期货交易密码安全警钟:黑客“对敲”小众品种 千万资产乾坤大挪移 不通过银行转账,如何操纵一个账户将其中的款项腾挪到另外一个陌生账户? 看似复杂,其实说来与证券市场上的操作手段类似,先选择一个在期货市场小众、不活跃的品种(包括铅、锡、玻璃、锰硅),用自己的账户在低处买进,用别人账户高买拉高交易价格,最后将自己账户平仓,抽身而逃。整个过程时间非常短,多为1小时左右。 作为投资者,对自己期货账户内资金的安全问题往往不用太担心,毕竟作为使用银证进行转账,并由国家期货监察机构进行监察的投资方式,其资金安全照理来说是理所应当的。但就是在这看似绝对安全的交易环境下,有近30年交易经验的资深期货投资者李斌(化名),和某上市公司、两家基金、刘先生、雷先生共六个账户中的千万资金却被“谜”一般卷走了。 两个“黑客”账户浮出水面 事情最早可以追溯到2016年12月28日,像往常一样,李斌打开自己的账户,却发现自己的账户被人操作锰硅这一小众品种,账户里四五百万的资产竟然亏损大半。 李斌迅速联系了开户的期货公司,后者建议其写一封举报信给郑州商品交易所和上海期货交易所。除此之外,李斌还向上海市静安分局刑侦支队报案,警方已经立案。 报案之后,相关监管机构迅速锁定两个有盗取账户嫌疑的人,云南昆明的杨佳航(化名)和安徽省淮北市的徐林(化名),并对两个账户做监管和限制出金,通过了解市场异常交易、账户违法得利、IP地址等信息,认为杨佳航和徐林账户存在异常交易。而相关监管机构锁定了名为袁某的一个账户名,并通过IP和MAC地址的关联性,最终把杨佳航确定为袁某账户的实际控制人。 根据21世纪经济报道获得的一份相关官方机构的核查函件,判断依据有三:一是杨佳航和徐林是被盗账户的主要交易对手方,在案发时间内,并不存在其他交易对手;二是徐林的账户在开户后,截止到2016年12月28日,这个账户只在涉案日期和涉案合约做了交易;三是被盗账户在2016年12月20日到28日之间使用的IP/MAC地址,与徐、杨二人交易使用的一致。 21世纪经济报道获得的一份相关官方机构的排查报告显示,杨作为上述名为袁某的账户的实控人,在2016年9月到11月之间于多家期货公司频繁开户,且除了盗取李斌账户之外,至少还涉嫌盗取前述上市公司、深圳市某投资基金管理有限公司和一位刘姓期货投资者三个账户的密码。 多空对敲资金“大挪移” 不通过银行转账,如何操纵一个账户将其中的款项腾挪到另外一个陌生账户? 看似复杂,其实说来与证券市场上的操作手段类似,先选择一个在期货市场小众、不活跃的品种(包括铅、锡、玻璃、锰硅),用自己的账户在低处买进,用别人账户高买拉高交易价格,最后将自己账户平仓,抽身而逃。整个过程时间非常短,多为1小时左右。 以袁某账户2016年11月10日在某基金账户铅(PB)1701合约中的操作为例: 在当日凌晨0:32:12到0:40:03的8分钟内,某基金以高于市场最优价的17320元/吨,分38笔,每笔10手到40手报买入开仓,从而使得当时的市场价每吨上升了10元,然后0:46:23到0:56:36这10分钟之间,又以低于当时市场最优价的16795元/吨,分40笔,每笔4手到50手报卖出平仓,从而使当时的市场价从17210元/吨下降到17040元/吨。 在短短24分钟之中,某基金的这个被盗账户买入和卖出各610手,买入卖出差价高达524元/吨,小额频繁报单集中高价买入,又小额集中低价平仓。 之所以这么做,是因为用于“收割成果”的账号早已埋伏进去。 袁某的账户在某基金账户买入之前一日的23:53:35和当日的0:05:18分别买开和卖平1手,这种行为有些类似于测试账户交易功能,为接下来的行为“热身”。 然后这个账户在0:20:17至0:30:09这10分钟内,分20笔共38手,以当时市场价(17190元至17225元/吨不等)报单买入。在看到市场价被某基金账户抬升之后,袁某账户又以当时市场价卖出成交89手,其中38手是卖出平仓,51手是卖出开仓(相当于股票做空)。