Блог им. AlexGood

Безопасный размер депозита у рос. брокера

Приветствую, коллеги! Удачной середины трудовой недели!
Подключил к Квику двухфакторную аутентификацию (доступ по ключам), теперь думаю как вариант продать один из объектов недвижимости и пополнить депо. В связи с чем вопрос, до какой суммы можно пополнять не опасаясь взлома и перелива со своего счета (как было в Открытии), то есть по достижении какого порога криминал может попытаться взломать (усилия оправдают возможный результат)?
★12
104 комментария
Двухфакторная аутентификация, комп только для торговли, можно сделать привязку к ай пи или маку компа, +надежный пароль+антивир естественно. Можете хранить хоть 20 ярдов.

Все истории со взломами у людей, которые сами этому поспособствовали.
avatar
AlexGood, Если комп для всего, то хотя бы не использовать уязвимые программы типа торрентов итд. Привязку сделать можно у брокера, бесплатный не подойдет.
avatar
Bubellar, а если порносайты, то все ...?
Bubellar, Download Master тоже не использовать?
avatar
Нет такого понятия как безопасный депозит, у нас нет страховки брокерских счетов и чисто гипотетически ты ничем не застрахован в случае если брокер захочет всё твоё имущество продать и уехать жить в Лондон
Добрый Енот, даже топ 3 брокеров?, БКС например, разрушат бизнес из-за одного большого хапка!
avatar
AlexGood, кража средств со счета возможна всего двумя способами: методы социальной инженерии и криминал со стороны сотрудника брокера. В первом случае сам виноват, а во втором остается надеяться на внутренние процедуры брокера, не допускающие подобного. Ну и конечно, нужно настроить вывод средств только на собственный счет, никаких третьих лиц. 
Oskolkov, то есть хакеры со стороны без сговора с броком ничего не смогут сделать?
avatar
AlexGood, чтобы сделать сделки брокеру должно прийти поручение. Поручение может быть по телефону или через терминал или личный кабинет. По телефону надо пройти идентификацию (ФИО, № счета, кодовое слово), и  если ты разбрасываешься такими данными можно сделать какую то сделку. Во втором случае опять же нужен доступ к твоему оборудованию (прямой или удаленный), знание логина и пароля.
Oskolkov, 
нужен доступ к твоему оборудованию (прямой или удаленный), знание логина и пароля.

на это есть трояны!
avatar
AlexGood, да

Лучше по паролю и смс авторизация
avatar
Dobermann, доступ по ключам рискованней?
avatar
Владимир Гончаров, а что, экономика должна быть экономной ©, какой тогда антивир предложите или полная версия Аваст подойдет?
avatar
AlexGood, Лично я McAfee использую, нареканий нет. 
avatar
AlexGood, КИС в любом магазине электро товаров для компа.
Линукс + wine, никакой почты на пк и иных приклад.
Блокировка всего входящего трафика кроме исходящего трафика от квика к брокеру средствами iptables.
Усрутся взламывать.

И да никакой винды, ни в коем разе, хоть виртуальной хоть какой )
Иван Иванов, а входящий от квика трафик блокировать?
avatar
AlexGood, входящий от сервера квику не блокировать, там каждый раз обратный порт разный но все делается ок ср-ми iptables блокировать только попытку установить новое соединение снаружи, а если оно инициировано изнутри и уже в нужном статусе пропускать трафик.
В результате у тебя изнутри можно ломится только на доверенные адреса провайдера и только по портам квика, обратный трафик от сервера будет проходить (можно также проверить адрес источника пакета и реджекнуть невалиды) а установить соединение к вам снаружи будет совсем невозможно.
И поскольку никакие соеденения иниц снаружи будут невозможны то даже понять работает ваш комп или нет будет нереально.
Захотят взломают, соц инженерия в таких случаях хорошо работает — сами все отдадите.
По теме.
Для начала стоит понять во что инвестировать будете, а потом уже бояться взлома. Может быть вы все на срочку несете или 3 эшелон, там явно не взлома нужно бояться.))
Но вообще бр счет не место для хранения крупных сумм, обычно там хранят деньги которые не жалко потерять, ибо торговые риски.
avatar
dekab1, срочка топ 3 и акции топ30 по среднедневному объему.
avatar
AlexGood, вы давно на бирже? Первые 3 года я бы крупные суммы не заводил, особенно на срочку.
avatar
dekab1, с 2007 то завожу, то вывожу!
avatar
AlexGood, ну если такой опыт, это вы нам должны рассказывать о безопасном размере депо))
avatar
dekab1, добрый совет коллег никогда не помешает!
avatar
dekab1, где богатые хранят крупные суммы?
Старый Маразматик, у меня знакомые хранят либо дома баксы, либо на вкладах, либо в обороте все. Смотря какие суммы.
avatar
dekab1, если баксы можно уместить дома, человек не достаточно богатый.
Старый Маразматик, согласен, суммы от 1 млн баксов это чистая нищета. Вот если бы хотя 100 млн баксов и забитые до крыши пару квартир, другое дело.
avatar
dekab1, дома тоже не самый безопасный вариант. Если прознают по наводке, то могут и маски шоу устроить с паяльником и утюгом.
avatar
dekab1, 
Захотят взломают, соц инженерия в таких случаях хорошо работает — сами все отдадите.

