電子下單
」 金管會 證交所 元大證券 黃天牧 密碼撞庫
黃珊珊質疑ETF監管問題 黃天牧:將納管社群平台及網紅
立法委員黃珊珊18日就ETF熱潮背後的亂象與監管問題指出,近期ETF熱潮引起社會關注,解定存、抵押房子投資ETF的新聞更是招致各界質疑是重大警訊。她質詢金管會主委楊天牧指出,ETF熱潮的背後,其實是民眾渴望有良好的投資管道,而金管會在活絡市場的職責外,更必需為民眾做好把關、推動金融教育等工作。楊天牧回覆,此次事件,金管會定調為在廣告上有些不實與不適當的宣傳,未來會研議將社群平台及網紅納管。黃珊珊質詢黃天牧時指出,金管會對於投資廣告可依《證券投資信託及顧問法》裁罰投信投顧業者,但對於社群平台、網紅等新興的廣告媒介,卻似乎有模糊空間。對此楊天牧承諾,會在今年6月以前從相關公會的自律規範著手,將新興廣告媒介納入,完善管理。黃珊珊指出,證券投資還算是有法令可管,但虛擬資產就真的無法可管,完全跳脫金管會的掌握之外。楊天牧坦承,虛擬資產目前在國內法規定義下並不是有價證券,所以目前確實無法可管;但認同黃珊珊所提及之缺漏,在9月即將推出的專法,會考慮把網紅代言等廣告管道也納入規範。黃珊珊也為基層證券營業員請命表示,目前發生違約交割時,若無法追到客戶賠償,則證券商沖銷後的虧損需由營業員承擔,這個做法是基於過去下單多透過人工,因此第一線營業員需分擔責任還算是是情有可原;但現今投資人早就多透過手機、電腦等管道電子下單,營業員完全沒有經手卻仍需承擔責任,似乎就不合理了。楊天牧則當場表示,後續金管會將會與公會討論相關規範。
華南永昌證券自行研發「華南e指沖」App 7大新亮點!輕鬆掌握投資每秒鐘
華南永昌證券自行研發「華南e指沖」App,於12/18的上市記者會正式公開發表。領先業界首創「雙視窗下單」,在同一視窗就能完成看盤、下單免切換,再結合「反向出清」的一鍵出清、大戶拆單功能,以及「閃電帳務」提供即時損益試算,為投資人帶來更強大的投資體驗,減少操作步驟,有效增加投資勝率及降低風險,輕鬆掌握投資每秒鐘!近年隨著台灣股巿持續熱絡,投資人結構年輕化,台灣證券交易巿場的數位發展越來越先進。據證交所統計,我國證券交易之電子下單成交比重,今年已達八成以上。以華南永昌證券為例,電子下單比重占整體交易超過八成,而行動下單占比則已超過七成。數據顯示,行動下單是新世代交易模式的重點。因此掌握數位科技發展的優勢,創造出快速、好用,貼進客戶需求的交易工具,已成為現代證券商必備的發展目標。華南永昌證券董事長黃進明「華南e指沖」App發表記者會致詞(圖/華南永昌證券提供)華南永昌證券董事長黃進明表示:「交易市場要成功的三大關鍵:第一點累積自身的投資經驗,第二點嚴格遵守自己的投資紀律,第三點就是擁有快速且便利的交易工具。」而華南永昌證券致力協助客戶建立正確的投資觀念,同時提供方便且快速的好用工具,持續開發新產品、優化新功能。7大亮點包含,反向出清、雙視窗下單、閃電帳務、專屬選股、資訊全開、診股即可拍、除權息專區等,眾多資訊與強大功能,讓您輕鬆下單方便又快速。「華南e指沖」App上市發表啓動儀式貴賓大合影。(圖/華南永昌證券提供)華南永昌證券過去提供客戶單一系統廠商所開發的手機App下單系統,功能上較無法突顯出差異化,因而由華南永昌證券的研發團隊,自行打造領先同業、最符合客戶需要的行動下單系統,在科技時代協助投資人因應突破性的數位發展以及提供更精緻細膩的服務,持續創新並與新世代接軌。
國內電子下單比重破七成 致和證券推「分戶式電子交易」助攻
隨著投資人結構年輕化、與因應數位科技發展趨勢,加上主管機關積極推廣及鼓勵,根據最新統計,我國證券交易之電子下單成交比重,近兩年已達7成以上,電子式下單已成為國內證券市場交易主要管道,且成長相當迅速。國內老字號上櫃公司致和證券近期推出「分戶式電子交易」,訴求方便迅速、隨時隨地可輕鬆下單、並享有交易手續費特別優惠,辦理證券線上開戶,交割銀行選擇分戶帳即可完成,除手續費2折隨後還送3000元抵用金等誘因,要幫助投資人減輕投資負擔。國內電子下單比重破七成 致和證券推分戶式電子交易助攻(圖:Pixabay.com)電子式交易具有交易流程迅速、交易方式易執行、隨時隨地可下單、與交易手續費較優惠…等特性,投資人可透過手機或網路下單,不受地域限制的優勢,因而受到投資大眾青睞,致和證券近期推出的分戶式電子交易,採三合一看盤模式,直覺性操作介面,高度靈活的看盤及下單,搭配即時帳戶餘額及下單額度查詢,不但方便、快速,且具有極高的性價比。致和證券分戶式電子交易,採三合一看盤模式,直覺性與高度靈活,投資人可自由搭配與組合個股資料。由於電子下單受到國人青睞,各大券商也祭出電子下單手續費折扣優惠,據了解致和的分戶式電子交易,除了提供手續費2折優惠外,線上開戶完成後還送3000元抵用金(活動網址www.wintan.com.tw),吸引不少投資族嘗鮮使用,投資民眾表示「手續費2折,真是超驚喜!早開戶早享受優惠」,但隨著各大券商也都推出自家行動App,優惠方案也推陳出新,致和證券的分戶式電子交易,更著重在使用者動線與使用滿意度,務求以數位轉型、服務再創新,提供更好更優質的數位金融服務,才能真正留住使用者。致和證券【分戶式電子交易】優惠活動網址www.wintan.com.tw相關活動資訊可洽:致和證券各分公司 或客服電話:0800-053-198
