关于加强证券公司网上交易安全的思考厦门证监局黄耀杰编者按：近年来，我国证券市场取得了突飞猛进的发展，证券交易量、投资者数量成倍增长。

与此同时，证券交易方式发生重大变化，非现场交易，尤其是网上交易的比重越来越高。

增强证券公司网上交易安全防范能力，已是当务之急。

近期，厦门证监局协助地方公安部门成功破获一起发生在厦门地区的证券投资者网上交易账户被盗案件，该案折射出证券行业在网上交易安全方面的漏洞和问题，值得深思。

一、基本案情2009年7月16日上午11时，厦门辖区某证券营业部接到客户黄某反映，其账户的交易密码被他人修改，无法登录交易系统。

该营业部立即向我局和其公司总部报告。

经其公司总部排查，发现该账户于2009年7月16日被盗用，主要操作为卖出原有股票，集中买入某股票，合计金额达317万元，发起上述网上交易操作的IP地址位于福建省厦门市，同时也确定了盗用客户端的主机MAC地址。

在我局的积极协调下，厦门市公安局网安支队受理了客户报案。

2009年7月30日15时许，厦门市公安局网安支队在厦门嘉禾路某大厦1905室成功抓获犯罪嫌疑人刘某（男，1985年生，福建泉州华安人）和吴某A（男，1986年生，福建泉州安溪人），并当场缴获作案用的4台笔记本、5部手机、大量的银行卡和各种无线上网设备等，另有一名犯罪嫌疑人吴某B 也于2009年11月在外地抓获。

经审查，该伙犯罪嫌疑人自今年6月起在厦门市流窜作案，盗用他人无线局域网上网信号进行上网，先后获取了3000多个网上证券交易账户的账号和密码，涉及到2家证券公司。

2009年7月16日后，该伙犯罪嫌疑人选择上述所掌握账户中较大资产量的23个账户进行股票盗卖盗买操作，累计涉案金额达3100万元。

公安部门对在现场缴获的某块电脑硬盘进行数据恢复后发现，该电脑硬盘上安装有国内40多家证券公司的网上交易客户端程序。

二、主要作案手段从调查情况看，犯罪嫌疑人的文化程度和作案手法均出乎原先的猜测。

该伙犯罪嫌疑人主要人员刘某仅小学文化程度，其在玩网络游戏外挂程序时受到启发，利用网上流行的自动重复操作和验证码识别程序，对证券公司网上交易系统客户端程序进行外挂，使用固定密码，对账号进行尝试。

其主要作案手段大致分为两步如下：第一步获取证券公司网上交易系统账号。

通过互联网搜索、加入证券公司或其从业人员开设的QQ群、访问股票吧等途径，获取到各证券公司客户账号设置规则，此类账号均为数字且连续编排。

然后在Excel下进行编辑，利用其自动增量填写数字功能，顺序生成大量账号；第二步使用固定密码进行批量账号尝试。

启动多个特定证券公司网上交易程序登录窗口，并在电脑屏幕上以4*3或其他矩阵方式平铺，利用自动重复操作程序预先录制好的输入动作，从生成的账号表中逐个复制到登录窗口，输入特定的密码，进行账号和密码验证尝试；对于需要输入验证码才能登录的网上交易程序，则使用验证码识别程序对特定屏幕区域登录窗口进行识别后，由自动重复操作程序预先录制好的输入动作进行自动识别和回填；利用自动重复操作程序预先录制好的动作，对通过验证的账户，将账户信息复制到已打开的文本文件中进行保存。

三、存在问题以上作案手法并不需要专业的黑客破解分析工具，也不需要专门的编程实现，犯罪嫌疑人仅仅利用互联网常见的一些程序资源，加上一些创造性的运用，就在很短的时间内成功获取了多家证券公司多达3000多个网上证券交易账户的账号和密码。

通过对该案的分析，我们不难发现，当前证券公司网上交易安全存在一定缺陷。

（一）相当部分投资者网上交易安全意识淡薄，“弱密码”问题突出目前，网上交易已成为投资者进行证券投资的重要方式，厦门地区投资者网上交易金额比重更是超过了80％。

然而，部分投资者网上交易安全意识淡薄，贪图方便，设置的交易密码过于简单。

此类容易被破译的密码俗称“弱密码”，下面是某机构对50万个密码的前20个常用密码的统计排名：密码明文重复数百分比密码明文重复数百分比1 123456 12269 2.4538%11123321 448 0.0896%2 111111 2828 0.5656%1212345678 381 0.0762%3 1234567892754 0.5508%13654321 375 0.0750%4 000000 2246 0.4492%141314520 326 0.0652%5 5201314 942 0.1884%151234567890270 0.0540%6 123123 731 0.1462%16521521 240 0.0480%7 7758521 706 0.1412%17123654 235 0.0470%8 1234567 655 0.1310%18woaini 224 0.0448%9 666666 571 0.1142%19iloveyou 219 0.0438%0.0434%10 5211314 566 0.1132%20888888 217上述常用密码排名，实际上也反映出公众设置密码的普遍思路：1)数字密码。

用得最多的是两个：123与123456。

绝大多数人喜欢记有顺序的数字，日常生活中的银行ATM密码、小区门禁及其它多种涉密物件的密码均常用6位数字，这可以说是普遍现象；2)生日密码。

生日密码实质也是6位数字密码形式，但很多人觉得位数太少，往往还会在前面加上“19”；3)字母密码。

90%以上的人是喜欢用小写字母，如qwerty（键盘左上角的连续字母）、 abc123、“woaini（我爱你）”、“iloveyou（我爱你）”、“woaiwojia（我爱我家）”等；4)有意义的数字。

