Блог им. Gravizapa

А ваш счет защещен от хакерского гоп-стопа?

По своему профессиональному роду деятельности мне, к сожалению, приходилось сталкиваться с мошенническими действиями в сети интернет.

Практика у меня приближена к дистанционному Банковскому обслуживанию. Однако поверте, механизм кражи ключей одинаков, разница заключается только в способе перекачки денег со счета и их обналички.


Думаю когда люди выбирают брокера мало кто задумывается о безопасности операций. А ведь это должен быть одним из основных пунктов при выборе брокера! Согласитсь, никому не хотелось бы отдать кровно заработанные деньги дяде из олупки:)
 
Начнем с описания схемы и способов кражи.
 
Все мы пользуемся терминалами для торговли, чтобы получить доступ к счету необходимо ввести логин-пароль, часто, но далеко не всегда, предлагается сгенирироваль криптографический ключ. И дальше начинается самое интересное. Почти все брокеры снимают с с себя ответственность за хранение ключей и паролей(Это буден написано в договоре). Действительно, купив машину,  завод уже не  будет обязан её охранять. Поэтому вся тяжесть ноши лежит на плечах клиента.

Как поступает мошенник и кто это?
Обычно это организованная группа людей. Одни крадут ключи, другие занимаются переводом денег, третьи обналичкой. Хотя думаю есть и спецы охватывающие все пункты в одиночку.
 
Если клиент использует криптоключи, то даже перехватив информации злоумышленник не сможет ей воспользоваться, так как современные алгоритмы криптозащиты имеют достаточный уровень стойкости (то есть времени необходимого для взлома на современных вычислительных средствах ), поэтому остается только одно – нужно получить в доступ ключи и пароли трейдера.
 
Сделать это обычно очень легко. Самый простой способ банальная кража с помощью трояна.
 
Злоумышленник создаёт троянскую программу и запускает её в сеть. Ему не важно знать имеет ли человек брокерский терминал или нет. Программа сама определит это и если обнаружит, то начнет своё «грязное дело».(Причем сегодня совсем не нужно быть программистом для создания такого рода программ, можно купить конструктор и собрать все самому. )
Первое – запись всего что вводит человек с клавиатуры.
 Второе поиск и передача криптоключей спецу.
Более того, некоторые могут передать даже фотографии экрана.


Теперь у  злоумышленника есть пароль и ключ клиента. Дальше дело техники. Это не банковский счет, просто отправить деньги на крату и быстро снять не получится.
Тут мои познания не глубоки, придется воспользоваться источниками.:)
 Можно сделать через биржевые сделки с низколиквидными ценными бумагами. Предварительно злоумышленник приобретает на свое имя пакет акций какого-нибудь эмитента третьего эшелона. Получив доступ к счету инвестора, на его деньги он начинает скупать бумаги этого эмитента. Из-за низкой ликвидности котировки тут же взлетают. «На пике рынка» проводится продажа собственного пакета. Как только искусственная подпитка спроса исчезает, цены моментально возвращаются к начальному уровню. Подешевевший «неликвид» оседает на счетах ничего не подозревающей жертвы.
Именно так действовал на американских площадках 21-летний выходец из России Алексей Камардин. В июле-августе прошлого года он взломал счета в нескольких крупных брокерских компаниях, в том числе в упоминавшейся E-trade. Незаконные доходы злоумышленника SEC оценила в $83 тыс. Брокеры компенсировали их своим клиентам из собственного кармана. Алексей Хорунжий в этой связи напоминает, что биржи для пресечения манипуляций ограничивают максимально допустимый диапазон колебания цен во время одной торговой сессии. «Эти меры ограничивают возможные потери до незначительного процента от общей суммы активов», – успокаивает Максим Петров. По его словам, «Олма» ведет параллельный учет клиентских операций в нескольких системах. И даже получив полный контроль над 90% таких систем, хакер не успеет на этом много заработать и нанести ущерб инвесторам.

На сегодняшнем этапе развития российского рынка заниматься взломом брокерских счетов просто невыгодно, считает трейдер CYGroup Сергей Максимов. Это слишком дорого, учитывая средний размер суммы на счете. «Сейчас действия самих клиентов как раз и являются узким местом в системе защиты. Нужно ответст­венно подходить к использованию ключа электронной подписи, оповещать брокера при его утрате и ограничивать доступ к своему компьютеру», – подводит черту Александр Щеглов.

