銅墻鐵壁，打造股票交易防火墻

情形1：賬號被黑客拖庫或撞庫獲取

拖庫指的是攻擊者通過廠商服務端的漏洞，訪問到數據庫，批量地下載獲取數據庫中的信息，從而通過該方法獲取到注冊用戶的賬戶和密碼等信息。不過現在券商的安全防護措施都做得不錯，黑客從券商服務器直接下載到用戶數據的可能性并不大。

根據安全人士的分析，這次大量用戶的股票賬戶信息泄露的原因，最大可能是撞庫，撞庫是利用以往從其他渠道泄露的大批量用戶名和密碼信息，然后去嘗試登錄其他目標廠商的服務，如果用戶的多個網絡賬戶的用戶名、密碼相同，就很容易被成功撞庫（圖1）。

撞庫流程示意圖

現在很多網絡活動都需要注冊賬戶、密碼，比如論壇、博客、APP的使用等。為了方便記憶，相當一部分朋友都會使用相同的用戶名和密碼，這就為股票賬戶的泄露埋下安全隱患。比如張三在使用某APP時使用的是自己手機號碼注冊，并且密碼設置為和股票賬戶相同。這樣黑客如果對某APP拖庫（一些第三方小服務商數據庫被黑客入侵的事情已屢見不鮮），或者通過其他非法手段獲得用戶數據（比如從各種黑產手上購買），那么黑客就可以知道張三的手機號碼和常見賬戶的密碼。當然黑客還會通過張三的微信朋友圈、博客或微博等信息，獲取用戶的開戶券商等信息，比如很多朋友喜歡在自己的朋友圈或微博曬交易單，這很容易導致開戶券商信息泄露，如圖2的截圖中通過APP圖標可以知道是興業證券客戶，并且獲得用戶資金賬號部分數據。

通過曬單查看用戶券商信息開啟生物特征登錄

這樣黑客們在得到這些信息后，就會借助密碼詞典對用戶的資金賬號進行猜解，然后用獲得的其他網絡賬號的密碼嘗試登錄，如果用戶的股票賬戶+密碼和其他APP的相同，就極可能造成股票賬戶被入侵了。

華為手機截圖中的馬賽克工具

小提示：很多幾年前開戶的用戶，資金賬戶大多只有5位數字，這更容易被猜解，建議及時到券商升級賬號。

●防范措施

撞庫是由于用戶在多個網絡工具中使用相同的密碼造成的，因此平時要養成為不同工具平臺設置不同密碼的習慣，并且為股票賬戶登錄設置足夠復雜的密碼，同時建議定期更換密碼（如三個月一換）。大部分券商交易密碼都只支持6位數字，千萬不要用自己的出生年月日作為密碼，也不要用連續的數字和電話號碼作為密碼。可以使用自己設定的規則數字組合成密碼，如六位數密碼，生日取兩位數，當今的年份取兩位，自己今年多大取兩位，這樣好記安全性也高。此外資金賬戶登錄密碼、銀證轉賬密碼不要設置為相同的。另外現在手機大多支持指紋登錄，建議在APP設置中開啟此功能，比如興業證券用戶，進入“我的→生物特征認證登錄”，在打開的窗口開啟“生物特征認證登錄”，這樣可以直接使用指紋登錄賬戶，省去記憶密碼的麻煩（圖3）。

另外開戶券商和資金賬號泄露，主要是由于用戶截圖時沒有隱藏隱私信息導致的，平時在朋友圈、微博曬圖前，一定要將隱私信息遮蓋。比如電腦用戶可以使用QQ截圖，截圖完成后點擊下方工具欄的馬賽克圖標，將隱私信息進行馬賽克處理后再曬圖，也可以直接利用畫圖工具的橡皮擦進行擦除處理（圖4）。

如果是手機用戶的話，很多手機自帶的截圖軟件也可以進行類似處理，比如華為手機用戶完成截圖后，點擊“編輯”進入就可以使用馬賽克工具處理屏幕截圖（圖5）。

情形2：被誘導泄露股票賬號和密碼

現在網上有各種形形色色的炒股騙局，比如很多股民被拉入某股票群，聽信所謂推薦牛股、炒股分成的誘惑，將自己的股票賬號、密碼告訴所謂操盤手，最終導致資金損失。一些朋友則在手機上不小心點擊偽基站發出的短信，誤填信息，或者在電腦上瀏覽釣魚網站導致自己賬號密碼的泄露。