元大搶美日股1/「日圓急貶」讓元大投資先生App拚日股下單 「躬逢其盛」再推日本基金
股神巴菲特今年四月高喊「加碼日本五大商社」後,在台灣遭「冰封」已久的日本基金重獲投資人關注,不少投信公司趁勢熱炒冷商品,元大投信則大膽準備七月募集一檔日本龍頭企業基金。「元大最強是創造話題,這幾年日圓急貶,元大業務導向,緊跟市場脈動抓住消費者想的。」金融圈資深副總分析。元大金(2885)去年交出獲利214.56億元成績單,居14家金控第三,緊追在中信金之後,今年1月~5月自結稅後盈餘100.85億元,年增11.89%,排名暫居第四。元大金9日股東會上總經理翁健特別強調,「我們對俄羅斯暴險零,對瑞士信貸遠低於同業。」在其他金控遭防疫保單及海外曝險地雷衝擊下,元大金既無防疫保單的情況之下,風險控管相對有力。值得注意的是,去年下半年美股台股跌勢不輕,成交價量齊減,然元大金主要獲利貢獻元大證券前5月挹注50.48億元,較去年同期僅少賺1.6億元;「小金雞母」元大投信則賺逾9.55億元,較去年增40%。日本豐田汽車TOYOTA的股價,今年以來漲幅達15%。(圖/黃威彬攝)「元大證很拚,日圓急貶,去年第四季開通『投資先生App』日股電子下單功能,歲末還邀Nasdaq、日本證券兩大交易所發表新年投資展望辦美日企業論壇,加溫話題」,「今年更加速率先啟用日股即時報價、開放熱門海外債電子下單等功能。」一名同業主管說,可看到元大開足馬力,開拓美日股海外標的市場。去年原已加碼日本五大商社的股神巴菲特,今年四月一趟日本行,不但拉高日股能見度,股神還高喊繼續加碼,使得台灣投資社群也炸鍋議論「跟著股神錢進日股」,當其他投信公司重新推銷架上冷掉的日本基金商品時,元大投信手腳快,立馬募集一檔日本龍頭企業基金。「躬逢其盛!日股挑戰高點反映二重點,日圓兌美元的貶值,對於日本立國的高技術製造業幫助極大」元大投信接受CTWANT採訪回覆說,「當Made in Japan變成品質好且不貴,豐田Toyota、索尼Sony等與半導體材料科技基礎,有機會推升日股表現。」
全台大停電「銀行業影響大」 1290台ATM、11家分行仍停擺
全台大停電,金融業也受衝擊。金管會3日下午五點半時公布全國金融業狀況,共有31家銀行、1家券商被影響,其中,銀行業受影響最大,133家總機構有31家受影響、分支機構最高峰時有154家分行斷電,截至下午二點仍無法營運的有11家、ATM則有1290台停擺。銀行局副局長林志吉指出,全國的金控、銀行、本銀、外銀、陸銀、信合社、郵局、票券公司等共有133家總機構,受影響的有31家,分支據點最高峰時有154家停電,截至3日下午二點仍受停電影響無法運作的有11家。至於全台ATM有1290台受停電影響停擺,占32000多台中的4%,比率並不高,林志吉指出,停電區域以台南、高雄、屏東縣,無法營運的分支最多,不過,民眾可到跨區櫃檯辦理或透過網銀、行動都可處理轉帳、匯款。雖然銀行必須「營運不中斷」但林志吉指出,所謂「不斷電備援系統」只能維持六至十個鐘頭,時間再拉長還是會無法提供服務,目前受影響的11家都是銀行。但他強調,目前沒有銀行客戶申訴受到影響。證期局則指出,現行證券相關主要機構包括:證交所、櫃買中心、期交所等機房設施運作正常,不受停電影響,而期貨商、投信投顧業也沒受影響,證券商則有1家通報上午九點十六分因為電子傳輸斷線,部份客戶無法下單,有改用其他方式委託,切換後系統後在九點五十三分恢復電子下單作業,現連線都正常。保險局則指出,保險業都沒有受影響,雖然有些終端電腦、網路電話無法使用,但對外系統都沒影響。
證券電子下單帳戶限期改密碼 邵之雋:防駭治本須靠民眾做一件事