1分钟后又以17070元/吨至17200元/吨的价格预埋单报买入平今仓21手。 在某基金账户以低价卖出平仓之时,市场价下跌,袁某账户的预埋单先成交21手,然后又以17105元/吨到17110元/吨的价格报买平今仓30手。 总之,在盗码期间之前,先买入报单和成交,价格推高之后再较为集中地卖出;价格被推低后,又较多买入平仓。这一来一回,袁某账户在这一小时左右盈利5.5万元。 “我研究了我账户里的4万多笔交易,手法也差不多。相当于高位抛出赚第一笔钱,再通过做空赚第二笔钱,割两次韭菜,这是严重扰乱市场秩序的行为。”李斌对记者表示。 无独有偶,根据相关机构的排查报告,袁某账户2016年11月14日盗取上市公司套期保值账户,以类似操作在锡这个品种上盈利40万元。 上述报告认为,袁某的账户与杨佳航的账户可能存在实际控制关系,从袁某账户的报单、成交来看,袁某账户在2016年11月-12月之间,与某上市公司、某基金以及刘姓投资人等账户被盗码都有重大嫌疑。 多线程爆破破译密码? 这个进行千万资金转移的杨佳航的账户,背后究竟是什么人,这个人又是利用什么技术获取他人账号的呢? 21世纪经济报道记者多方了解得知,前述案例均已在相关管辖区域公安系统立案,具体案情尚待相关部门进一步披露。但报道中的几个案例,足以对投资者和相关监管机构敲响证券市场交易安全警钟。 李斌多方了解到,杨佳航是一个名牌大学毕业生,平时工作是程序员。警方介入调查后发现,杨佳航从2016年下半年开始,从西南地区一家期货公司租用了袁某的账号作为“对敲”盗码账号获利的工具。 李斌还指出,涉嫌使用的盗取密码的“黑科技”,叫做“多线程爆破”技术。 “多线程”指的是从软件或者硬件上实现多个线程并发执行的技术。 一位技术专家向记者举例称,比如黑客有本“字典”,里面是一些投资者经常设置的密码,比如“888888”或者“666666”,然后在攻击了期货公司服务器之后,用字典中的密码一个个试。如果单线程一个个密码去试,那么试完所有密码要耗费大量时间。但电脑在运行单个程序往往占用内存很少,所以为了提高效率,可以让电脑同时运行多个程序,于是多线程爆破就类似于同一台电脑同时进行大量运算,快速匹配上密码和相对应的账号。如果刚好服务器中有一个账户使用的密码在“字典”之中,那么这个账户就面临被盗用的风险。 “不过证监会对期货公司等金融机构的保密要求很高,绝大多数公司会设置一定的风控措施,比如同一个IP地址短时间内访问次数不能超过多少次。”上述专家表示。 不过,到底是不是多线程爆破,尚待警方最终定论。上述技术专家认为还有一种可能性是投资者个人无意中泄露了信息,被嫌疑人捕捉到,直接用密码登录了,目前还无法做出确切的判断。 不过盗码案件在期货交易中并不罕见。 微信公众号“上期所发布”在去年“3·15”期间曾经披露过类似案件:上期所监控系统发现一系列“对敲”的异常交易,三起案件中盈利方获利7500元到19060元不等,且受害方则均非本人交易。嫌疑人在同一期货营业部开户,利用同一远期不活跃合约,较短时间内完成对敲交易,30分钟内快速转账提现。上期所后来锁定了嫌疑人方某,方某利用木马盗取期货交易密码,然后借用他人身份证设立期货账户,通过期货远期合约对敲交易,以达成迅速套现侵占他人资产的目的。而此后方某等5名犯罪嫌疑人相继落网,成为国内首例因盗码交易而被刑事制裁的案件。 “这种案件性质定为盗窃非常困难,”一位资深金融律师对21世纪经济报道记者表示,“如果是直接转移期货账户资产,存在转移、占有的行为,可以定性为盗窃;但如果通过交易造成经济损失,很难认定为盗窃,没有对应的法律条款。” 同样以李斌等六人的案情来看,目前也存在一定的困局待破。 比如李斌类案件,目前对其不利的地方还在于,虽然公安在对杨佳航2017年录口供的时候,对方已经承认操控其账户非法获利,但随即又翻供矢口否认。而当时操纵李斌账户的电脑IP地址远在哈尔滨而非昆明,难以获得杨佳航远程操控哈尔滨电脑的证据。 (作者:周炎炎,金瀚洋)