士认为,与第三方的开户导流合作终非长久之计,通过加大信息技术实现“自力更生”,将是中小券商APP建设的应有之义。


昔日被券商视为“小甜甜”的第三方软件,如今将沦为“牛夫人”?


“盗号”案情引发券业讨论


虽然现在案情仍在调查当中,但由于此次同花顺“盗号”风波剧情的跌宕起伏,仍在券商业内引起热议。


根据此前投资者晒出的求助信息来看,仅其罗列的7名投资者,预估损失额就已超过百万,7人均属不同券商。


有券商经纪业务人士向券商中国记者介绍,目前了解到的涉及投资者已有三十多人,涉及十几家券商,从头部券商到中小券商都有,投资者大多已报案。“这个事其实并不难查,根据IP地址顺藤摸瓜,相信近期就能水落石出”。


“现在网上有许多投诉,说刚开完户就被诈骗电话骚扰,如推牛股、带看盘等,以此认为是券商出卖了客户信息。”一家中型券商网金部门人士向券商中国记者介绍,无论是由于监管规定、客户体验还是收益的性价比,券商都不可能做出这种“自毁长城”的事,需要思考的反而是运营商或其他相关方是否可能存在泄露用户信息的情况。


例如,客户开户时,券商需要通过短信向客户发送验证信息以及资金账号,如果“有心人”加以利用并出售,则犯罪分子即可轻松获取用户的手机号、资金账号等信息。


而在获得相关信息后,犯罪分子即可以开始诈骗历程,也就是投资者平时经常经历的骚扰电话,以开户券商的名义哄骗投资者加群。这也正是同花顺所言的“部分投资者因为在炒股微信群里被骗”。


“实际上,有时候无需真的交出资金账号和密码。像这种进群‘学习’或者跟随交易,所谓的老师或者助理一般会给出相关网站或者软件要求投资者注册,由于大家日常的行为惯性,网站注册的密码与交易密码重合的概率颇高,且犯罪分子可按照交易密码的设置规律进行设计,上当的几率颇高”,上述网金人士分析。当然,也存在犯罪分子在获取资金账号后采取“撞库”的方式破解密码的可能性,但难度相对较大。


根据目前多名投资者反馈的信息,被盗账户均发生异常设备异地登录,相关IP地址均指向广东省某地。而关于为何通过同花顺进行恶意买入,有经纪业务人士认为,理由也比较单纯——同花顺可同时兼容多家券商账号登录,“不见得犯罪分子还要挨个下载券商的APP再进行操作,当然是选择第三方软件进行统一操作。”


对于受害的投资者来说,其重要异议在于,在账号异地登陆之时,同花顺未通过验证短信提醒。并且,软件账号和资金账号可以同时登陆的问题,也是投资者认为同花顺设置不合理、存在安全隐患之处。


北京一家中型券商互金业务人士介绍,目前券商APP对异地登陆大多未设置障碍,更多的是APP内提醒。“在技术上并非不能实现,但异地登录的需求本身比较大,有一些老账户甚至没有绑定手机号,发送短信也起不到提醒作用。”


另外,针对部分投资者所言,系黑客盗取同花顺账号密码并使用保存的资金账号密码进行下单,有数名业内人士对记者表示可能性并不大。一方面是在技术方面并不容易实现;另外一方面,“如果是成功破解同花顺用户的账号密码,那涉案人数和资金量都不会是现在的水平,如果后续还有大量投资者参与投诉,或许将考虑这一可能。”


此外,业内提供的另外一个思路是源于民间配资。由于此前证券账户管理不严,不少营业部通过各种方式掌握着大量的“空账户”,用于出借配合融资、配资等隐秘活动。有业内人士提出,存在地方营业部配合庄家出货的可能,但具体情况仍需司法调查。


券商纷纷发布风险提示


“盗号”事件不断发酵之下,各家券商在“吃瓜”之余,也不忘自己的本行工作。有则改之,无则加勉,在风险事件爆发后,无论是否与自家相关,客户风险提示工作做到位总是没错的。


例如,4月12日下午,东兴证券官方微信号即发布风险提示,提醒投资者注意账户安全。


具体来看,东兴证券从四方面提醒投资者提高防范意识。一是对账户进行全面安全检查,及时更新系统及杀毒软件、查杀电脑病毒、修复系统漏洞;二是确认交易软件是从官网下载并保持及时的同步升级,密码设置需满足必要的强度要求且定期更换;三是不要使用他人手机登录账户,不要在网吧等公共区域联网进行交易,注意WiFi安全;四是防范虚假客服、虚假咨询机构,谨防上当受骗。