對於證交所下令證券期貨商等電子下單戶限期更改帳號密碼一案,金融法制暨犯罪防制中心董事長邵之雋強調,其實民眾只要做好一件事,就可以一起圍堵遭駭客冒名下單的資安破口,只要駭客取得客戶的帳號密碼管道沒有被打破,駭客永遠能取得新的密碼,要客戶修改密碼只能治標不能治本。金融法制暨犯罪防制中心也根據這些駭客入侵案件態樣,整理出可能的資訊安全的漏洞,提醒民眾也有責任,妥善保護自己的金融交易帳號密碼,勿外漏給其他App供應商等公司使用。金融法制暨犯罪防制中心董事長邵之雋表示,這一波駭客型態與傳統「撞庫」不同,而是駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄。邵之雋強調,事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。邵之雋也指出,證券期貨商等金融機構在金管會、證券、期貨等公會等不斷透過加強拉高資安城牆,要求民眾登入系統、申請或更新憑證採多因子驗證機制,譬如說設定英文大小寫混合數字的密碼並且要妥善保管,禁止使用生日等容易外洩的個資,也勿將在銀行、證券商等使用的帳號密碼用在其他網站。邵之雋分析,國內金融機構的資安城牆已經努力架高,防堵駭客入侵,而且一旦看見有類似僵屍網路不斷衝撞系統異常案件時,即可及時觀察與進一步防範;然非金融機構公司的資訊安全防護等級,會像金融機構的資安城牆高嗎?就是民眾要考量的地方,再次提醒用於金融機構帳號密碼,不要提供給他人、其他公司,是自己能做到最佳的資安防護。
首次「逾千萬證券戶」一起改密碼 限期1/21只剩三天「沒改就延遲下單」
距離1月21日證交所要求券商全面提醒客戶更改電子下單交易戶密碼一案,只剩3天,千萬證券戶若未在期限內更改密碼的話,證交所已祭出「將延誤下單」的最後通牒手段,即是藉此提高避免遭駭客入侵的資安等級。去年(2021年)「1125密碼撞庫攻擊」資安事件中,至少有凱基證券等逾7家券商、1家期貨商陸續遭到駭客入侵網路,冒名登入客戶的帳戶做複委託電子下單,有的券商因此損失2千多萬元,有的則是發現登入異常案件後緊急防堵成功。豈料,駭客仍是持續發動攻勢,12月下旬開始至今年1月以來,攻擊券商頻率增高,證交所先前已於7日邀集國內所有提供網路下單服務之證券商十多家,在登錄系統、申請或更新憑證須採雙因子驗證機制,並須在21日以前請客戶更改密碼並採用優質密碼,且須妥善保管帳號及密碼,不要用在其他網站,以維護自身權益。目前總共超過1,200萬人有證券戶,其中超過1,000萬人以上有電子下單,在證交所號令券商全體總動員之下,將有超過千萬戶的投資人必須改密碼,免得遭駭。
駭客頻攻擊券商 證交所下令:千萬證券戶限期改密碼
駭客近一個月不斷放大攻擊券商頻率,證交所已下令,全體券商必須限期完成旗下全體電子下單客戶的密碼重新設定修改,並以1月21日為最後期限。對此,所有國內券商已自上周起陸續以App公告或發送電子郵件、簡訊等方式通知客戶修改密碼。目前台灣總共超過1,200萬人有證券戶,其中超過1,000萬人以上有電子下單,在證交所號令券商全體總動員之下,將有超過千萬戶的投資人必須改密碼,以免遭駭。券商指出,若未在期限內完成修改密碼的投資人,下單的電子金鑰或憑證將遭凍結,後續需要人工驗證才能重開。據悉,證交所1月7日召集所有提供電子下單的數十家券商開會,除了要求全體券商加強資安,證交所也在該場會中下達上述指令。券商指出,這十分非常罕見,是證交所頭一次要求全體券商包括自然人或法人在內的所有客戶修改密碼。之所以如此,主要在於2021年12月下旬之後,券商遭駭客攻擊的頻率轉趨嚴重,不僅大型券商,攻擊對象更已從大型券商向外擴散,至少超過十家券商遭到攻擊,有的有守住,有的則被撞破,現在券商也是人人自危,證交所因此不僅在7日召集全體券商開會,更罕見的下達上述指令。業者指出,過去修改密碼,通常只是建議,客戶即使未照作,在服務方面也不會受到影響,但這次由於台灣近期券商系統遭駭的情況實在太嚴重,因此在證交所要求下,倘若不在1月21日最後期限之前完成密碼重新設定,客戶包括電子下單的金鑰或是憑證就會先被凍結停用,直到改完密碼為止。但也有民眾抱怨,券商本次通知修改密碼的信件僅要求重設密碼,未提及會凍結金鑰和憑證。據了解,近來除了美股及港股等複委託交易的投資詐騙,駭客甚至直接駭進客戶帳戶下單投資海外股票,倘若擋不下來,券商將為客戶賠付損失,因此券商也嚴陣以待,並且已全面通知客戶必須在1月21日之前修改其電子下單的密碼。除此之外,以前倘若憑證到期再展延一年,直接由客戶在網路或手機上操作即可,但業者指出,現在還得多加一道「人工複核」程序,也就是券商必須致電給客戶是否確實為本人延長,最近許多營業員已為這類資安防護要客戶配合之處而疲於奔命。
台股2021年成交值逾95兆 證交所海吞獲利大補丸 去年EPS12.3元
