搭飛機無網絡驚覺900萬美股遭黑客洗劫沽清!專家揭一常見做法已失守 存在極大保安漏洞
無綫節目《東張西望》日前報導了一宗令人震驚的隱形黑客洗劫案。退休人士楊女士在一間國際證券行累積了十多年的美股資產,沒想到在一次外遊的萬呎高空飛行途中,在完全沒有網絡的5個小時內,高達900萬港元的積蓄竟被黑客在短短一個多小時內全數清空轉移,令她欲哭無淚。
趁機斷網瘋狂沽空 借「末日期權」合法轉移現金
事發於2025年12月19日,楊女士與丈夫由香港乘搭飛機前往哈爾濱旅遊。黑客看準這段長達5小時、事主無法接收任何電郵與短訊的失聯黃金時間,暗中展開清空行動。黑客侵入戶口後,在一個小時內將楊女士苦心積慮累積、價值近900萬港元的藍籌美股全部賤賣套現。
由於證券行提取現金需要兩至三天的手續時間,黑客為了即時轉走巨款,採用了一種極高明的轉移手段。黑客利用楊女士戶口內的百多萬美金現金,以高價買入黑客自己手上、距離到期只剩一小時且即將變成廢紙的「末日期權」。
透過這種「他賣我買」的接貨形式,表面上營造出合法的交易紀錄,實際上在當天便將巨額現金全數安全輸出。
雙重認證2FA已失守?專家拆解「唱高散貨」埋伏流派
楊女士百思不得其解,其先生退休前從事網絡保安工作,兩人的手機電腦亦無被入侵跡象,更從不點擊不明連結,究竟黑客如何盜取每30秒更新一次的「Google雙重認證(2FA)」密碼?
專家指出,這是一種近年盛行的「唱高散貨」黑客手法。黑客通常會利用與官方一模一樣的偽造釣魚網頁,在背後即時複製事主輸入的用戶名、密碼及2FA。
黑客在成功登入真正的證券戶口後,會利用程式移動瀏覽器令其「一直不登出」,隨後如同特工般默默埋伏,靜候楊女士登上飛機等最佳時機才出手交易。
專家感直言,隨著AI技術進步,行之多年的2FA在幾年前或許安全,如今已不足以保障資產,呼籲公眾應轉用綁定特定實體機器的「Passkey(密鑰)」功能。
證券行與證監會拒受理 重案組已介入調查
更令楊女士氣憤的是證券行的冷漠態度。她事後發現,自己的電子郵箱在案發幾天內離奇空白一片,懷疑電郵一早被黑客劫持攔截。證券行承認在15日至19日期間,曾有高達15次使用「新裝置」登入的異常活動,卻從未致電向事主核實。
事後證券行與證監會均以「事主乃合規經過雙重認證登入」為由結案,拒絕承擔責任;而因涉案金額超過100萬港元,證券行更拒絕進行雙方仲裁,令小市民投訴無門。目前案件已交由重案組徹查,楊女士無奈表示只能收拾心情好好活下去,亦期盼政府能收緊對金融機構的監管制度。
港生活人氣娛樂新聞
《U GO 》請您去香港足球盛會!
4大歐洲傳奇球會襲港‼️現場見證世紀大戰⚽️
《U GO》x Shiro請您品嚐Weekend Brunch!
↓ 進駐中環大館主打現代日式料理嘅人氣餐廳 ↓
搵好去處