Как видно все это не «где-то там», а все это реально и здесь!
Как же себя защитить  на сегодняшний день. Ответ прост. Довести безопасность до абсурда:
  • Никогда не использовать хваленый  «тонкий-клиент», когда торговля происходит без установки специальных программ прямо в окне браузера.
  • Использовать для торговли специально отведенный компьютер. Лучше ноутбук чтобы всегда  можно было взять с собой.
  • Обязательная установка антивируса и фаервола. Даже без настройки эти средства понизят риск заражения компьютера.
  • Использовать только лицензионное программное обеспечение! Именно сборки и взломанные программы используются для распространения троянов.
  • Не использовать этот компьютер для поиска «горячих» сайтов, да и вообще любых. Как показывает практика заразиться можно даже на вполне пристойных сайтах внушающих доверие.
Наконец главное- хранение ключей.

Что сейчас обычно советует Ваш брокер – дискету или флешку. Все это знакомо злоумышленникам, именно туда полезет троян в первую очередЬ!
На сегодняшний день придумано средство способное защитить нас с вами. Это – eToken. Напоминает флешку, но гораздо более защищен. Используется для хранения важной информации. Например наших криптоключей. Однако далеко не все брокеры  предоставляют данную услугу. Подборку не делал. Предлагаю в коментах написать кто-что слышал.
Но eToken не способен защитить вас полностью. Так как пароль остаётся доступным, да и ключи все же можно украсть. Для «полной» безопасности, на текущий момент, создан ОТР Token – позволяющий генерировать каждый раз новый пароль, что лишает злоумышленника воспользоваться краденым паролем.
Есть ли такие брокеры? Я не знаю.Что будет если деньги пропадут? Спорный вопрос, но брокер будет бадаться до последнего чтобы их не отдавать.
И еще. Некоторые брокеры помогают генирировать малограмотным клиентов ключи. Что тут сказать – риск выбираете сами.
★47
52 комментария
Вобщем как обещеал набросал статейку по безопасности. Сейчас попробую все это отредактировать.Чтобы было читабельно.
avatar
Gravizapa, вот я и попал под такую хакерскую атаку со своим маленьким счетом ))
avatar
у меня защита железная и все равно очкую).хорошо что темы такие поднимаются!
avatar
Wizard, Я набросал простенько.Чтобы совсем уже легко не попасть простым юзерам.
avatar
Я понимаю что мало кто об этом задумывается, пока пеиух не клюнет.Но настоятельно рекомендую всем проситать для общего ознакомления.
avatar
ЧТо написал сам не понял.пеиух = петух. проситать — прочитать. Пора уже сделать редактор сообщений.
avatar
Gravizapa, достаточно пользоваться Хромом, он тебе все ошибки подчеркнет
FluffyCat, Дома опера.Тоже привит.Но там где писал стоит експлорер.
avatar
знаю, что в альфа директе используется рутокен… либо генеришь ключи сам на юсбишку
avatar
Shaiker, Про альфу знал.Единственных их и знал.Но сам посебе токен лишь улучшает защиту, но сегодня и они не могут спасти.Нужент именно OTP Token.Попытки кражи таких паролей были, но вот украть деньги не удалось.
avatar
Gravizapa, это где код на токене генерится ввиде цифр? у неттрейдера вроде есть такая хрень
avatar
Да это оно! Но это не хрень, а передовое средство защиты! Единственно верное решение слабо поддающееся атакам.Пока я не слышал чтобы смоглт украсть деньги со счета с такой «хренью»:)
avatar
у меня вот есть Token от Альфы — а могу ли я туда что-то скопировать? т.е. использовать его как некое хранилище файлов
avatar
Дмитрий Ричев, В теории да.На практике нет:) Во-первых объем защищенной памяти мизерный.Во-вторых для работы с еТокеном нужно программное обеспечение.Просто так им не воспользуешься.Вообще их все же придумали для аутентификации, а не перетаскивания информации.
avatar
reger, wifi слабая точка… фильтр по ip лучше менять на фильтр по MAC — но и MAC в unix легко подделывается
avatar
Дмитрий Ричев, почему в юникс? везде подделывается)