2021年台北股市首度站上萬八大關,上市公司總市值達56.3億元,成交值更達95.5兆元,日均成交量接近4000億元,躍居全球第8名,可說是證交所1961年成立以來最興旺的一年。受惠於成交金額大幅成長,證交所董事長許璋瑤表示,證交所去年稅後盈餘突破百億元、達103億元,每股盈餘(EPS)達12.3元,獲利及EPS均創歷史新高。展望未來,許璋瑤指出,隨各國疫苗施打日漸普及,全球經濟活動可望逐步恢復正常,供應鏈問題亦可獲得改善,加上5G、車用電子、高效能運算等新興運用需求持續暢旺,國內深具製程領先優勢的半導體製造業者積極擴廠,將帶動整體產業接續發展。目前各主要預測機構咸認今年國內經濟仍可達4%以上成長,上市公司營運亦將維持最佳狀態,國內股市可望賡續穩健發展,惟目前全球仍存在疫情、通膨及升息等諸多不確定因素,未來仍需審慎因應。許璋瑤表示,證交所近年陸續推展多項新制度,促使證券市場日益強健,包括:逐筆交易大幅提升交易效率,交易量顯著增加;定期定額與盤中零股交易制度提供小資及年輕族群參與股市機會,進行長期儲蓄投資,達到財富累積效果;實施造市制度活絡優質但交易量偏低個股,成交值較實施前提升4成。基於保護投資人,許璋瑤指出,長期以來企業多需達到一定營運規模並且獲利,方能進入資本市場上市籌資,但隨著科技創新日益加速,產業研發創新速度已為成敗關鍵。基於產業長遠發展需要,必須讓優質的新創事業及早進入資本市場,俾藉由市場力量來強化其營運體質及競爭力。因此,證交所於去年7月開設創新板,自規劃籌設以來,已辦理多場座談會、拜訪超過60家新創企業,並有8家新創公司表達上市意願,惟成效尚未彰顯。未來將會同各中介機構持續努力,加速引進優質新創企業,為國內產業帶來新的成長動能。另,目前電子下單比重已攀升至76%。為提供投資人快速、穩定的交易環境,證交所積極推動證券商布建資訊設備及投入數位轉型,並為提升整體證券市場資安防禦能力,與周邊單位合力建置資訊設備及風控系統,成立「證券暨期貨市場電腦緊急應變支援小組」(Securities and Futures Computer Emergency Response Team,簡稱SF-CERT),全天候24小時不間斷協助業者應變資安事件。此外,有鑒於近期投資詐騙案件漸增,證交所加強透過多元管道宣導,深化投資人風險概念以防範詐騙。
元大落難記1/殭屍網路攻破「證券一哥」被下單 竟是駭客拿到客戶「生日」密碼
國內券商首樁駭客入侵「1125密碼撞庫攻擊」資安事件,爆發至今已近三周,災情最大的元大證券當日即暫停「行動精靈」App的海外複委託電子下單,迄今尚未恢復。據了解,此次通報券商達6家、期貨商1家,「被下單」買港股100多件,災情損失約2千萬元,其中以元大證券的災情最大。根據趨勢科技綜合國際研究分析,金融業正面臨越來越多所謂的「密碼撞庫」的憑證填充 (Credential Stuffing)攻擊,是一項利用殭屍網路(botnet)以自動化方式,不斷使用偷來的登錄憑證試圖登錄網路服務的一種攻擊技巧。這項手法使用大量外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登錄網路服務,直到某一組帳號密碼成功為止。CTWANT調查,11月25日下午3時許,元大證券、統一證券察覺到客戶的海外複委託下單,出現購買港股「深藍科技控股」的異常案件,即開始主動全面清查帳戶。元大證券當天發出公告,緊急暫停受到駭客攻擊的「行動精靈」App的複委託電子下單,改為人工電話下單;統一證券則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能,改為人工下單。金管會、證交所、期交所等要求業者全面清查下單憑證的安全度,並請民眾勿用「身分證、生日」當帳號、密碼。圖為金管會主委黃天牧。(圖/黃鵬杰攝)隔天上午,KGI凱基證券也和元大證、統一證通報有出現類似的複委託電子下單在同一個港股「深藍科技控股」異常案件,第一時間先鎖住不正常登入以保護客人帳號,阻擋攻擊來源,並通知客戶變更密碼,同時在交易憑證申請上,採取人工加強驗證等措施。同一時間,國泰證券、富邦證券、台新證券也察覺內部異常,但未出現冒名客戶複委託帳戶的成功下單案;元大證、統一證及KGI凱基證券則清查出下單案件,為此次資安事件中的受災券商。CTWANT記者進一步了解,其實國內證券期貨商遭駭客「密碼撞庫攻擊」手法,在去年初即有一波,但未被攻擊成功;三周前,即有證券商陸續向主管機關通報,出現「密碼撞庫攻擊」的駭客資安示警狀況。金管會、證交所官員表示,所謂的「密碼撞庫攻擊」是駭客利用網路、App上民眾外漏的帳號、密碼,以此登錄到券商網路下單系統,冒用客戶身分做金融交易,其他常見駭客攻擊手法還有分散式阻斷服務攻擊(DDoS)、電子郵件社交工程、加密勒索軟體。