从推送频率来看,东兴证券官方微信号上一次推送还是在3月24日,在此时提醒投资者注意账户安全,无疑与此次同花顺传出“盗号”风波相关。


4月13日,华福证券也在官方公众号上进行推送,提醒客户妥善保管账号和密码,并推荐下载自家的官方交易软件。此外,华福证券还对大量诈骗“套路”进行提醒并附以温馨提示,请投资者提高安全防范意识。


事实上,在此次风波之下,已有多家券商做出反应。例如,财通证券相关负责人向券商中国记者介绍,财通证券目前已采用动态验证码、动态口令等方式确保客户账户安全,并将进一步加强系统安全措施。近期,财通证券还将提醒投资者加强防范意识,呼吁用户加强防范意识,包括建议设置强密码、定期更改密码等,将账户安全落实到实处。


此外,湘财证券网金部门负责人也表示,公司在第一时间组织IT、经纪、客服、网金多部门联动,多聚并措,建立有效的信息交流、共享和反馈机制,实现从技术到服务多重对于客户风险进行严格管理。


该负责人称,湘财证券将加强前端审查,对平台相关内容及数据进行风险排查及安全监控,充分提示风险;从总部层面统一提醒话术,引导分支机构做相应的风险提示。湘财证券将通过官方渠道,引导客户通过官方渠道使用湘财交易软件进行交易,注意防范虚假客服、虚假咨询机构,保护好账户安全。


不过,也有券商网点表示,在事件尚未明晰的情况下,且同花顺已进行官方辟谣,暂时不考虑进行风险提示。


“从安全性的角度考虑,还是肯定还是使用证券公司自行开发的APP比较安全。”中部一家券商技术人士表示,即便是普通的6位密码,在用户输入后也是加密后再输送给后台,并以加密的密文词沉下来。从券商手机端APP到后台服务器这条通道是全程加密的,从外部很难破解。


而通过同花顺终端进行下单,在系统中保存资金账号及密码后,相应数据也留在其服务器中。同花顺通过交易前置终端与不同的券商进行直连。“任何一个人登陆同花顺,都可以实现下单,这样还是有一定的安全隐患。”上述券商技术人士说。


同花顺:网络谣言与事实不符


同样作为A股上市公司,同花顺近期在深交所互动易平台上已被大量投资者“围追堵截”。


对于此次风波,同花顺也给出了自己的解释:部分投资者安全防范意识不够导致资金账户、密码泄露。其认为,部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公司的交易账号和密码,导致盗买盗卖的发生。


同花顺表示,防范证券犯罪,是证券行业共同面临的挑战。如果客户确信不是自己操作从而发生盗买盗卖情况下,建议立即报警。同花顺将联合券商提供充分的帮助。必要时,同花顺可以提供法律援助。


另外,此前被大量客户所诟病的“贩卖个人信息”问题,同花顺官微也借此次风波之际做出解释。其称,经核实后类似的推销电话99%以上是冒充同花顺公司的,并提醒投资者注意,凡是陌生人要求客户加群推荐股票的,一般都是诈骗电话。从内容上看,仍是对此次“盗号”事件的呼应。


值得注意的是,同花顺在声明中强调,“本次事件发酵的背后,有些机构和单位在幕后推动”。同花顺呼吁,证券行业携手应对共同打击证券违法犯罪行为,而不应再煽风点火,甚至无中生有协助不法分子转移视线。


“幕后推动”者是谁?对此同花顺方面并未过多解读。业内人士称,不过可想而知,其竞争对手与不再合作的机构或许当属之列。


调取同花顺的委托下单界面来看,当前可选择券商多达70余家,中信证券、国泰君安、申万宏源、中信建投等大型券商均在列,一众中小券商更是鲜有“掉队”。


不过,上述可添加券商未必是当前与同花顺展开合作的所有券商。有券商技术人士介绍,有不少券商已经选择撤掉与同花顺之间的直连。“一方面是考虑安全性的问题,另外也是与同花顺的佣金分成问题,感觉最后也没赚到多少钱。”


根据同花顺2019年年报披露的风险提示,其现有的金融信息服务必须基于互联网提供,因此必须确保相关计算机系统和数据的安全。然而,设备故障、软件漏洞、网络攻击以及自然灾害等因素客观存在。上述风险一旦发生,客户将无法及时享受公司的增值服务,严重时可能造成业务中断,从而影响声誉和经营业绩,甚至引起法律诉讼。


在应对方面,同花顺表示,其建立了安全完善的服务器系统和数据存储保障制度,设立了灾难备份中心,以确保系统和数据的稳定和安全。不过,同花顺也坦言,“在当前网络环境下,任何一个IT系统都可能面临安全问题”。


除了H5页面的方式外,同花顺与券商大多采用交易直连的模式进行合作。券商中国记者获悉,有同花顺销售人员在向券商谈合作时,以头部券商的参与模式作为案例推介,并宣称“没有任何风险,客户转化率都很高”。


