重要聲明
近期發現大量假冒帳號及個人網誌,有的甚至刻意製造近千名假追蹤者,足以混淆視聽。在此鄭重聲明,「單親爸爸撞牆記-懶系投資法」於Facebook上只有一個官方專頁(https://www.facebook.com/chaseinwind),僅供追蹤,不能加朋友。凡使用相同或近似名稱、頭像的個人帳號或個人網誌,一概與本人無關,敬請留意,以免受騙。
正文
最近,香港發生了一宗震驚社會的盈透證券(Interactive Brokers,IB)帳戶被盜案件。受害者楊女士為一名年近七旬、擁有碩士學位的退休地產界高層,其畢生積累的財富,在短短幾小時內遭到駭客洗劫一空(詳情請參閱此處)。
此事在留言區引起了不少討論,也收到不少會員的私訊,詢問我意見,說法愈來愈誇張。參考其中一位會員的說法:「IB容許客戶在做足安全防護的情況下,隨便讓騙徒拿走戶口的所有金錢!」
眼見恐慌情緒如此高漲,沒辦法,作為一名過氣的「IT狗」,我只好從自己的角度和認知,將這宗案件背後的技術路徑、資金轉移手法和真正風險,一次過拆開來講清楚。
請注意,文長慎入,且夾雜不少技術專業詞語,不易入口。
案件簡介
根據報導,此案件發生於2025年12月中旬,作案時間的選擇顯然具有極高的針對性。當時,楊女士與本身具備IT專業背景的丈夫一同搭乘從香港飛往哈爾濱的航班,總航程約為4.5小時。
就在航班途中,駭客成功登入了她的IB帳戶。
駭客精準地利用了這段受害者幾乎與外界網路斷聯的時間窗口,將受害者的多檔股票悉數拋售,轉換成現金,再進行超過30次高風險交易,買入價值110萬美元的「末日期權」來轉移資金。最終,原本擁有近900萬港元的投資戶口只剩下3萬多港元,幾乎清零。
事後券商拒絕承擔賠償責任。根據報導引述,券商主張所有交易均是在「使用了正確的登入名稱及密碼」的情況下進行的,因此客戶必須對此自行承擔責任,建議受害者透過香港金融糾紛調解中心(FDRC)尋求後續調解。香港警方則將此案列為「有犯罪或不誠實意圖而取用電腦」,並由重案組介入調查。
需要補充的是,雖然報導字面上未直接提及雙重認證(Two-Factor Authentication,2FA),但因為IB系統已全面強制所有使用者登入時使用雙重認證,代表該次駭客入侵理論上也必然已通過2FA授權流程。
「末日期權」如何轉移資金?
有些人可能不明白,駭客既然已經控制了高達900萬港元的帳戶,為何不直接將這筆鉅款匯入自己的銀行帳戶中?末日期權又是甚麼鬼東西?為何這種東西可以轉走鉅款?
這要牽涉到現代金融體系底層的安全規則。
在全球金融監管日益嚴格的背景下,所有正規證券經紀商(例如IB)都受到極為嚴格的反洗錢(Anti-Money Laundering,AML)與認識你的客戶(You’re your Customer,KYC)法規約束。系統的底層邏輯是,證券帳戶內的資金提款,通常只能匯出至與該證券帳戶「同名」的綁定銀行帳戶內。
換言之,如果駭客試圖在IB帳戶內新增一個非受害者名下的第三方銀行帳戶,並將數百萬港元一次性匯出,系統理應立即觸發高風險警報,要求極為繁瑣的額外身分驗證,甚至直接由人工介入凍結該筆轉帳。所以,直接「提款」這條路在技術與實務上基本是行不通的。
既然無法直接把錢拿出來,駭客便轉向利用金融市場本身的交易機制,通過類似「洗售交易」(Wash Trading)或對敲交易的變形手法,將看似合法的買賣交易轉變成非法財富轉移工具。
以此案件為例,具體做法大概如下:
駭客鎖定交易量極低的末日期權或當日到期期權(0DTE Options),這類期權通常即將到期,行使價又遠離現價,平日幾乎無人交易,買賣差價極大,掛單很少,容易被人為操控。
駭客在自己控制的帳戶、或犯罪集團控制的傀儡帳戶中,以極不合理的高價掛出這些末日期權的賣單。由於市場上本來沒有多少人交易,這些離譜賣單很可能就成為畫面上顯示的最低賣出價(Ask Price)。
駭客控制楊女士的IB帳戶,將變現後的110萬美元現金,用市價盤或直接對價買入那些天價賣單。交易所系統只會自動撮合買賣,不會判斷這筆交易背後是否合理。
交易完成後,楊女士帳戶花掉110萬美元,得到一堆幾乎沒有價值的期權;另一邊廂,駭客控制的帳戶則成功賣出期權,收到110萬美元現金。數日或當日收市後,期權到期歸零,楊女士帳戶的資產正式蒸發。
這種屬於精密的市場操縱,資金從頭到尾都沒有真正離開交易平台,而是藉由合法的公開市場買賣行為,在兩個帳戶之間完成財富轉移。不僅避開了銀行端的反洗錢提款限制,也讓券商在第一時間較難察覺異常,因為表面上看,這只是一次極其愚蠢、卻又完全符合交易規則的高風險投機行為。
當時楊女士人在商業航班上,處於資訊安全領域的「防護真空期」(Protection Vacuum)。由於受害者無法穩定接收行動網路訊號,自然也難以即時收到任何異常登入和交易的推播通知、或其他任何簡訊警告。
雙重認證(2FA)的迷思和破障
本案最令人費解的地方,是受害者一家本身具備IT專業背景,聲稱平日只使用家用電腦交易,並已安裝專業安全軟體。既然如此,為何被視為現代資訊安全基礎的雙重認證(Two-Factor Authentication,2FA),在此個案中形同虛設?
