殭屍網路撞庫攻擊 6券商慘「被下單」 客戶生日當密碼成關鍵

國內券商首樁駭客入侵「1125密碼撞庫攻擊」資安事件，爆發至今已近三周，災情最大的元大證券當日即暫停「行動精靈」App的海外複委託電子下單，迄今尚未恢復。據了解，此次通報券商達6家、期貨商1家，「被下單」買港股100多件，災情損失約2千萬元，其中以元大證券的災情最大。

根據趨勢科技綜合國際研究分析，金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 （Credential Stuffing）攻擊，是一項利用殭屍網路（botnet）以自動化方式，不斷使用偷來的登錄憑證試圖登錄網路服務的一種攻擊技巧。

這項手法使用大量外流的電子郵件地址和密碼，再搭配自動化腳本，以疲勞轟炸的方式不斷試圖登錄網路服務，直到某一組帳號密碼成功為止。

▼元大證券、凱基證券等在今年11月，遭到駭客以常見的「密碼撞庫攻擊」手法，冒名客戶下單買港股的資安事件，引爆各界關注。（圖／CTWANT合成）

CTWANT調查，11月25日下午3時許，元大證券、統一證券察覺到客戶的海外複委託下單，出現購買港股「深藍科技控股」的異常案件，即開始主動全面清查帳戶。

元大證券當天發出公告，緊急暫停受到駭客攻擊的「行動精靈」App的複委託電子下單，改為人工電話下單；統一證券則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能，改為人工下單。

▼金管會、證交所、期交所等要求業者全面清查下單憑證的安全度，並請民眾勿用「身分證、生日」當帳號、密碼。圖為金管會主委黃天牧。（圖／黃鵬杰攝）

隔天上午，KGI凱基證券也和元大證、統一證通報有出現類似的複委託電子下單在同一個港股「深藍科技控股」異常案件，第一時間先鎖住不正常登入以保護客人帳號，阻擋攻擊來源，並通知客戶變更密碼，同時在交易憑證申請上，採取人工加強驗證等措施。

同一時間，國泰證券、富邦證券、台新證券也察覺內部異常，但未出現冒名客戶複委託帳戶的成功下單案；元大證、統一證及KGI凱基證券則清查出下單案件，為此次資安事件中的受災券商。

CTWANT記者進一步了解，其實國內證券期貨商遭駭客「密碼撞庫攻擊」手法，在去年初即有一波，但未被攻擊成功；三周前，即有證券商陸續向主管機關通報，出現「密碼撞庫攻擊」的駭客資安示警狀況。

金管會、證交所官員表示，所謂的「密碼撞庫攻擊」是駭客利用網路、App上民眾外漏的帳號、密碼，以此登錄到券商網路下單系統，冒用客戶身分做金融交易，其他常見駭客攻擊手法還有分散式阻斷服務攻擊（DDoS）、電子郵件社交工程、加密勒索軟體。

▼國內3家券商遭駭客入侵「被下單」的100多件，全都是買港股「深藍科技控股」。（示意圖／unsplash）

據金管會、證交所的清查，國內69家券商中共有49家有提供網路、App下單服務。而這次7家券商及期貨商遭密碼撞庫攻擊，相關主管提出質疑，「只針對單一的港股個股『深藍科技控股』（01950, HKG）下單，駭客動機匪夷所思，似乎非單純資安攻擊，全案正由警方調查中。」

參與許多企業資訊安全控管的專家則分析，「被駭客攻破的是海外複委託買港股的那一端系統，台股下單功能都正常，高度懷疑是台灣連結港股交易的那一段資訊系統有漏洞，這擴及到兩個國家的資訊安全。」

市場即傳出這段期間，疑有「深藍科技控股」大股東賣股，加上正好國內證券商客戶「被駭客下單」承接股票，時間敏感，引起港台媒體大肆報導，港股「深藍科技控股」也在官網聲明，股價買賣波動異常，請投資人注意。

券商趕緊以報錯帳反向沖銷，加上「被下單」後的隔天，港股「深藍科技控股」的股價開盤有在平盤以上，損失差額皆由券商自行吸收，未影響到投資人的權益及財產。

對此一事件，金管會金融資安行動方案和資本市場藍圖規劃，證券暨期貨市場電腦緊急應變支援小組（SF-CERT）11月底正式成立，將24小時全天候協助證券期貨業者應變資安事件，已將「1125密碼撞庫攻擊」列為研究指標案例。

延伸閱讀

• 元大落難記2／行動精靈App複委託出事　「看盤一哥」邱老大喊冤：不關我事
• 神氣時代1／三接變數多IPP成當紅炸子雞　正崴郭台強入股中佳搶綠電
• 比特犬咬死3歲童面臨「人道毀滅」　女星不捨：殺人都不見得判死刑

（封面示意圖／unsplash）

★【理財達人秀】AI大反彈 台股2萬能守住? 設備慶祝 營建有ETF買盤★