而对于此次同花顺风波,俨然已经成了不少券商“召回”客户的重要契机。有不少经纪业务人员借机推销自家券商APP,“不和同花顺合作”反而成了卖点之一。


爱恨交加的第三方


即便是在同花顺“义正言辞”之下,此次“盗号”风波仍给其公司形象和品牌口碑造成了一定影响。而对于证券行业与同花顺之间的爱恨情仇,也在近期被不断重新复盘。


回顾证券行业的草莽江湖年代,同花顺凭借强大的资讯和功能优势,在股民中“圈粉”无数。彼时,在券商还处于“佣金战”、“客户战”、“流量战”的混战当中,争取网络流量成了不少券商的首选。


长期以来,除了资讯等服务外,各家券商与同花顺的合作多是追求其带来的流量资源。对于同花顺、雪球等依靠资讯、服务起家的互联网金融服务企业来说,无论是内容服务还是咨询,都难以提供稳定的营收,通过推荐开户赚取佣金则成了顺理成章的选择。


对中小券商来说,引流获客的成本本来就不低,且自己做效果也不一定好。在自身技术实力微薄之下,依靠用户流量具有绝对优势的第三方也在情理之中。“依靠同花顺等交易软件获得流量也是没办法的事情,即便佣金分成较高,也总比一无所有要强。”然而,与第三方的合作势必是一把双刃剑。一旦客户形成使用同花顺APP的习惯,券商自家APP就更难吸引客户回归,这对中小券商来说尤甚。


早在2015年配资引发市场异动之时,监管部门已开始出手规范券商与第三方平台的业务边界。有大型券商曾表示,监管部门要求其通过自身运营管理的信息系统直接接收客户交易指令,因此关闭了第三方入口。


2015年6月,证监会曾发布《证券公司外部接入信息系统评估认证规范》。证券公司使用外部接入信息系统,证券交易指令必须在证券公司自主控制的系统内全程处理,即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行,其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。


此后,在2019年6月施行的《证券基金经营机构信息技术管理办法》中,监管对此进一步明确:除法律法规及证监会另有规定外,证券基金经营机构应当通过自身运营管理的信息系统直接接收客户交易指令,并记录客户交易指令接收时间。


当然,除了系统账户安全等方面的考虑,2017年年中,同花顺被曝出在券商中“倒卖”客户事件,向高佣金客户建议到其他低佣金券商开户,并附带开户跳转链接。这也是部分券商选择与同花顺停止合作的理由之一。


在与第三方的“相爱相杀”之际,多家大型券商早就预料到,与同花顺的开户导流合作非长久之计,客户资料和交易信息都经过同花顺,一旦留痕是可以作为信息“倒卖”的。在业内,海通证券和华泰证券两家拒不接入同花顺已是“名声在外”。有知情人士称,“此前不接入同花顺是劣势,这次反而变成了优势”。


以海通证券自主研发的“e海通财”为例,据2019年年报显示,其APP 用户超过3200万,月均平台活跃数超过350万,海通证券非现场业务量占比达到99.4%。另外,e海通财的子交易系统投资软件e海方舟推出括闪电交易、套利交易、组合交易、策略算法等服务功能,报告期内月均交易量同比增加1.4倍、月均客户资产同比增加1.9倍。


近年来,各家券商发力信息技术投入的趋势相当明显。就目前上市券商披露情况来看,华泰证券、国泰君安两家的信息技术投入分别为14.25亿元、11.17亿元,领跑全行业。此外,广发证券(8.05亿元)、海通证券(7.8亿元)、国信证券(6.96亿元)、招商证券(6.53亿元)、中信建投(6.06亿元)、东方证券(5.86亿元)、申万宏源(5.63亿元)7家的投入也超过5亿元。与2018年情况相比,增幅相当明显。


在此次“盗号”风波之下,业内关于同花顺等第三方的讨论也更加深入,相关管理办法呼之欲出。在风险责任厘清后,投资者利益也将得到更好的保护。


一天暴跌24%,这只基金发生了什么?债基突然集体分红,年内累计"撒钱"300亿,违约风险正在抬升?


世纪协议达成!史上最大规模减产,原油"三国杀"握手言和?特朗普、普京和沙特王储再次通话,油价稳了?


大超预期!3月社融增超5万亿,M2增速飙至10.1%!央行重磅发声,不存在流动性淤积,传导效率高于美联储


刚刚,董明珠豪迈出手!首次抛出60亿大回购,她嗅到了什么?格力万科都在买股票,背后藏何玄机?


原油"跌"上热搜!银行原油业务热到烫手,工行产品也被买爆!广告已深入居民小区,真是抄底机会吗?


银行又涨薪了!平安去年人均工资48万夺冠,招行第二,光大员工一年比平安少拿20万!19家银行还减员4000人