國內3家券商遭駭客入侵「被下單」的100多件,全都是買港股「深藍科技控股」。(圖/翻攝自東網官網)據金管會、證交所的清查,國內69家券商中共有49家有提供網路、App下單服務。而這次7家券商及期貨商遭密碼撞庫攻擊,相關主管提出質疑,「只針對單一的港股個股『深藍科技控股』(01950, HKG)下單,駭客動機匪夷所思,似乎非單純資安攻擊,全案正由警方調查中。」參與許多企業資訊安全控管的專家則分析,「被駭客攻破的是海外複委託買港股的那一端系統,台股下單功能都正常,高度懷疑是台灣連結港股交易的那一段資訊系統有漏洞,這擴及到兩個國家的資訊安全。」市場即傳出這段期間,疑有「深藍科技控股」大股東賣股,加上正好國內證券商客戶「被駭客下單」承接股票,時間敏感,引起港台媒體大肆報導,港股「深藍科技控股」也在官網聲明,股價買賣波動異常,請投資人注意。券商趕緊以報錯帳反向沖銷,加上「被下單」後的隔天,港股「深藍科技控股」的股價開盤有在平盤以上,損失差額皆由券商自行吸收,未影響到投資人的權益及財產。對此一事件,金管會金融資安行動方案和資本市場藍圖規劃,證券暨期貨市場電腦緊急應變支援小組(SF-CERT)11月底正式成立,將24小時全天候協助證券期貨業者應變資安事件,已將「1125密碼撞庫攻擊」列為研究指標案例。
元大落難記2/行動精靈App複委託出事 「看盤一哥」邱老大喊冤:不關我事
元大證券有兩款網路下單的App,今年11月25日通報遭到駭客「密碼撞庫」攻擊的「行動精靈」為三竹資訊(8284)所設計的,儘管真正讓駭客攻破的漏洞原因,還未調查公布,但到底是哪個環節有了問題,引發網友熱議,三竹資訊創辦人邱宏哲也親上火線澄清,維護商譽。CTWANT調查,國內49家券商所推出的網路、App股票下單系統,很多是出自三竹資訊設計的。此次駭客發動的「密碼撞庫攻擊」的證券期貨商中,元大證就在官網公告標明其暫停複委託電子下單的「行動精靈」App,即是三竹資訊所做的,元大證券並表示另一款「投資先生」App則正常運作。此消息傳出,三竹資訊總部即排山倒海湧入許多客戶廠商來電「關切」,甚至也憂心商品安全性,三竹資訊為了維護品牌商譽,趕緊發聲明稿澄清;不過,在批踢踢上卻有許多網友留言「相挺」三竹資訊,認為很多家券商的網路下單,也是三竹設計,卻只有「元大」證券的App出狀況,應非三竹之過。「1125密碼撞庫攻擊」危及三竹商譽,非同小可,66歲三竹資訊創辦人、董事長兼總經理邱宏哲,隔日傍晚接受CTWANT記者採訪,他親自「掛保證」說,「三竹資訊僅是做App系統的前台,並沒有中後台,也沒有客戶的帳號與密碼,也不是做投資人交易憑證的廠商。駭客取得的帳號、密碼根本非由三竹資訊所外洩的,根本與三竹資訊無關。」三竹資訊多為券商設計股票下單系統,堪稱「看盤一哥」,批踢踢許多網友留言相挺三竹商譽。(圖/翻攝自apple app store)這是業界人稱「邱老大」的邱宏哲,1991年創辦三竹資訊,以發送簡訊、設計行動看盤、企業開發與企業即時通等為營業項目,成立迄今30年,是國內數百萬股民每日的股市看盤資訊、下單交易及成交資訊回報供應商,可說是台股幕後英雄的「看盤一哥」,2020年營收逾18.8億元,2021年迄今累計營收已逾17.8億元。去年5月18日三竹(8284)上櫃期間,因競價拍賣完成後第6天,才發布簡訊費用遭調漲的重大訊息,市場一片譁然,遭櫃買中心以延遲公布重要訊息為由,處罰10萬元,引發「競拍風暴」。當時,邱宏哲為維護辛苦大半輩子的三竹商譽,他對投資人發出一封「三竹保證信」,表示若掛牌賣股有虧損,通通有補貼,且每股還補償2元,此舉可說是空前絕後。這位下午進公司工作到隔天上午的邱宏哲,鮮少與媒體打交道,11月26日下午上班後對於這次「1125密碼撞庫攻擊券商」波及三竹,他因而再次親上火線,大動作向外界說明三竹開發的看盤App與此事「無關」。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。
券商遭駭誰危機處理做得好 統一證最坦白 網友卻最心疼三竹資訊
