隐患之二:新闻报道欠规范
就像市场信息源一样,新闻也能够迅速地影响股价。而伪造市场新闻的难度也相当小。
举例来说,许多年前,某家提供终端服务的公司收到过一封伪造的关于上市公司Emulex的新闻传真。这条新闻报道了该公司的负面新闻。为了抢夺先机,该公司没有验证传真的内容,就由编辑并直接向终端发送了这条新闻。
其它新闻机构也不甘落后,开始发布同样的消息。结果,Emulex的股票应声而跌。假传真的炮制者就趁此大量低价买入该公司的股票。
后来,SEC进行了调查,并抓获了制造假新闻的人,但是调查仅仅是为了抓获制造假新闻的人,而没有发现正是因为新闻机构缺乏控制,才导致欺诈的发生。令人沮丧的是,这样的事情今天仍然可能发生——成功地欺骗一家金融信息机构,然后下手。
第三点隐患:终端认证存在漏洞
在一家我熟悉的公司,终端是以指纹验证登录的。指纹扫描仪首先取客户指纹线中的若干个点,把图像存储下来用作今后的验证。如果匹配率达到80%以上,就视为验证成功。
这种做法的问题在于,图像存储在终端内的指纹扫描仪内部,而不是终端提供商的认证服务器上。所以,有知识的黑客只需要在本地伪造一幅图像,就能骗过指纹扫描仪,成功登录。当然,这需要高超的技巧,以及深入了解扫描仪的工作原理。但是指纹扫描仪在行业中应用很广泛,获得这种设备,检测认证传输协议,然后伪造图像进行攻击并不是难事。
黑客能从这种认证漏洞中得到什么好处呢?他们可以在被侵入的终端上进行交易。如果侵入了恰当的终端,或者说,金融服务行业主要交易机构的终端,他们就能够大量买进卖出某支股票。确实,这样做代价不小,但考虑到潜在的收益,还是会有人铤而走险的。
为什么问题被忽视了?
了解这些之后,读者或许会问,为什么这些机构不进行更多的监管呢?毕竟,这些隐患如果遭到利用,会对金融市场产生严重的影响,或者,至少给了个人提供了欺诈的机会。
其实,并不是金融信息机构和交易终端设备提供商有意忽视安全,而是因为它们处于法律监管的空白地带。如果他们是上市公司,就绝对不敢忽视塞班斯法案。它们也不是银行,所以美联储和货币监理署没有对它们进行管制。如果它们只是提供前端设备(也就是终端),就可以绕过SEC关于证券市场交易的任何规定,为经纪人业务服务公司提供设备。这样就能逃避联邦政府和州政府的管制规定。
目前,塞班斯法案的实施引起了反感,金融服务行业也因此缺乏动力遵守新的管制规定。所以,尽管这些隐患存在,而且金融市场在巨大的风险中运行,此行业仍然会这样继续下去,直到有一天遇到上文描述的灾难为止。在此之前,整个行业都会不会真正重视类似的事故。