查看正規官網

●防范措施

對于網上的各種炒股騙局，大家一定要提高警惕，任何所謂推薦股票合作分紅都不要相信，不要輕易向陌生人提供自己的股票賬號和密碼。對于偽基站短信，手機用戶盡量不要點擊短信鏈接訪問網頁，比如即使收到顯示為券商服務號的短信要求我們進行密碼更改等操作，也建議在手機瀏覽器中訪問券商主頁，現在券商網址都是用HTTPS加密協議，在百度搜索主頁時一定要注意查看。比如華為手機用戶在使用手機內置的瀏覽器百度搜索時，正規券商的網址后會添加“綠色”官網標記，這類網址才是正規主頁，用戶最好訪問券商官網主頁進行相應的操作（圖6）。

對于電腦用戶，很多瀏覽器都自帶有防釣魚功能。比如QQ瀏覽器用戶，只要訪問的是正規券商官網主頁，地址欄都會顯示一個綠色的認證標記，展開后可以看到認證公司，一般就是對應的券商名稱，只有這種網站才是正規官網，否則請不要訪問（圖7）。

查看網站歸屬

情形3：黑客、木馬入侵導致信息泄露

現在網上病毒橫行，無論是手機還是電腦用戶，在瀏覽網絡或安裝應用時，都很容易被暗地里裝上各種病毒木馬，這些病毒木馬會在設備后臺運行，目的之一就是竊取股票賬號和密碼，因此在日常使用股票交易軟件時要做好安全防范。

●防范措施

比如手機用戶，可以將交易軟件加入支付安全保護中心，以華為手機為例，在“設置”窗口輸入“支付安全保護中心”，再進行搜索，啟動該組件后，在保護列表將交易APP保護模式開啟即可（圖8）。360手機衛士、騰訊手機管家等安全軟件也有類似的設置，大家只要在安全軟件中開啟支付保護，這樣在手機上交易的時候就可以很好地保護股票賬戶的安全。

開啟交易軟件支付安全保護中心

查看安全性概覽

電腦用戶可以通過各種安全軟件進行保護，比如Windows 10用戶使用系統自帶的Windows Defender，就可以很好避免木馬病毒入侵，只要打開安全中心的設置，進入“安全性概覽”，確保這里的選項全部開啟（圖9）。以后注意及時安裝系統補丁和升級病毒庫，這樣就可以很好保護股票交易軟件的安全了。

情形4：異地登錄/非授權設備登錄造成泄露

很多股民的損失都是在異地設備登錄或在非授權設備上登錄造成的，比如這次鬧得沸沸揚揚的股票信息泄露事件，黑客竊取的用戶賬戶IP地址均為在廣東的設備登錄過的。

●防范措施

如果懷疑自己的賬戶信息泄密，可以通過查看賬戶登錄IP地址來進行查證。比如對于光大證券用戶的電腦端操作（手機光大證券APP用戶默認也會顯示同樣的信息），每次進行股票交易的時候，軟件都會彈出最近的上一次登錄的IP或手機號碼，以及網卡MAC地址（圖10）。

光大證券顯示登錄信息

小提示：如果你的券商交易軟件沒有顯示這些信息，大家也可以打電話給自己的開戶券商，讓客服幫助你在服務器上查詢這些信息，或者轉到支持顯示這些信息的券商開戶交易。

大家可以根據這些信息，查詢自己的股票賬戶是否存在異地登錄風險。比如IP對應的地址可以打開https：//www.ip138.com/（電腦端和手機端瀏覽器均可以直接訪問），按提示輸入IP地址就可以查詢到它對應的城市地址了，如果發現地址不對就需要注意了（圖11）。一些軟件會顯示登錄手機號，同樣可以在這個網站查詢手機號的歸屬地。