國內證券商、期貨商相繼在11月25、26日,傳出「撞庫攻擊」駭客入侵網路下單平台的資安事件,這已是第二起相同撞庫攻擊手法之案,金管會、證交所期貨所等都高度關切,召集相關單位人員嚴陣以待,假日加班督促交易憑證安全度升級。其中,開發金控旗下的凱基證券、凱基期貨接連都傳出資安事件,凱基證在昨天(26日)上午通報複委託港股「深藍科技控股」的異常下單案,同一天的下午5點37分,凱基期貨也趕緊向期貨交易所通報,凱基期的公司網頁版交易平台疑似遭受駭客攻擊,已立即封鎖駭客攻擊來源。再來看3家券商,面臨資安緊急事件時的危機處理,統一證券很清楚在官網,特大字體說明駭客入侵的時間、受影響的件數,以及後續封鎖可疑網路來源、鎖住個股改為人工下單的做法。統一證券表示,發生當日全面清查就7個帳戶異常,昨日已反向處理,港股「深藍科技控股」的股價開盤有在平盤以上,損失金額不大,並向刑事警察局報案,而網路複委託電子下單皆正常,所有客戶已沒有深藍的部位,最後決定僅鎖住該股交易,將深藍個股改為人工下單。統一證券官網公告。(圖/截自統一證)元大證則是在25日公告暫停「行動精靈」App的複委託電子下單改為人工交易(目前已找不到該公告),另在元大金控官網看到代子公司的說明,並強調自有開發軟體「投資先生」App不受影響,同樣的也報警處理。昨天深夜11:25分,元大證則公告投資先生、點金靈、越是贏、WEB下單的客戶,申請、更新憑證的流程,並標明行動精靈App為三竹系統,現已暫停下載憑證。不過,許多網友在批踢踢留言,認為元大證券的行動精靈App被駭客突破,其實與三竹資訊無關,因為三竹根本不會接觸到顧客的帳號、密碼,而且交易系統的憑證下載與帳號、密碼,也非三竹資訊所做的;還有網友說,三竹資訊做很多家券商下單系統,也非大家都被駭客攻擊成功。元大證券的公告。(圖/截自元大證官網)凱基證官網的26日公告,則是提到「鑑於近日媒體報導同業疑似發生複委託交易系統之資安事件,以及接獲主管機關通報有不明人士不當取得投資人個資與密碼,進而冒名申請憑證及下單等情事」,提醒憑證申請採人工加強驗證等措施,未像統一證、元大證清楚說明自己發生資安事件的時間等原委。凱基證回覆CTWANT記者則是提到,針對客戶因帳號問題發生非本人之交易,已先跟客戶確認,改為人工下單,並提醒客戶變更密碼,維護客戶權益。對於撞庫事件,公司防護監控機制發現遭受撞庫現象,第一時間先鎖住不正常登入以保護客人帳號,阻擋攻擊來源,並通知客戶變更密碼,近期憑證申請採人工加強驗證等措施。目前了解,客戶權益未受影響,凱基證券一向重視資訊安全,也會致力保障客戶權益。凱基證券的撞庫資安事件公告。(圖/截自凱基證券官網)其實,去年初券商即發現有一波的「撞庫攻擊」駭客入侵警報,當時未傳出異常交易案件,今年則是在兩周前,國泰、富邦證通報發現有駭客入侵系統,但成功攔阻未傳出災情,卻在3天前陸續出現異常下單案件,顯示駭客取得到的帳號、密碼,已成功登錄券商的交易系統並完成交易。11月25日元大證發現異常下單港股「深藍科技控股」的案件,緊急關閉「行動精靈」App的海外複委託電子下單功能,改為人工電話下單,清查案件有100多件,災情最大;統一證則是有7件,凱基證有3件(其中2件扣款交易失敗),券商皆是以報錯帳反向沖銷,自行吸收差額,客戶權益未受到任何影響。依照「證券期貨市場資通安全事件通報應變作業注意事項」的規定,券商、期貨商一發現網路內部交易系統有異常時的30分鐘內,即須通報主管機關及回饋聯防的通報系統予以登記、示警,同步提醒其他同業要提高警覺之外,券商、期貨商也須在公司官網公布,提醒消費者大眾注意。
5家券商股票下單遭「撞庫攻擊」 災情百餘件、凱基證也「被下單」
國內券商「1125撞庫攻擊」遭到駭客入侵網路複委託下單資安事件中,目前已經通報金管會、證交所且遭到「被下單」的券商,除了主動向投資人示警提醒的元大、統一綜合證券之外,KGI凱基證券也有出現下單異常案件;另有國泰、富邦兩家證券則是也有通報遇到類似攻擊,但已成功阻擋駭客入侵,未有客戶遭到異常下單案件。11月25日下午3時許,元大、統一證券主動察覺到客戶的海外複委託下單,出現購買港股「深藍科技控股」的異常案件,即開始主動全面清查帳戶,元大證則是緊急暫停「行動精靈」App的複委託電子下單,改為人工電話下單;統一證則僅是鎖住並暫停交易「深藍科技控股」單一個股的電子下單功能,也改為人工下單。到今天為止,元大證的行動精靈」App的複委託電子下單功能仍是全面關閉,一律改為人工電話下單;統一證則是全面維持複委託電子下單功能,僅暫停個股「深藍科技控股」的電子下單交易。根據金管會、證交所與券商的通報聯防機制,近兩周即開始有券商陸續通報出現「撞庫攻擊」的駭客資安示警狀況,國泰證券、富邦證券察覺內部異常,但未出現冒名客戶複委託帳戶的成功下單案;元大證券則是通報清查有100多件、統一證通報有7件、凱基證通報有3件(其中1件扣款交易失敗),損失金額仍在統整中,皆由券商自行吸收。證交所表示,去年(2020年)初即有出現一波「撞庫攻擊」駭客入侵資安通報,但未有異常下單案件。今年的類似撞庫攻擊,則是在前兩周(約11月上旬)開始就有證券商通報有此可疑情況,而在11月25日通報案遭到攻擊最為明顯,元大、統一證即主動清查客戶帳號,提高資訊安全的保護力,維護投資人的財務安全權益。凱基證則是在26日通報出現下單案件。證交所強調,已將券商通報的駭客入侵情況通知其他券商,全面清查及增強網路下單的交易「憑證」的登錄帳號、密碼防護力,提醒投資人勿用身分證、生日作為金融帳號、密碼,提高駭客攻擊的防護。
