<HELP> for explanation

Блог им. Ewsam

Как защитить квик

В связи с паническими криками людей, которые по своей вине(а бреши в безопасности это именно вина клиента) потеряли свои кровные, хочу немного рассказать о том, каким образом можно обезопасить себя от противоправных действий третьих лиц.

1. если у вас на счету небольшие суммы или вы не планируете совершать частые операции не устанавливайте квик, торгуйте с голоса.

2. подавайте поручение на регистрацию/замену ключей не по почте а через личный кабинет.

3. если ваш счет открыт по агентской схеме- не поручайте агенту делать ключи за вас. (могут ломануть не вас а агента)

4. всегда есть возможность привязать квик к IP. Потратьте 20 рублей в месяц на статический IP адресс, и никто не сможет подавать поручения за Вас.

Что делать, я написал выше. Теперь давайте разберем кто виноват.
Я думаю что все люди грамотные и умеют читать, только вот читать регламент никто не любит.
Напишу на примере БКС: берем регламент, приложение 8, пункт 4.2 и далее. читаем

4.3.2.      направить в ООО «Компания БКС» открытый ключ одним из способов, предусмотренных настоящим Cоглашением. В случае направления Клиентом  открытого ключа надлежащим способом и получения ООО «Компания БКС» открытого ключа ООО «Компания БКС» размещает информацию о получении открытого ключа на www-странице (веб-портале) Клиента;

 ВЫДЕЛЕНО ЖИРНЫМ 
 Все действия по изготовлению собственного секретного криптографического ключа должны выполняться самостоятельно каждым из уполномоченных лиц. Уполномоченные лица Клиента не имеют право использовать секретные ключи, полученные от других лиц. Всю ответственность за соблюдение уполномоченными лицами настоящего требования несет Клиент.

и вот отдельный момент, на который надо ссылаться
1.1     Способами направления в ООО «Компания БКС» открытого криптографического ключа для работы с программным обеспечением система QUIK МР «Брокер», являются:
4.6.1. отправка открытого криптографического ключа с электронного адреса, указанного в анкете Клиента, на электронный адрес quikreg@bcs.ru либо на адрес электронной почты c доменом @bcs.ru, утвержденный приказом единоличного исполнительного органа ООО «Компания БКС» в качестве надлежащего адреса для приема открытых криптографических ключей Клиентов.
4.6.2. отправка открытого криптографического ключа в ООО «Компания БКС» через www-страницу (веб-портал) Клиента с приложением электронно-цифровой подписи Клиента либо лица, уполномоченного Клиентом;
4.6.3. отправка открытого криптографического ключа в ООО «Компания БКС» через www-страницу (веб-портал) Клиента без приложения электронно-цифровой подписи Клиента либо лица, уполномоченного Клиентом. Электронный документ, содержащий открытый криптографический ключ, направленный Клиентом (лицом, уполномоченным Клиентом) способом, указанным в настоящем пункте Соглашения, успешно полученный ООО «Компания БКС», имеет юридическую силу, соответствующую юридической силе аналогичного по смыслу и содержанию документа, составленного на бумажном носителе, совершенного в письменной форме и подписанного собственноручной подписью этого же Клиента. При этом пароль для доступа к  конфиденциальному разделу www-страницы (веб-порталу) Клиента признается ООО «Компания БКС» и Клиентом эквивалентным подписи Клиента на документах на бумажном носителе (аналогом собственноручной подписи Клиента), и признается ООО «Компания БКС» и Клиентом в качестве однозначного и бесспорного подтверждения факта размещения Клиентом открытого криптографического ключа на www-странице (веб-портале) Клиента.
На примере Финама:
Открываем регламент, читаем пункт 27, там и далее подробно все описано

 

ну вот про IP пожалуй самое дельное предложение.

