股票黑客的入侵 - 彭博社

在8月14日从比利时和印度为期五周的旅行回到家中，时差反应严重的Korukonda L. Murty查看了他的邮件——并得到了他一生中最大的震惊。来自在线经纪公司E*Trade Financial Corp.的两份月度对账单显示，价值174,000美元的证券——他和妻子大部分的储蓄——已经消失。在7月13日至26日之间，股票和共同基金被出售，收益通过近30,000美元的六笔交易从他的账户中转出。64岁的Murty是北卡罗来纳州立大学的核工程教授，他只能认为这是一个错误。他几个月来没有卖出任何股票。

Murty在早上7点呼叫E*Trade的客服中心时，客服代表急切地建议他立即更改密码。为时已晚。E*Trade表示，Murty在北卡罗来纳州凯里市的电脑缺乏防病毒软件，并且被感染了代码，使黑客能够获取他的用户名和密码。这些网络犯罪分子假装成Murty，指示E*Trade清算他的持股。然后，他们让经纪公司将收益汇入他在富国银行（WFC ）名下的假账户。总部位于纽约的在线经纪公司表示，汇款指示看起来是合法的，因为它们包含了公司通过电子邮件发送给Murty以执行交易的安全代码。但这些网络盗贼也控制了Murty的电子邮件。

“我很震惊”

E*Trade 从富国银行账户中追回了一些资金并将其返还给穆尔提。去年十月，这位出生于印度的教授与该公司达成了他所称的令人满意的和解，而该公司表示自己没有做错任何事。尽管如此，穆尔提经历了许多不眠之夜。“我很震惊。我们不知道人们可以玩这些把戏。”

越来越多的人可以——并且确实在这样做。在最新、最恶劣的互联网证券欺诈中，在线经纪账户正被黑客掠夺，他们利用投资者计算机的弱点，而不是公司的系统。这是一种新的骗局，但正在迅速蔓延。六个月前，证券交易委员会的调查人员表示，这种计划甚至没有出现在他们的雷达上；现在，该机构正深陷其中。

SEC 和 FBI 对网络犯罪嫌疑人展开了紧追不舍的调查，正在进行数十项调查。为了防止更多攻击，SEC 在其网站上发布了警告，并提供保护在线交易账户的建议。“这是一个新的、不断增长的领域，比其他与互联网相关的证券欺诈更复杂、更精细，”SEC 的互联网执法负责人约翰·里德·斯塔克警告说。“而且它仍在不断演变。”

到目前为止，在线经纪账户报告的损失相对较小：过去一年被盗金额不超过 2000 万美元。但网络投资对小偷来说是一个目标丰富的环境：消费者在在线经纪公司拥有价值 1.7 万亿美元的资产，塔楼集团（TowerGroup）是一家金融研究和咨询公司。

与穆尔提的情况一样，经纪公司通常会帮助客户追回他们的资金，或对损失进行赔偿。但如果黑客攻击使投资者离线，行业受到的打击可能会是巨大的。“安全漏洞的真正成本是信心的丧失，”位于加利福尼亚州圣马特奥的身份验证系统开发公司 TriCipher Inc. 的首席执行官拉维·甘尼森说。这就是为什么经纪公司向客户提供一系列免费的或折扣的安全措施。“如果我们希望我们的公司继续成功，人们在这里时必须感到安全和放心，”E*Trade 总裁 R. Jarrett Lilien 说。

关注东欧

家庭电脑用户令人担忧地脆弱。高速和无线连接的普及使黑客更容易入侵。尽管如此，2004年10月，美国在线和国家网络安全联盟的一项调查发现，84%的计算机用户在家用电脑上保存敏感的个人信息，包括财务数据。

为了劫持经纪账户，黑客们将他们的手段提升到了一个新水平。执法人员表示，这些入侵涉及黑客攻击或网络钓鱼以提取客户信息，结合身份盗窃和证券欺诈，复杂的骗局由团伙执行。“通常是两到三个人合作，”一位FBI专家说。“通常的特征是拥有金融或银行研究生学位的人。”FBI、特勤局和私人安全公司认为，大多数在线股票盗贼都位于东欧。

幸运的是，一些客户在金融灾难发生之前发现了黑客入侵。41岁的乔治·罗德里格斯在5月5日上午9:31在北卡罗来纳州的Waxhaw家中工作时，来自Ameritrade Inc.的一系列电子邮件开始在他的电脑屏幕上闪烁。几分钟内，他在家得宝、福特汽车、杜克电力（DUK ）和辉瑞的持股全部被出售。价值约60,000美元的蓝筹股从罗德里格斯在互联网泡沫时期积极交易但自2001年以来基本上被忽视的账户中被抽走。

拯救罗德里格斯的是：罪犯以某种方式未能更改交易确认的电子邮件地址。“如果他们这样做了，或者我正在度假，我可能会被清空，”罗德里格斯说，他是北卡罗来纳州夏洛特的房地产投资公司Waterstone Capital Advisors的合伙人。Ameritrade“表示他们会作为‘礼貌’取消订单，”他说，因此他没有损失任何钱。奥马哈经纪公司的发言人说：“发生在[罗德里格斯]身上的不幸事件是Ameritrade和金融行业必须处理的问题。”

不过，经纪人表示客户必须保护自己。OptionsXpress Holdings的首席执行官David S. Kalt说，骗子“正在从客户的计算机上嗅探信息，而不是从我们的网络中获取。”联邦调查人员对此表示认同。“经纪公司计算机的完整性似乎是无懈可击的，”一位FBI消息人士说。

但即使投资者不小心，在线经纪人也知道，如果用户感到恐慌，电子交易可能会枯竭。这就是为什么Ameritrade为客户提供一个程序，当他们登录互联网时，可以扫描计算机以查找恶意代码。E*Trade在四月开始向账户余额在50,000美元或以上的投资者提供ID令牌，这些设备每60秒生成一个新的六位数登录代码。超过10%的E*Trade每日登录使用这些设备。在一月，E*Trade将推出更先进的交易安全措施，主席Lilien承诺“将使我们的安全ID程序显得过时。”

在线经纪人可以向银行学习，后者明年将被要求使用最先进的安全措施。许多网络专家认为，与其指责客户，证券和高科技行业需要主动教育客户，并为他们提供所需的设备和软件，以确保他们的交易安全。位于俄亥俄州梅森的网络安全顾问Echelon One LLC的首席执行官Robert K. West说：“在一个连VCR时钟都无法设置的社会中，期望人们跟上所有这些补丁和防火墙是疯狂的。”当然，黑客希望投资者保持无知。

作者：Amy Borrus，华盛顿的Mike McNamee，亚特兰大的Brian Grow，以及芝加哥的Adrienne Carter