券商下單系統爆「撞庫攻擊」 三竹聲明「與之無關」正協助補強交易安全
國內元大證券「行動精靈」App海外複委託下單系統,11月25日下午突然出現所謂的「撞庫攻擊」網路資安事件,遭駭客取得帳號、密碼的顧客,則自動下單買港股「深藍科技控股」,券商正委託系統資訊商新增程序,補強交易安全防護力。統一證也通報類似情節,也因此暫停複委託電子下單。三竹資訊則發布聲明,強調「券商複委託下單系統異常,與三竹資訊無關」。三竹資訊董事長兼總經理邱宏哲也親自向CTWANT記者表示,三竹資訊僅是為券商的App設計前台,並無涉入帳號、密碼,而遭到駭客入侵的屬於券商負責的中後台端,與三竹資訊設計的系統完全無關。元大證「行動精靈」App的海外複委託交易功能,11月25日遭券商主動發現傳出遭駭客入侵的異常下單港股案件之後,緊急關閉改為人工電話下單至今還未恢復,而該系統是委由三竹資訊為元大證量身訂做,其中交易下單的「憑證」登錄則非三竹資訊所做,另為元大證券尋求的合作廠商。三竹資訊表示,該資安事件可以從兩個層面來看,一是駭客如何取得顧客的帳號、密碼?一是下單交易的「憑證」登錄的帳號、密碼,涉及到使用「生日」為帳密的顧客,是否因此容易被駭客入侵,而這也就是如外界所推測的「撞庫攻擊」,駭客從網路上蒐集到民眾常使用的帳號、密碼之後,經由多次嘗試登錄下單金流系統而最後攻擊成功。由於多個「憑證」登錄交易,會讓民眾使用「生日」即可成功登陸,因此此次元大證的「行動精靈」App海外複委託下單系統,出現異常下單資安事件,遭駭客入侵的系統漏洞真正原因,還有待元大證調查了解。目前三竹資訊協助補強元大證的「行動精靈」App的交易防護力,除了原有的「憑證」登錄程序之外,將再新增設計一層的「OTP」(one-time password)簡訊動態密碼的程式,即是一次性單次有效密碼,補強下單交易防護力。以下為三竹資訊聲明全文。針對媒體報導有關110年11月25日有券商發生港股異常下單案件,為避免社會大眾誤解,本公司在此聲明此事件與三竹資訊無關,三竹資訊的系統運作一切正常,持續供應穩定服務給所有客戶,呼籲相關人士發文與報導,應善盡查證之責,切勿混淆視聽。經過了解,近期部份券商遭受駭客撞庫攻擊資安事件頻傳,即駭客拿網上已經洩露的用戶密碼嘗試攻擊,臺灣證券交易所就表示,本月25號下午5點27分已接獲元大證券及統一證券通報資安事件,部分客戶帳戶遭不明人士冒用,進行複委託下單並成交之情事,元大及統一證券表示已暫停複委託電子交易,改採人工下單。對此,三竹資訊對於已發生之事件深表遺憾,同時強調整起駭客事件與三竹資訊毫無關聯。提醒投資人注意,應定期更換投資帳戶之密碼,以維護自身權益。
元大證「行動精靈」關閉複委託電子下單 三竹資訊喊冤:沒有做憑證
國內券商發現複委託疑遭駭客入侵,異常下單買港股「深藍科技控股」事件中,元大證昨天下午緊急關閉「行動精靈」App的海外複委託電子下單交易,改為人工電話下單,至今還未恢復該功能,但另一支下單系統的App「投資先生」仍正常運作。同時,統一證券也與元大證在同一天(11月25日)通報證交所,表示複委託下單系統異常遭駭客入侵,統一證並在官網以特大字體提醒民眾留意頻傳的網路攻擊事件,並為了提升交易安全,請勿使用個人相關資料做為交易密碼。例如:身份證字號、生日、電話等個人資料,建議使用英文含數字的優質密碼做為交易密碼,以免有心人士取得或盜用。由於元大證的「行動精靈」App是委由三竹資訊設計製作,統一證券也是三竹資訊合作廠商客戶,CTWANT記者特別去電請教上櫃的三竹資訊(8284),發言人林志鴻說明原委。三竹資訊發言人林志鴻表示,三竹確實是受到元大證委託製作其「行動精靈」App,昨天下午也被通知「行動精靈」App的海外複委託下單港股有出現異常狀況,因此該功能先關閉下架。由於三竹資訊僅是依券商需求客製化下單系統App,但其中相關的交易憑證登錄API功能下載安裝,非由三竹資訊所提供及設計的,因此該事件將會繼續與元大證商議後續處理。三竹資訊發言人林志鴻也強調,三竹資訊為許多券商量身訂做股票下單系統之外,也有自己的三竹下單App,目前交易系統皆為正常,除了元大證通知行動精靈暫時關閉海外複委託的電子下單,改為人工電話下單,詢問其他合作的券商,近期發覺疑似駭客入侵的案件數量確實有增加趨勢。至於為券商提供「憑證」登錄的廠商,國內有兩大廠,CTWANT記者正去電進一步調查遭到駭客入侵的Gate安全門被突破的關鍵。證交所也發布新聞稿,要求券商提高、補強「憑證」登錄的防護力,並且檢視近期兩周有更新憑證之客戶是否有類似異常案件,如非本人登錄即刻暫停該客戶帳密。