先簡單說明2FA的原理。
2FA的設計,是要求使用者同時提供兩種不同證據來證明身分,例如「你知道的東西」(帳號密碼),加上「你擁有的東西」(例如綁定手機、動態密碼產生器或硬體金鑰)。
以IB為例,其IB Key認證機制,是使用者在電腦端輸入正確帳號密碼後,系統會向事先綁定的手機發出推播通知,使用者再透過Face ID、Touch ID、指紋辨識或PIN碼核准登入。理論上,只有同時掌握密碼和實體手機所有權限的人,才可以成功登入帳戶。
探討此類案件時,部分媒體或所謂技術專家常會拋出一些似是而非的言論,暗示「木馬程式破解了2FA」。但從底層技術原理來看,說木馬程式可以直接破解指紋或人臉辨識,其實極度不精確,也缺乏常識。
現代智慧型手機(尤其是iOS系統以及較高階的Android設備),其生物辨識資料(指紋或臉部特徵向量)通常會被加密,並隔離儲存在設備內部的「硬體安全隔離區」(Secure Enclave)或「可信賴執行環境」(TEE)中。設備的作業系統本身無法提取這些原始數據,任何第三方的應用程式(包括權限極高的木馬程式)更難以讀取、複製或直接「破解」這些生物特徵數據。
因此,真正常見的攻擊方向通常不是去「破解」你的臉或你的指紋,而是透過系統性漏洞來繞過(Bypass)、劫持(Hijack)或誘導(Induce)整個認證流程 。
如果排除熟人作案或實體手機被人拿走的可能性,駭客要突破2FA,常見方法大概有三種。
第一種,是工作階段劫持(Session Hijacking)或中間人攻擊(AiTM)。簡單來說就是,當使用者成功登入帳戶並通過2FA後,券商系統會在瀏覽器留下登入憑證,也就是所謂的Session Cookie,這東西有點像遊樂園的入場手環,只要手環還有效,之後就不用每一步都重新驗證身分。
駭客可以透過釣魚網站,誘導受害者登入一個外觀與IB官方幾乎一樣的假頁面,當受害者輸入密碼後,駭客的伺服器會即時把資料轉交給真正的IB系統,IB再向受害者手機發出2FA推播。受害者以為自己正在正常登入,便用Face ID或指紋確認。真正的IB核准登入後,Session Cookie在中途被駭客攔截,駭客之後便可利用這個已通過2FA的登入憑證進入帳戶,未必需要再次觸發人臉或指紋認證。
第二種,是利用IB Key的推播確認機制。IB Key為了方便使用者登入,推播通知有時會非常順暢地喚醒IBKR Mobile App,然後很快啟動Face ID或指紋辨識。這種設計提高了使用方便性,卻也帶來風險。
如果駭客已取得帳號密碼,便可不斷發起登入請求,造成所謂的MFA疲勞攻擊。受害者在半夜、忙亂或正在滑手機時,只要一時不察,點開通知並完成生物辨識,等同親手批准了那次登入。
第三種則多見於Android手機,即惡意程式濫用無障礙服務(Accessibility Service)。無障礙服務原本是協助視障人士讀取畫面和操作手機的功能,但若被惡意App取得權限,便可能讀取畫面內容、攔截簡訊驗證碼,甚至在2FA提示跳出時自動替使用者點擊核准。更嚴重時,木馬還可以在畫面上蓋一層假畫面,讓受害者以為App正在載入,實際上背景已在執行交易或轉帳操作。
以此案來說,由於案發時楊女士正在飛機上,處於斷網狀態,後兩種方法與本案情境未必完全吻合。因為那兩種方法一般都需要她即時收到IB Key推播,再用Face ID、指紋或PIN碼確認登入,而這些操作前提是手機仍能保持穩定網路連線。
因此我個人的推測是,駭客可能早在案發前已透過釣魚網站、惡意連結或木馬程式,取得了某種已通過2FA的有效登入狀態,例如Session Cookie、受信任裝置憑證,或類似的已認證連線。等到確認受害者登機,短時間內無法收到警告時,才正式動手。
較合理的劇本是,事主可能在登機前數小時至數分鐘,曾經使用電腦、手機、平板或其他常用裝置登入IB帳戶。當時她正常輸入帳號密碼,也用手機完成雙重認證,但在使用完畢後沒有正式安全登出。
安全登出這點很重要,如果沒有安全登出,該裝置便可能保存一段有效登入狀態,例如Session Cookie,方便使用者在短時間內不用每次重新驗證。