如520、530、110、119、5201314、1314520、“521521（我爱你我爱你）”、“5201314 （我爱你一生一世）”、“7758521（亲亲我吧我爱你）”、“1314520 （一生一世我爱你）”、“1314521 （一生一世我爱你）”、“520520（我爱你我爱你）”、“201314（爱你一生一世）”、“211314（爱你一生一世）”、“7758258（亲亲我吧爱我吧）”等；5)电话号码或者手机号码。

6)网络电脑常用英语。

如：windows、password。

此外，另有相当部分的投资者密码设置虽达到一定强度，但长期未进行修改，仍然存在被不法分子破译和窃取的可能。

该案犯罪嫌疑人正是抓住了公众在设置各类密码中倾向于选择容易记忆、幸运数字的特点，选择使用频率较高的密码，对连续账号进行尝试，从而在很短的时间内就掌握了大量网上证券交易账户的账号和密码，并进而控制客户账户进行盗买盗卖，获取非法利益。

(二)证券公司网上交易安全监控存在漏洞该案中，犯罪嫌疑人为了提高密码破解效率，利用了破解网络游戏账户常用的自动重复操作程序，通过网上证券交易系统客户端进行自动化的登录尝试。

由于这类登录尝试采取的是固定密码、变换账号的策略，此类登录尝试过程将在网上证券交易系统前端日志上集中留下大量使用同一MAC地址和IP地址但账号不同的登录记录，这些记录绝大部分应是登录失败类型的异常记录。

目前，国内部分证券公司网上证券交易系统对客户端异常登录行为已采取了相应的监控措施，对同一MAC地址和IP地址、账号不同的登录动作进行累计，在短时间内出现一定次数的登录失败操作后，将暂时拒绝接受该MAC地址或IP地址的登录尝试。

然而，另一部分证券公司对网上交易的安全防护措施则不尽如人意。

以该案涉及的证券公司为例，其网上证券交易系统既未实现异常登录预警功能，及时拒绝嫌疑人对投资者账户的登录；也未能及时对有关系统日志进行分析，从日志分析中发现异常登录的端倪。

这就为犯罪嫌疑人长时间实施密码尝试行为提供了可乘之机。

四、防范对策（一）切实加强投资者网上交易安全教育投资者设置“弱密码”的问题，反映出目前证券经营机构的投资者教育工作还存在形式单一、深度广度不够、实效有限等方面的问题。

各证券经营机构应从保护投资者合法权益，维护证券市场安全稳定运行的高度出发，持之以恒地通过张贴宣传海报、电话通知、手机短信提示、交易端口提示、在现场交易电脑上粘贴提示小纸条等措施，切实强化网上交易投资者的安全意识教育，提示客户加强账号、密码的保护，不使用弱密码，定期修改密码，输入密码时防止他人偷看，不对他人泄露密码。

（二）改进网上交易安全技术应对机制1、改进网上交易系统客户端密码保护措施。

目前，证券公司网上交易系统客户端大多采取交易密码、通讯密码和验证码等单因素方式进行身份认证，虽有少数证券公司采用密码+USB Key 或口令卡等双因素认证方式，但因处于推广初期，普及程度较低，使用成本和效率也需要改善。

短期内，应重点考虑增强软件客户端登录界面防木马、外挂程序能力，如：针对客户端登录界面的账号、密码等输入控件，建议增强防止木马截获键盘输入或外挂木马模仿键盘输入功能。

2、采用技术手段防止“弱密码”的产生。

该案涉及的证券营业部在2009年4月曾开展弱密码排查，并多次提示相关客户修改密码，但依然有不少客户迟迟未修改密码，上述的受害人黄某即为其中之一。

从保护客户资产安全的社会责任出发，证券经营机构在尽到风险揭示义务的同时，还应积极采取技术手段，切实防止“弱密码”的产生。

一是加强对客户密码设置的排查，及时发现存量客户设置的弱密码。

目前，尽管各证券公司的交易系统客户密码是密文形式存放，密码的加密算法不可逆，但可以通过交易系统后台数据库对客户密码密文数据进行分组统计，寻找其规律。

例如，可以将密文重复次数明显高于平均水平的账户初步认定为弱密码账户，从而锁定弱密码客户，提高风险提示的针对性和及时性。

二是在密码设置界面设置审核端口，主动向客户提示“弱密码”风险。

建立密码强度分析机制，对客户采用弱密码登录或者修改密码时采用弱密码的，主动进行风险提示，拒绝接受弱密码并强制客户修改弱密码；同时在密码设置界面指导客户进行密码设置，确保新密码具备较高的安全系数。

3、充分发挥网上交易异常监控系统的监控作用随着信息技术的日新月异，不法分子进行互联网犯罪的方式和花样也不断翻新。

为此，在采取各种防范措施的同时，应加强异常交易监控，确保在第一时间发现账户被盗线索，将影响和损失减少到最低限度。

一是将接入服务器端监控纳入异常交易监控体系。

目前，证券公司异常交易监控系统主要针对集中交易系统后台数据库中的异常交易记录，对网上交易系统前端异常登录、密码试探等行为未实施监控；而网上交易系统接入服务器多按地域布局，布局分散难以实现集中、实时的接入端异常监控。

证券公司有必要加快网上交易异常监控系统建设，加强对接入服务器异常访问的实时监测和日志分析，提高网上交易系统安全防护能力。

二是发现可疑交易信息及时向客户核实确认。