avatar
Да, актуальная тема, я логин/пароли с кнопок не ввожу, они вбиты в текстовик. Копи-пастю, вроде трояны такое не пасут, т.к. сложно такое запрограммить.
Burger, пасут клипборд) практически все)))
avatar
-pilot-, Ага.Копирование не спасет.Спасет только отсутствие троянов:)
avatar
Burger, многие так делают, до тех пор, пока подобный файл (со всеми паролями) один раз не окажется в плохих руках. Советую Вам избавиться от данной практики. Можно придумывать сложные пароли для подбора, но которые легко запоминаются и набираются.
avatar
Виктор, Да хоть 50 символов.Троян запишет их и передаст.Пароли не подбирают.Их крадут!
avatar
Gravizapa, и подбирают тоже :) Все таки лучше хранить пароль в голове, так меньше шансов, что его украдут, в сравнении с описанным выше вариантом.
avatar
Виктор, знаю, сам сис. админил, конечно пароль навороченный :) и антивирус достойный, но вероятность, что за компом окажется кто-то, кроме меня совсем не нулевая. Вся надежда на крипто-ключ.
Burger, тру-эксперты по безопасности свои пароли на стикерах к монитору приклеивают))
avatar
Согласен с автором, но добавлю:
1) на текущем этапе ломать трейдеров не интересно тк гораздо больше и проще можно украсть у юриков
2) функциональность троянов под ДБО сейчас поддерживает «автозалив» (думаю знаешь что это), что делает любую защиту на базе токенов неэффективной
3) ОТП токен поможет только если пароль привязан к реквизитам операции
4) лбая защита ломается о тупость пользователя, фишинговые схемы слвместно с троянами творят чудеса )) в любом случае из 100 умных клиентов найдется пара дураков, которым дай хоть ОТП, хоть ЛСД токен, все будет пох.
В целом повторюсь ломать частных трейдеов это пока дикость пока есть гораздо более интересные таргеты для атака
avatar
-pilot-, Все так и есть.Но ОТП на сегодняшний день лучшее что есть:)Если конечно не введут что-то типа звонка брокера о совершении операции:)
avatar
Gravizapa, мне показали ктийский дбо, интересная тема — у них все операции через девайс с экраном на котором реквизиты рисуются, стоит 250р.
avatar
-pilot-, Пока не слышал о таком.Да и цена 250р настораживает.Токен простой стоит дороже, а тут с экраном еще:)
avatar
Gravizapa, и вернёмся к тому, что было раньше, когда брокер собственноручно исполнял заявки. А терминал превратиться в котировочную доску и инструмент для тех. Анализа :)
avatar
Виктор, Согласен.Но можно хотя бы подтверждать вход в систему.
avatar
Gravizapa, и тогда придумают новые хитрости, как украсть деньги.
ИМХО. Самый оптимальный вариант это привязка к железу, в дополнение к имеющимся средствам защиты. Это максимально усложнит кражу денег со счета.
avatar
Виктор, Думаю все дело в массовости.Одно дело рассказать нескольким сотням ну пусть пару тысячем ЮР лиц в банке.Или толпам трейдеров, бабушкам и дедушкам.Все это сложно для них.
avatar
Gravizapa, полностью согласен. В помощь, грамотно написанный мануал и служба поддержки :)
avatar
Вообще, если счёт от 1 млн., то 2 компа и 2 провайдера: с одного торговля, с другого — смарт-лаб и прочие трейдерские сайты (чтобы торговый айпишник не палить). На компе, с которого торговля — квик, КИС (или аналог) и винда — всё. КИС в режиме «разрешён только квик». И токены не нужны
avatar
mx_tan, да но периодически с торгового компа есь желание что-то в интене посмотреть… Порнуху там новости))
avatar
Добавлю и свои 3 копейки…
ИМХО: ставить любой комбайн (КИС, НИС, и т.д.) опасней, чем использовать отдельно антивир+ фаер+хипс от разных производителей… Один зловред заточенный под конкретный комбайн и всё уплыло и чем более распространён в вашем регионе (например КИС) — тем вероятнее.
Сам помимо антивир+ фаер+хипс использую ещё прогу Shadow Defender — виртуализует выбранный диск с ОС или весь комп…
После перезагрузки всё прилипшее стирается. Нужное заранее добавляется в исключения (и сохраняется).