繼純網銀之後!擬開放純網路保險公司 報告年中出爐
繼開放純網路銀行之後,金管會正在研擬開放純網路保險公司,金管會主委黃天牧昨日指出,金管會正在就開放純網路保險公司進行研究,預估在6、7月左右報告就可以出爐,屆時將再詢問各方意見,討論後作出決定。台灣人壽副董事長許舒博指出,網路保險可以降低成本,有價格優勢,的確是未來趨勢,就像銀行實體通路越來越少一樣,保險也會減少實體通路,目前已有一些保險透過網路販賣,但不是所有的險種都適合網路販賣,例如理財、健康險等就不適合。有業者指出,以美國的Metromile為例,這家數位化汽車保險公司是按里程收費,不同於傳統車險公司,有利於開車里程數不多的消費者,同時使用人工智慧處理賠事宜,不僅僅在網路上賣保單。樂天國際銀行等純網銀陸續正式營業,立委曾銘宗在質詢黃天牧時問到,未來政策上會不會開放純網路券商以及開放純網路保險公司?黃天牧作了以上答覆。對於網路券商,黃天牧態度顯得較為保守,他指出,目前還沒有決定要開放純網路券商,因現在電子下單比例已經高達7成以上。但對於純網路保險公司,黃天牧則持較為樂觀的看法,他表示,網路保險成本會比較低,希望民眾能買到合乎需要的保單,金管會正在作開放網路保險公司的研究,現有一個委外研究報告,可能會在6、7月會完成,屆時會再綜合各方意見作出決定。
小資族眼光愈精準 零股交易偏愛這15檔
進入除權息高峰旺季,搭配多頭資金行情,台股小資族精準投入零股交易市場,推升6月零股成交量及成交金額創今年單月高峰,市場專家表示,透過零股交易,小資族也能參與台股多頭市場。觀察6月以來零股市場熱門股,主要有台積電、緯創、玉山金、揚智、中鋼、第一金、聯電、合庫金、新光金、光洋科、中天、中信金、國泰金、合一、永崴投控。6月是外資回補台股的轉折月,6月以來,買超金額1,141.36億元。儘管台股仍有國際間新冠肺炎疫情的衝擊,多空力量糾纏,但金融市場還是被資金行情主導,台股繼續朝多頭方向前進。台股有資金行情當靠山,讓6月除權息旺季再登顛峰,最精彩是6月18日台積電再度成功上演秒填息的驚奇走勢,增添小資族參加除權息的意願。統計6月台股零股交易達7,914萬股,已超越今年3月股災時的7,397萬股紀錄,會刷下新猷。至於6月零股成交金額,達57.91億元,超越3月47.58億元,也是今年新高。台新投顧副總黃文清表示,台股漲到12,000點,台股小資族的投資眼光愈來愈精準。黃文清分析,參與台股零股交易的小資族屬於長線保守型投資、存股型投資為主,特別青睞大型電子股及重量級金控股,不過此次特別增加生技股如中天及合一,主因6月台股生技股漲勢實在過於強勁,吸引小資族把生技股列為必買的投資標的之一。第一金投顧董事長陳奕光表示,今年前五月外資拋售台積電時,反而是台股投資人撿便宜,合計買入1,035萬股,約1萬餘張的台積電,小資族逢低布局的策略,成功演繹散戶螞蟻搬象的新局勢,預料小資族前仆後繼投入台股,今年可繳出不俗的報酬率。永豐投顧總經理李學詩觀察國際市場,他認為過去恐慌指標油價已回穩,隨全球經濟逐步啟動,需求面上升,價格不再大波動。台雖有短線解套賣壓,但資金行情不變。盤中零股交易 做好五大功課金管會已宣布,10月26日起台股投資人可在盤中買賣零股,免去當前僅能在下午1點40分至2點30分時段,掛單交易零股的不便利性。市場專家表示,新制度上路前,投資人對盤中零股交易,有五大注意事項必須做好功課。股王大立光一張動輒400萬元,小資族望之卻步,但聰明的投資者可以採取零股的方式,分批存股大立光。金管會為了吸引年輕人、小資族投入股市,創造主動式「定期定額」買股票的商機,提高零股成交機率,10月26日起盤中零股交易制度正式上路。台股目前是早上9點開盤至下午1點30分收盤,這段交易期間,是以1張也就是1,000股為交易單位,至於下午1點40分至2點30分,才能掛單交易零股。新制度上路後,市場專家表示,零股交易必須注意五大事項,主要如下:1、台股3月上路隨到隨撮的逐筆交易,但10月26日上路的盤中零股交易新制度,仍採集合競價。2、只有限價委託。3、限用電子下單。4、自每天上午9時接收委託,9時10分開始第一次撮合,每3分鐘集合競價一次,下午1時30分最後一次撮合。最後,零股交易以「股」為單位,現有是以張為單位。金管會指出,現行台股的零股交易制度,是在下午1時40分至2時30分,透過盤後集合競價零股交易完成,只一次撮合成交,成交機率相對較低;10月26日開放盤中零股交易新制後,可有效提高成交機率。