А вообще совет брокерам — SMS что ли отправляйте клиентам с кодом, который в личном кабинете надо прописать для активации услуги которую мы просим. Это делов то на 3 рубля и 3 минуты.
avatar

RidayTrader

Dimanite, вот мне финам регулярно при входе в квик предлагает подключить услугу смс уведломления о совершении сделок. мне это не очень надо.
А так в плане безопасности наверное можно, но как правило ЭЦП имеет достаточно сильную защиту
Гуд)+
avatar

livladimir

Расскажите про 4 пункт пожалуйста подробней. Если не сложно. Как это сделать?
Евгений Пастушенко, в бкс есть такая услуга, обратитесь за ней к своему инвест консультанту
И.А., ок… но у меня Финам. Попробую с ними.
Евгений Пастушенко, обратитесь, к своему консультанту
Евгений Пастушенко, у домашнего провайдера подключаешь услугу «статичный IP» 150 h в месяц обычно

В настройках квика где-то была вкладка с какого IP подключаться. Тут не вспомню, а копаться лень
Dimanite, в квике не достаточно прописать IP. нужно к брокеру идти и закреплять QUIK за айпишником своим. Это от многого избавит.
Это не поможет, если злоумышленник, создаст новые ключи и отошлет их брокеру «как бы с твоего адреса», а тот их успешно зарегистрирует. Для этого даже взламывать ничего ни надо — лишь подделать поле FROM в письме.
avatar

vlad1024

vlad1024, это поможет, потому что злоумышленник квик не запустит. учите мат часть
И.А., вот и подучите, с чего это он его не запустит-то? ) если его конечно к статическому IP не привязать, что делает от сил 0.1% клиентов.
vlad1024, «коменты не читай, сразу отвечай» это называется.
в топике и выше в коментах очень подробно объясняется, как и зачем привязывать квик к IP
vlad1024, только что звонил своему брокеру в Открытие… техподдержка внимательно выслушала описанную ситуацию и…
К письму с созданными новыми ключами должен быть приложен скан подписанного заявления на смену ключей. Оригинал требуется занести в офис. НО! как тех. объяснил до этого времени, для удобства клиента новый ключ меняли не дожидаясь оригинала заявления. (
G Oleg, да это общая проблема, что имея минимальные знания о клиенте злоумышленник может добраться до его счета.
Что касается приказов по телефону:
лучше не совершать сделки «по рынку»… А если приказ все-таки «по рынку», то лучше смотреть на стакан или хотя бы приблизительно знать рыночную цену, открыв какой-нибудь финам (если человек далек от рынка в принципе).
avatar

rofunt

rofunt, Рома, иди торгуй =)
И.А., я тебе так говорю ты самый пиздатый был. я хоть знал что на рынке происходит. а теперь приходится ресерчи читать
И.А., Вань, чьи хоть рисёРчи читаешь теперь?)
rofunt, да тут на почту сыплятся разные
И.А., мне сказали, что на моем блумберге было подписок на 10тыс$ в год (кроме платы за сам терминал), кост аналитического отдела… так что у меня всё, априори, было более оперативно)))
rofunt, да мне бы хоть как уже =)
давай ты мне в скайп будешь писать че вышло, какие ожидания, позитив негатив.
rofunt, ты же уже безработный с сайзом как у всего смартлаба =)
А мог такое проделать нечистый на руку сотрудник БКС?
avatar

MaksimVictor

Kein Engel, вряд ли
блин а что все топики похерили про СКБ?
Налицо мошенническая схема: злоумышленник(и)взломал почту, и воспользовался лазейкой в процедуре регистрации ключа в БКС. Послал сгенеррированные им же ключи в БКС для регистрации. Далее после входа в терминал продал акции (вышел в деньги). Поскольку для снятия средств через интернет нужны логин и пароль, (который не факт что были перехвачены злоумышленником при наборе клавишных комбинаций), и реквизиты счета и ЭЦП, была проведена операция по покупке паев у контрагента за дорого и продаже их за дешево. Задача состоит в том, чтобы вычислить этого КОНТРАГЕНТА и произвести действия предусмотренные УК РФ.
avatar