查詢IP地址對應城市

對于電腦端用戶，如果要查詢MAC地址的話，可以啟動命令提示符，輸入ipconfig/all命令，在打開窗口的網卡選項下面，顯示的物理地址信息就是MAC地址，它是網卡硬件的標志（可以表明聯網的是哪一臺電腦）。如果交易軟件顯示的MAC地址和自己電腦上顯示的不一致，那么就說明你的交易軟件在其他電腦（或手機設備）上登錄過了（圖12）。

查看電腦網卡的MAC地址

手機端用戶也可以查看自己的MAC地址，以華為手機為例，依次進入“設置→關于手機→狀態消息”，在打開的窗口中，“WLANMAC地址”顯示的就是手機無線網卡的MAC地址信息，大家可以將這個信息和APP顯示的核對（圖13）。

查看手機的MAC地址

注意，對于常在電腦、平板、手機上交易的用戶，在核查MAC地址時還需要對這些設備的地址信息也進行交叉核對。

為了保證交易設備的安全，很多券商還支持對登錄設備進行綁定，這樣可以有效阻止非授權設備登錄。比如中原證券的電腦端用戶，在交易委托界面點擊“用戶綁定”，在打開的窗口按照屏幕的提示完成當前電腦的綁定即可（最多可以綁定5臺），這樣你的賬戶就無法在非授權的電腦上登錄交易了，可有效避免賬戶泄露后異地交易帶來的損失（圖14）。

用戶綁定

手機端也有很多券商的APP有類似功能，比如興業證券的用戶，登錄股票賬戶后，點擊上方的用戶賬戶（不是股票賬戶）進入賬號管理，點擊“認證中心→授權登錄設備→登錄授權和已激活設備管理”，接著在打開的窗口就可以查看到授權登錄的設備。如果有不是自己登錄的設備，表明賬號已經泄露，按提示將非授權設備刪除并及時更改密碼即可（圖15）。

查看授權設備

交易軟件的其他安全設置

除了上述防范措施外，針對交易軟件的一些安全選項，也需要用戶進行設置以保護交易安全。

1.取消記住賬號+密碼和自動登錄功能

很多交易軟件在登錄時有記住賬號+密碼和自動登錄功能，這些功能雖然方便，但是極易帶來安全隱患，如自己電腦或手機被黑客遠程控制后，這樣攻擊者就不需要找資金賬號和密碼，直接就可以進入用戶的賬戶進行操作。如東興證券手機用戶可以在登錄界面點擊安全設置，勾選“不記住賬號”，這樣每次登錄都需要手動輸入資金賬號（圖16）。

取消記住賬號功能

小提示：很多手機本身也有記住密碼功能，這個功能大家也要謹慎使用。

2.設置合適的在線時間

為了方便用戶交易，很多交易軟件都有設置一定時間在線的功能，這個功能會讓其他接觸該設備的外人不需要輸入密碼直接進入賬戶。大家要根據自己實際情況設置合適的時間，比如對于電腦端東方財富證券的用戶，可以在交易設置里選擇鎖屏時間是5分鐘（圖17）。

在線時間設置

3.使用多重驗證登錄

為了更好保護賬戶安全，現在很多券商都支持添加多重驗證，比如興業證券手機用戶，在登錄界面可以在認證類型選擇“動態口令”來登錄，這樣每次登錄口令都是不同的，可以很好保護賬戶的登錄安全（圖18）。此外很多券商還支持手機驗證碼登錄、證書登錄等，大家可以根據自己的情況加以選擇。

興業證券的登錄認證選擇

綜合防范才能有效保護交易賬戶的安全

現在網絡安全形勢日益嚴峻，很多朋友在日常交易時已經保持足夠高的警惕性，不過安全防范需要全面性的防范措施。很多時候自己的信息被泄露是由于多種安全隱患綜合導致的，比如在朋友圈曬圖時不小心泄露自己的資金賬號;股票賬戶綁定的第三方存管銀行則和某個游戲充值平臺相同，導致游戲平臺拖庫后泄露自己的銀行存管賬戶;股票交易密碼則是電腦中木馬后被黑客竊取。這樣一系列的信息泄露后，就給黑客們以可乘之機，不僅自己的賬戶會被他們用于接盤高位股票，銀證轉出的資金也可能被轉移到黑客的賬戶上，最終造成難以估量的損失。因此在日常操作中一定要進行綜合防范。