小产权房558170多万港元腾讯股票变“仙股”,账户被盗责任谁来担?
随着港股的吸引力越来越大,不少内地居民也都纷纷开通了港股账户。但陈尚近期就遇到一件糟心的事情,他在国都证券(香港)公司(以下简称“国都香港”)开设的港股账户被“骗子”修改登录密码进行未授权操作,将市值170多万港元的腾讯(00700.HK)股票“换成”了不到0.5港元/股的“仙股”。
该事件还在进一步调查处理中,国都香港回复称,接下来可能会转介到“香港金融纠纷调解中心”解决。
腾讯股票变“仙股”
2018年4月10日14时50分左右,陈尚接到国都香港员工的电话,声称监控到他的账户存在即时“高买低卖”的不正常交易,询问是否为本人操作。陈尚已经有一个多月没有使用过自己的港股账户,于是立即同意券商提出的冻结账户,减少损失。
事后经过向国都香港询问了解到,有人冒充陈尚给国都香港客服人员打电话,声称不记得账户密码,让客服人员发送新密码至陈尚登记的邮箱。
澎湃新闻记者在陈尚从国都香港处获得的录音中听到,“骗子”致电国都香港客服人员,准确提供了陈尚的姓名、身份证号、账号以及预留的邮箱地址,随后客服人员即表示将发送预设密码至邮箱。
几分钟后,陈尚在国都香港的证券账户的交易密码被更改,有人盗用他的账户及密码进行操作,造成陈尚直接损失近100万港元,间接损失约200万港元。诡异的是,陈尚经过邮箱后台确认,在其账户被盗用期间(2018年4月10日14时30分2018年4月10日14时56分),其在券商处登记的邮箱无任何登录记录。
根据从券商处调取的操作记录显示,“骗子”使用的电话和IP地址均为深圳。
随后,陈尚据此分别向深圳市沙头派出所以及香港湾仔分区警署报案,但截至发稿时并未收到回应。澎湃新闻记者按照报案回执上的“报警查询电话”致电深圳市沙头派出所,接电话的一位女士要求记者添加派出所的微信,称该电话号码已经不再具备查询受理情况的功能。按照其要求添加微信并留言后,截至发稿时记者并未收到任何回复。记者也多次拨打香港湾仔分区警署电话,一直未曾接通。
上海市君悦律师事务所刑事风险防控团队梁俊杰律师认为,本事件中“骗子”使用的是深圳地区IP地址,登录他人的香港证券账户发出相关交易指令,其行为所破坏的是香港地区而非内地的金融管理秩序,该情形即可能涉及内地与香港区的刑事司法管辖权冲突问题,学术界将此类情形称之为区际刑事管辖冲突。
据梁俊杰介绍,区际刑事管辖冲突,就是在一个国家内部不同法域的制度之间区际刑事管辖冲突。这种冲突在本案中即体现为内地刑法所规定的:属地原则为主,兼采属人原则、保护原则和普遍原则的广泛管辖权,与香港地区所享有的独立司法、终审权之间的冲突。
“不能忽视的是,区际刑事管辖冲突这一现实情况存在,将为本案刑事立案的管辖带来较大的现实困难。”梁俊杰认为。
通过国都香港获取的账户交易记录显示,“骗子”在将陈尚账户中市值170.36万港元的4100股腾讯股票卖出后,分19次以0.5078港元/股的均价买入420万股的华信金融投资(01520.HK)。观察当日该股的K线图可以看到,4月10日该股在下午2时40分左右从0.4港元左右被迅速拉抬,最高涨至0.56港元,当日的成交额也高达307万港元。而平日该股的成交额基本都维持在100万港元以下,有几日甚至仅有20多万港元的成交额,是标准的“仙股”。
之后,华信金融投资股价持续下跌。7月24日,该股收报0.275港元/股,跌6.78%。
华信金融投资2018年4月10日分时图
“骗子”如何获利?
事实上,港股账户“被盗”事件由来已久、屡见不鲜。
据港媒报道,业界表示,“黑客”入侵网上股票户口各种企图都有,最常见是托高细价股(指那些相对来说股票的发行股数比较少的股票。这些股票的好处是因为股票数量少,所以当不太多的资金或者投资者群体打算购买这只股票时,因为供给少,所以比较容易造成价格飙升)股价获利。“黑客”同时可利用有关户口接货,方便套现。
“骗子”获利过程
公开报道显示,早于2012年,香港证监会已关注证券行有关信息科技(IT)骗案有增加趋势,其中有个别证券行曾遭“黑客”入侵网站、有人冒认客户发假电邮欺骗经纪行,香港证监会已要求证券行提高警觉。
2016年3月,香港证监会再表示,近年多家金融机构成为不同类型网络攻击的干扰目标,这些网络攻击越趋频繁及精密,建议券商加强网络保安监控措施。
香港证监会于2017年10月27日发出《降低及纾减与互联网交易相关的黑客入侵风险指引》,要求所有从事互联网交易的持牌人或注册人遵行20项基本规定,借此加强它们在网络保安方面的抵御能力和降低及纾减黑客入侵风险。香港金管局亦提醒注册机构须依照香港证监会指引所载的规定,加强互联网交易服务的保安措施。
疑点1:仅凭基本信息即可修改密码?