Pavel84

Pavel84, по заявлению в компетентные органы. я тут почитал что если сумма меньше 300к то можно обратиться к финансовому омбутсмену.
Тупо вывести деньги со счёта? Меня уверяли, в финаме, что не прокатит (счёт должен быть на моё имя). Слить через неликвид… ну одной сделкой не слить, нужна серия сделок в самом что ни наесть 25-том эшелоне. Если брокер заинтересован,
то может помочь и через биржу узнать брокера контрагента, а через брокера и самого трейдера найти не проблема.
Может что-то не догоняю?
avatar

Marconi

Всегда помните! Активизация сделок с неликвидом под особым контролем биржи, особенно с постоянным контрагентом.Можно нарваться на несколько статей УК РФ.Поэтому вычислить кто переливал со счета на счет биржа может по запросу соответствующих органов.Если это имело место, то нужно разбираться и обращаться в соответствующие органы.
Алексей К, это будет только после возждения уголовного дела. тут задача клиента не плакать — обамнули ограбили а идти к полицейским и писать заяву
а куда делись топики сегодняшнего обокраденного инвестора?
kasaev, наверное рекламодатель сея ресурса попросил убрать ввиду возможного репутационного ущерба компании
kasaev, офтоп, слезы, нервы, сопли. лучше бы он в полицию пошел
И.А., нам, конечно, весело, а на самом деле, всё грустно…
интересно посмотреть на реакцию среднестатистического полицейского, который знак «ъ» на клавиатуре минут 15 ищет, на слова "… при помощи интернет технологий с моего брокерского счета украдена н-ая сумма денег...",
barahlusha, 10% от найденых денег будет достойным мотиватором для полицейского.
Как я понял украсть мои деньги могут только купив моим счетом неликвид, по другому никак, снять деньги со счета не получиться, нужен владелец счета с документами.
А подать заявку можно и через телефон, достаточно знать фамилию владельца и номер счета
а вообще нех торговать с того компа с которого в нете по форумам и по блогам вся зараза там постоянно вмрей цепляешь особенно когда какие-нить индюки качаешь для торговли отдельный комп
avatar

turist

бкс сегодня клиентам разослал предупреждения, о несанкционированных возможных кражах паролей.так что видимо случай реальный, и не один

похоже, пострадавших не один человек
воспользовались дыркой в схеме активации паролей.Слить(перелить счет)можно либо через N-эшелоны, либо через опционы, причем на неликвидных опционах на акции с исполнением в тот же день

чистой воды уголовка.вычислить контрагента и вперед
avatar

mitrych

Самое первое правило-это лицензионная Windows.(вы даже представить не можете сколько «вшито» троянов в пиратских Виндах)
avatar

Sputnik

Идеальный вариант Linux + лицензионная винда под виртуальной машиной.Причем с винды удаляем интернет браузеры, а в виртуальной машине прописываем только айпишники квик.
Спасибо автору топика, разъяснил. Для клиентов БКС — bcs.ru/broker/products/regulations.asp — приложение 8, Заявление о фиксации IP-адреса.
avatar

Tony Lemon

Это капец конечно если такие правила прописаны: отправка ключа через почту. Только лично по паспорту в офисе такое должны менять… Вот он, бизнес по русски.
avatar

NelEvg

Я один что ли не знаю в чём опастность потери ключей квика?
Деньги то злодеи не получат.
Все это хорощо, но это почти ничего не исправит. Ключи воруют у клиентов уже в процессе эксплуатации.
avatar

Gravizapa

Посмотрел заявление, там поле только для одного IP, а если у меня 2 провадера, основной и резервный и дома тоже надо посматривать и сервер где-нить стоит, возможно ли несколько IP зарегить?
avatar

Mumbo Jumbo


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UP