например, представившись сотрудником брока попросят назвать свой логин, пароль, кодовое слово?, ясно же, что не назову!
avatar
AlexGood, будут пытать))
avatar
dekab1, что за проблемы?
avatar
AlexGood, ответил в личку
avatar
dekab1, с такими тарифами не удивительно, или скоро их понизят, или бкс исчезнет как пережиток прошлого проиграв конкуренцию на рынке
Риск внешнего хищения хакерами/мошенникам куда ниже других рисков.
Нам пример хищения злоупотребления внутри брокера, системный потенциально накопленныйй риск банкротсва крупного брокера ещё надо учитывать — чёрный лебедь такой есть, он ещё не прилёта пока.
А по теме вопроса лимит на брокера должен быть такой, что бы вам не смертельно больно было это потерять (или утратить на время судебных разбирательств)
В цифрах 10% от всех активов на связку банк/брокер я б лимит оценил
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь. 
Хотя это единичные случаи подобного хакерства. 
Был случай когда в 2016 в центре мск в банк пришли бородатые парни, пристав или к голове главбух что-то там похожее на пистолет и выгнали бэспом весь коррсчет.)))
От такого как защмтиться
avatar
Sergio Fedosoni, 
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь. 

что надежней доступ к Квику через смс-оповещени или ключи?
avatar
AlexGood, смс на Ваш телефон только приходит и подтверждение операции каждой телефон всегда под рукой
avatar
Dobermann, мне в БКС сказали, что доступ по ключам безопасней смс оповещения!
avatar
AlexGood, зачем привязываться копределенному компу?
avatar
Dobermann, 
зачем привязываться копределенному компу?

вон выше советуют выделить отдельный комп только для торговли через Квик!
avatar
Почему к БКС привязался? В понедельник заходил в офис Финама, уточнял условия торговли на срочном рынке. Комисся почти в два раза меньше чем в Открытии... 
avatar
Yan_Vas, ок, cейчас сравню комиссы!
avatar
AlexGood, Открытие 0,74 р., Финам 0,45 р. за контракт 
avatar
Yan_Vas, при любом объеме?

avatar
AlexGood, Да.
avatar
Yan_Vas, у БКС при обороте от 1000 контрактов или лям на счете — 0,47 руб., от 5000 контрактов или 2,5 ляма на счете — 0,24 руб.
avatar

AlexGood, открываха ТП инвестор/инвестор+:

0.24коп/конт. от 500тыр активов

0.1коп/конт. от 5М активов (в т.ч. по ЕБС)

Думаю, тебе актуально именно для этих объемов, на мелочевке комиссии у открывахи выше.

avatar
krolix, сравнил комисс для серьезных объемов, для обычных счетов у Открытия она ниже, одного не пойму, почему они решили наказать владельцев ИИС, по ЦБ комисс 0,057%, по срочным контрактам не ниже 0,24 руб./конт.?!
avatar
AlexGood, может, потому что выше 5 млн. в принципе нельзя набрать на ИИС при лимите пополнения 400тыр в год (1 млн недавно сделали). По ЦБ странно, что так. Типа позиционируют не как счет для спекуляций на фонде.
avatar
krolix, если класть 1 млн. в год на ИИС то можно донести до 3 млн. (а там наторговать до 5 ни далеко), также ходят слухи что позволят до 2,5 ляма вносить за год, так что не очень у них!
avatar
может, потому что выше 5 млн. в принципе нельзя набрать на ИИС при лимите пополнения 400тыр в год (1 млн недавно сделали)
krolix, 
Yan_Vas, в Открытии 20 коп.
Yan_Vas, с финамом осторожней, они найдут за что деньги брать и в договоре не прописано, чтоб себе комиссию взять, весь счет закроют. Там помимо за контракт есть комиссия депозитария, за урегулирование сделок, все можно не учесть.
avatar
Кстати, а с Открытием как дела обстоят по прошлой теме перелива, автор топика что то смолк.
avatar
Vladimir T, наверно автора ликвидировали, вот и не пишет!
avatar
Vladimir T, даже в личку не отвечает. Явно что та случилось
avatar
Vladimir T, все поняли, что это очередной вброс. Сам всё слил, а свою глупость хотел выдать за умысел брокера.
avatar
¯ _ (ツ) _ / ¯, зато дешево, удобно и практично. Вообще проблема выеденного яйца не стоит имхо
avatar
¯ _ (ツ) _ / ¯, 2 симкарты работать в сети одновременно не могут — проверял, да и для смены симкарты много инфы должно уйти не просто от брокера, а от определенных сотрудников, это практически нереально, плюс завязка на сотрудника, выдавшего симкарту новую, телефоны древние кнопочные без интернета остались еще. Да даже не в этом дело, вероятность низкая настолько, что нет смысла заморачиваться. знаете, как в анекдоте про суслика, который всегда внимательно следит, не летит ли орел, не бежит ли лиса, не ползет ли змея и всегда получает бампером в лоб от машины
avatar
dekab1, Мне тоже ответь пожалуйста в личку про проблемы.
avatar
Дд всем!
Но если брокерский счет взломан, что делать злоумышленнику дальше?
Ну продаст все акции со счета, деньги попадут на тот же взломанный брокерский счет.
Чтобы их перевести дальше, нужен же доступ в личный кабинет брокера, где своя идентификация?