本次事件中一个质疑在于,为何仅凭客户的基本信息即可修改密码?修改密码的流程是否规范?
澎湃新闻记者以投资者的身份致电国都香港,客服人员告知,如果想要修改账户密码,需要客户本人致电客服,在核实客户的基本信息后,会向客户事先预留的邮箱发送一份密码重置的表格,由客户本人打印表格后亲笔填写并签名,再拍照回传给券商。表格中会包括客户的姓名、账户等基本个人信息,而手写签名是必须的。
这位客服人员介绍,此前修改密码的方式只需打电话核实个人信息,但今年(2018年)开始比较严格,必须要手写的签名。
在国都证券(香港)公司的官网的“帮助中心”栏目中显示,该公司于2018年4月26日发布了一份《关于通过“国都令牌”APP实施交易登陆双重认证以及交易软件升级》的通知。
这份通知称,为提高客户互联网交易的安全性,香港证监会发布了《降低及纾减与互联网交易相关的黑客入侵风险指引》,要求所有从事互联网证券交易的持牌人遵守相关基本规定。其中,证监会要求所有券商必须实行互联网交易账户登录双重认证,此项措施将于2018年4月27日生效。
双重认证规定使用两项独立的认证因素用以识别登录及下单行为是由用户本人作出,从而大大提升保安防护的作用。
“为进一步提高客户的交易安全性,根据香港证监会指引,我司将在4月27日正式启用登入交易系统双重验证功能。” 国都香港称,双重认证指使用下列任何两项因素的认证机制:客户所知的(例如密码)、客户所有的(例如硬件编码器、在短时间内失效的一次性密码)及客户是谁(即生物特征)。
其他券商也在响应这一指引。澎湃新闻记者在国泰君安国际的官网上看到,一则通知显示,“由2018年4月25日起,因应香港证监会对全港业界所发出的网络保安指引,客户在登入网上及手机交易系统时,必须通过已登记的手机号码或电邮地址接收,成功输入客户账号、网上交易密码及‘一次性验证码’方能进行网上及手机交易。”
疑点2:并未登录邮箱如何获取预设密码?
陈尚认为,国都香港虽然向其登记的邮箱发送了交易账户的新密码,但接受该新密码的邮箱无任何登录记录,因此该密码并非通过陈尚的邮箱泄露,有理由相信是国都香港电子系统等风险管理制度及设施存在重大漏洞而导致陈尚客户账户密码隐私信息泄露。
澎湃新闻记者在其提供的邮箱登录日志中看到,在其账户被盗用期间该邮箱确实无任何登录记录。
那么,是否存在并未登录邮箱但获取邮件内容的情况呢?
一位资深IT人士表示,也是有这种可能性的。“比如,假设原告的手机被黑客入侵,在其上一次登录邮箱时就和邮箱服务器建立连接以后一直保持连线状态,并且截取包含密码的邮件之后终端连接。”
另一位从事账户防护工作的人士则认为,不登录邮箱就获取邮件内容,需要直接到邮件存储的服务器,绕过密码,甚至可能在邮件发送出来时信息即被拦截。
在国都香港给澎湃新闻记者的书面回函中,该券商并未就记者提出的疑点给出回复。“一般对于尚处于有关部门调查阶段的事件或尚未解决的纠纷,如果对外提供有关资讯,有可能直接触犯香港《证券及期货条例》378条法律条款。”国都香港在回函中写道。
据介绍,一般来说,香港的证券公司会按照监管指引制定处理客户投诉的内部流程。在香港证券现行监管制度下,证券公司与客户的纠纷可以转介到“香港金融纠纷调解中心”解决。该中心的调解计划主要是以“先调解,后仲裁”的方式去协助解决金融机构与客户之间牵涉金钱的争议。如该争议未能通过调解方式达成和解,可以选择通过仲裁方式解决。按照相关证监会的指引,证券公司全面遵从金融纠纷调解计划,并受调解计划所订定的纠纷解决程式所约束,对于调解过程中的事件也有相关的保密要求。