如果該裝置早已感染專門偷取瀏覽器資料的木馬程式,駭客便可能偷走這條已通過2FA的登入憑證。等到事主登上飛機後,駭客才施施然打開自己準備好的瀏覽器,使用工具將事主的Cookie「匯入」到自己的瀏覽器裡。從系統角度看,這可能就像「同一個已認證使用者回來了」,因此未必會再次要求2FA確認。
這過程看似簡單,其實牽涉到瀏覽器指紋(Browser Fingerprint)的完美複製、繞過安全機制的「反偵測瀏覽器」(Anti-detect Browser)、IP位址模擬等等數位環境偽裝工具,此處不贅。
隱藏的真相
再回到這宗案件本身,從技術邏輯推演,這件事大概只有兩種可能。
第一種,是受害者真的遇上了極高階的針對性攻擊。
假設受害者一家所說全部屬實:沒有點擊可疑連結,沒有下載不明App,手機沒有離身,家中電腦亦沒有中毒。在這種前提下,2FA仍然被攻破,那代表駭客不是一般網路騙徒,而是具備極高技術能力和情報蒐集能力的犯罪集團。
那麼,這種攻擊不只是偷密碼那麼簡單了,駭客還要事先知道受害者有龐大資產、使用哪家券商,甚至掌握她的航班時間,然後刻意等她上機後,在她無法即時收訊、無法聯絡券商、也無法登入帳戶自救的時間內動手。若事情真是這樣,對一般人來說幾乎防不勝防,因為這已接近針對個人的高階攻擊。
從資訊安全角度看,這種可能性不能說完全沒有,但機率不高。網路犯罪始終講求成本效益,要動用高階漏洞和大量情報資源的,通常是針對企業、金融機構或特定高價值目標,極少會耗費如此龐大的資源,去針對一名退休高層的個人證券帳戶裡區區幾百萬現金。
第二種,是受害者可能並不知道,或沒有完整說出某些關鍵細節。
人在面臨巨大財產損失時,受自我防衛機制影響,或因對技術細節理解不足,常會導致回憶出現偏差。我認為更大的機率是受害者可能在不知情的情況下,曾被誘導操作,或遺漏了某些看似微不足道、卻足以造成致命後果的操作細節。
例如,受害者可能曾在機場或公共網路環境登入帳戶,被釣魚網站或中間人攻擊攔截登入狀態;也可能電腦或手機早已感染偷取瀏覽器資料的木馬,只是平日完全沒有察覺;又或者在某次匆忙登入、重新驗證或安全提示中,不知不覺把帳號密碼、2FA授權或登入憑證交了出去。
換言之,對於媒體報導中受害者單方面的說法,我們應抱持合理的技術懷疑態度。
無論是遭逢間諜級攻擊,還是源於自身疏漏,一個殘酷的現實是,這世界上並不存在所謂絕對安全的防護機制。
現今的駭客產業已高度自動化、模組化與商業化,近年來,暗網甚至興起了「釣魚即服務」(Phishing-as-a-Service,簡稱PhaaS)的商業模式。
例如Tycoon2FA或Sneaky2FA,都是主流的「釣魚即服務」平台。即使是不具備深厚編程能力的中低階犯罪份子,也能以每月數百美元的成本,租用一整套AiTM攻擊基礎設施。這些套件內建極度逼真的Microsoft、Google或各大金融機構偽造登入頁面,能夠自動攔截2FA憑證、繞過常規安全掃描器,甚至能透過滑鼠移動軌跡,辨識並阻擋資安研究人員的探測機器人。
換言之,能攻破你帳戶的駭客,未必再是甚麼絕頂聰明的天才,他們可能只是購買了強大駭客工具的普通罪犯。
但工具再強,最後往往還是要攻擊人。
在整條資訊安全防線中,最脆弱的一環從來都是人。再強的加密技術、再先進的手機生物辨識,只要使用者在假登入頁面輸入密碼,或在精神不集中時誤按「核准登入」,所有防護都可能瞬間失效。
最容易攻擊到的,並不是你的電腦或手機,而是你的疏忽、焦慮和一時大意。
終極建議
面對愈來愈複雜的網路攻擊,除了保持警覺性外,如果你真的很害怕,可以在認證工具、使用習慣和資產安排上,盡量降低風險。
以下是一些例子。
第一,高資產IB用戶可考慮申請Digital Security Card+ (DSC+)實體安全卡。相比依賴手機App的IB Key,DSC+是一張獨立實體卡,不能上網、安裝App,也不接收推播。登入時,使用者需在卡片上輸入系統提供的挑戰碼,再由卡片產生回應碼。這樣即使駭客遠端控制了你的電腦或手機,也難以直接控制一張放在你手上的實體卡。當然,DSC+也不是免死金牌,如果你自己在釣魚網站輸入挑戰碼和回應碼,仍可能被即時利用,但它至少能大幅降低手機中毒、推播誤按和SIM卡被挾持的風險。
