搭飞机无网络惊觉900万美股遭黑客洗劫清空!专家揭一常见做法已失守 存在极大安全漏洞
无线电视节目《东张西望》日前报道了一宗令人震惊的隐形黑客洗劫案。退休人士杨女士在一家国际证券公司积累了十多年的美股资产,没想到在一次外游的万尺高空飞行途中,在完全没有网络的5个小时内,高达900万港元的积蓄竟被黑客在短短一个多小时内全数清空转移,令她欲哭无泪。
趁机断网疯狂沽空 借“末日期权”合法转移现金
事发于2025年12月19日,杨女士与丈夫由香港乘搭飞机前往哈尔滨旅游。黑客看准这段长达5小时、事主无法接收任何电邮与短信的失联黄金时间,暗中展开清空行动。黑客侵入账户后,在一个小时内将杨女士苦心积虑积累、价值近900万港元的蓝筹美股全部贱卖套现。
由于证券行提取现金需要两至三天的手续时间,黑客为了即时转走巨款,采用了一种极高明的转移手段。黑客利用杨女士账户内的百多万美金现金,以高价买入黑客自己手上、距离到期只剩一小时且即将变成废纸的“末日期权”。
透过这种“他卖我买”的接货形式,表面上营造出合法的交易纪录,实际上在当天便将巨额现金全数安全输出。
双重认证2FA已失守?专家拆解“唱高散货”埋伏流派
杨女士百思不得其解,其先生退休前从事网络保安工作,两人的手机电脑亦无被入侵迹象,更从不点击不明链接,究竟黑客如何盗取每30秒更新一次的“Google双重认证(2FA)”密码?
专家指出,这是一种近年盛行的“唱高散货”黑客手法。黑客通常会利用与官方一模一样的伪造钓鱼网页,在背后即时复制事主输入的用户名、密码及2FA。
黑客在成功登入真正的证券账户后,会利用程序移动浏览器令其“一直不登出”,随后如同特工般默默埋伏,静候杨女士登上飞机等最佳时机才出手交易。
专家感直言,随着AI技术进步,行之多年的2FA在几年前或许安全,如今已不足以保障资产,呼吁公众应转用绑定特定实体机器的“Passkey(密钥)”功能。
证券行与证监会拒受理 重案组已介入调查
更令杨女士气愤的是证券行的冷漠态度。她事后发现,自己的电子邮箱在案发几天内离奇空白一片,怀疑电邮一早被黑客劫持拦截。证券行承认在15日至19日期间,曾有高达15次使用“新装置”登入的异常活动,却从未致电向事主核实。
事后证券行与证监会均以“事主乃合规经过双重认证登入”为由结案,拒绝承担责任;而因涉案金额超过100万港元,证券行更拒绝进行双方仲裁,令小市民投诉无门。目前案件已交由重案组彻查,杨女士无奈表示只能收拾心情好好活下去,亦期盼政府能收紧对金融机构的监管制度。
港生活人气娱乐新闻
【全民投票】 “我的Chill赏假期”填色比赛🎨!
即睇所有作品!投票选出“最高人气奖”得主😍!
↓【免费请您试用!】↓
Mustela婴幼儿夏日防护套装!
探索好去处