avatar
Если Петров Петр Петрович взломает систему, получив ключи и пароль от квика, а при этом вас зовут Иванов Иван Иванович, то Петя не сможет вывести деньги на свой счет. По крайней мере у моего брокера так.
ЗЫ Обзаводитесь редкими фамилиями — это тоже неплохой фаервол!)
avatar
Azazello, Он их не выводит.Он их проигрывает на свой счет:)Путем нехитрых операций с неликвидов вы остаётесь без денег.
avatar
Gravizapa, какая сумма должна быть на счету для этого? 50000 рынок особо не разгонишь.
avatar
Azazello, Советую для начало посмотреть низколиквид.А потом уже думать о сумме.
avatar
а зачем тогда ходить к брокеру, подписывать отчет, подтверждающий твои операции каждый месяц? или он ничего не значит?
avatar
я, например, всегда набираю логин и пароль длиннее в 2 раза, чем обычно. потом мышкой стираю лишнее. я думаю, такой троян надо поискать, чтобы пароль спер.
avatar
Евгений Огневой, Подписывать отчеты ходишь не ради себя, а ради брокера:) А троянов полно.И искать не надо.Можно просто купить.
avatar
Gravizapa, хожу ради брокера? а можно подробнее? что будет, если я не буду отдавать эти отчеты?
И про трояны- ты думаешь есть такой троян, который видит, сколько я символов стираю ОДНИМ нажатием?
avatar
Очень интересный пост, сам частенько задумывался над этим.Про ввод паролей -у касперского есть виртуальная клавиатура, не панацея, но всё же… Про попытки кражи — вариант когда тебе нальют неликвида, возможен конечно, но это скорей для инвесторов, кто не сидит в торгах с 10 до 19.00, мне вот слабо представляется, что активный скальпер на фьючерсе РТСном не заметит в портфеле появления какой-нибудь акции, например Проект И :).Все остальные варианты потребуют уже знание расчётного счёта и паролей пласт.карты, и опять же-даже если и это можно сделать, то действия по карте сразу оповещаются смской и ты сразу блокируешь карту
avatar
Подскажите, пожалуйста, можно ли сгенерировать новые ключи и изменить пароль в работающем квике?
avatar
«Можно сделать через биржевые сделки с низколиквидными ценными бумагами. Предварительно злоумышленник приобретает на свое имя пакет акций какого-нибудь эмитента третьего эшелона. Получив доступ к счету инвестора, на его деньги он начинает скупать бумаги этого эмитента. Из-за низкой ликвидности котировки тут же взлетают. «На пике рынка» проводится продажа собственного пакета. Как только искусственная подпитка спроса исчезает, цены моментально возвращаются к начальному уровню. Подешевевший «неликвид» оседает на счетах ничего не подозревающей жертвы.»
Прочёл и задумался, как на биржевом рынке в режиме реальных электронных торгов можно сделать слив неликвида с одного именного счёта на другой? Извините это бред. В режиме адресных сделок — да, понимаю, такое возможно. Но, обязательно через брокера, то бишь брокер будет в доле однозначно. А вот если Вас захотят гоп-стопнуть через биржевой стакан, то при появлении ликвидности в нём, тут же появятся желающие под биды хакера поставить свои офера и хакер купит неликвид не со своего счёта, а у других держателей неликвида, ну и денюжки жертвы он следовательно им же и отдаст. Так что вот. ;)
avatar
был печальный опыт взломали счет на инстафорекс увели порядка 200 долл хорошо на инсте система такая вывод денег только на счет откуда пополнял так что ребята обломались деньги все равно на счет вернулись правда только через неделю попали на счет.взломали через почту яндекса письмо об открытии счета не удалил
avatar
akela12, у дц у всех такая система вывода денег
avatar
у меня майкрософтовский бесплатный антивирус на компе и ноутах. При том, что на компе винда не лицензионная)))
Все ништяк)

А вот мак афи, который вместе с ноутом навязывается — редкостное говно. Касперский туда же. Сам сцуко и придумывает вирусы, чтобы люди его бяку зависающую покупали.
avatar

теги блога Roman Resner

....все тэги



UPDONW
Новый дизайн