第二,準備一部專用金融手機。這部手機只安裝銀行和券商官方App,不安裝通訊軟體、不登入私人電郵、不看社交平台、不下載多餘App、也不瀏覽任何無關網頁。平時可關機或開飛航模式,只在需要登入、交易或接收2FA時才開機連線,並盡量使用4G/5G行動網路,避免公共Wi-Fi。
第三,不要將全部資產放在同一個帳戶。最穩妥的做法,是將資產分散在不同金融機構,例如IB、Charles Schwab、本地大型銀行或其他可靠平台。即使其中一個帳戶失守,也不至Total Lost。
第四,拒絕任何非本人主動發起的認證。任何登入確認、Face ID、指紋驗證或簡訊驗證碼,只要不是你當下親自發起,就一律視為可疑,直接拒絕,並立即更改密碼。
第五,留意所有即時交易訊息、電郵和警告,並定期檢查交易紀錄、持倉明細和登入紀錄。IB每次有交易、派息、公司行動、保證金變動或安全提示時,通常都會發出電郵或訊息通知,但我發現很多人嫌煩,從來不看IB電郵,也不定期登入IB查看訊息,這其實很危險。如果帳戶突然出現陌生期權、細價股或冷門產品交易,或登入紀錄出現異常地區、陌生設備和不合理時間,應立即登出所有活躍連線,更改密碼,甚至聯絡券商凍結帳戶。
總而言之,資安防護不是追求零風險,而是讓駭客攻擊你的成本變高、成功率變低、可造成的損失變小。
結語
我的Patreon會員都知道,我以前的工作幾乎天天都在跟風險打交道。在風險管理學(Risk Management)中,面對風險通常有四種處理方法:Avoidance、Mitigation、Transference和Acceptance。
Avoidance,是避開風險。例如你認為某個平台安全性不足,或自己承受不了帳戶被盜的後果,那最直接的方法就是不用這個平台,或者不要在上面放太多資產。
Mitigation,是降低風險。例如啟用2FA、使用專用金融手機、申請DSC+實體安全卡、避免公共Wi-Fi、定期檢查登入紀錄與交易紀錄。這些做法不能保證絕對安全,但可以大幅降低被攻破的機率。
Transference,是轉移風險。例如購買相關保險,或將資產分散在不同券商、銀行和金融機構。
Acceptance,是接受風險。這一點最容易被忽略,卻也最重要。我們必須認知,只要仍然使用網路銀行、證券帳戶、手機App和電子交易,就不可能把風險完全消滅。我們可以降低某些風險,可以分散某些風險,也可以避開某些高風險行為,但不可能生活在一個零風險的金融世界裡。
所以,面對風險的正確態度,不是看到一宗案件就陷入無謂恐慌,動輒以為從此不能再用IB、不能再用網路券商、不能再持有海外資產。真正應該做的,是冷靜檢視自己的防線,能避開的風險就避開,能降低的風險就降低,能轉移的風險就轉移,剩下那些無法完全消除的風險,就承認它的存在,然後繼續生活和投資。
我們從出生到死亡,一路都在和風險打交道,小至出門過馬路,大至打工、投資、婚姻、移民、創業,沒有一件事可以完全脫離風險。大家都是成年人,不要再像小孩那樣既要又要且要我還要,既想享受網路交易的便利,又想完全不承擔任何風險,現實沒有這種好事。我們真正要做的,是理解風險、控制風險,並將它放在自己可以承受的範圍內。
……
(節錄自之前的Patreon文章)
******************************************************
想知道我對市況的最即時看法,並閱讀及時全面的投資與評論文章,歡迎加入我的Patreon,與我們一齊討論、一齊交流、一齊進步!
Patreon:
https://www.patreon.com/laxinvest
Facebook:
https://www.facebook.com/chaseinwind/
https://laxinvest.blogspot.com/