avatar
Егор, может перелить на свой счет через ниликвид например!
avatar
AlexGood, согласен
Но наверняка у такой схемы есть пределы, сколько можно так перелить?
avatar
Егор, cколько вы думаете?
avatar
AlexGood, не знаю, потому и спрашиваю.
Кроме того, думал, что в любом неликвиде в стакане могут быть и другие участники, что затруднит манипуляции злоумышленника.
avatar
AlexGood, пару слов по теме написал в своем блоге.
avatar
AlexGood, 
ок ну предположим был перелив...
но средства надо вывести… причем уплатить ндфл со всего...
т.е внезапно брокеру идет заявка на вывод средств в размере 100500% годовых с охрененным ндфл… а брокер прямо не замечая такого выводит деньги в банк???
да перелив палится брокером за 5 сек… бокер смотрит сделки видит перелив и просит обосновать экономический смысл… иначе легализация отмыв и здоровенный толстый куй цбрф в попе
avatar
ves2010, то есть хотите сказать, что перелив не получится, а как же недавно история с Открытием, а можно ведь перелить и на счет на другой бирже через прибыльную ТС с хорошим профит-фактором, допустим заключая убыточные сделки по российскому Бренту, а противоположные прибыльные по основному Бренту с ICE, минус такого метода, что он требует ждать торгового сигнала и соответственно займет какое-то существенное время пока серия сделок совершит свое черное дело.
avatar
AlexGood, а смысл??? заплатишь комисс + налог
и еще надо уметь торговать
в основном сливаются на плечах и комиссах
avatar
ves2010, ну заплатит хакер комисс и налог, основную то сумму все равно в карман положит, запустит заведомо прибыльный алгоритм для перелива!
avatar
AlexGood, 
идея в том что самому себе переливать смысла нет
а злоумышленник сразу палится на выводе средств… ему просто не дадут вывести… сделки отменят… деньги вернут… а злодей сядет
avatar
По крайней мере не задавать такой вопрос на открытом форуме…
avatar
я бы не продавал недвижимость, нервы поберегите (хотя если у вас их несколько ), то лучше Сбер прайм там капсулы предоставляют для дневного сна 
Атласов Михаил, 
я бы не продавал недвижимость, нервы поберегите

я ж не свою!
avatar
¯ _ (ツ) _ / ¯, я экономист, слаб в технике, 2 одновременные регистрации в сети у оператора сейчас технически возможны? 
avatar
С помощью социальной инженерии делают переадрессацию с твоего номера на другой
avatar
stanislav-sm, а подробнее с примером можно для тех, кто танке/бронепоезде?
avatar
Интересно, а как Баффет решает эту проблему?
avatar
Value, двойной авторизацией
а как ты переливать собрался?


avatar
Вообще не совсем понимаю кипиша.
Делаете возможным вывод средств с бр счета только на конкретный счет в банке и все. 
Если паритесь про смс (что вообще слабо себе представляю), то например тот же ib по ключу вход, у брокеров рф тоже вроде такая опция есть.

Но даже хер с ним ну вот злоумышленник зашел! Во первых оповещение о входе настройте в лк, во вторых ну а что он сделает? Все продаст? Дальше-то что? У норм брокера ДАЖЕ у РФ брокера перелив — не реал почти. Тем более крупных сумм. А уж у западного брокера с SEC вообще забудьте. Блокнут мгновенно.

Так что спите спокойно)
avatar
начнём с того, что деньги надо вывести. Насколько я знаю деньги можно вывести только на твой счёт, зарегистрированный у брокера. Т.е. если какой-то вася всё взломал, всё продал, ему нужно вывести деньги на счёт или себе или пете, а никак не Хорошему Алекс. Ну или Вася как Никулин в операции Ы, если ломать, то уж всё, поэтому и счёт в банке Алекса тоже нужно п… дануть… ну чтоб уже со счёта Алекса на свой перевести. При этом Васе надо как минимум понимать, помимо хак=технологий, сколько у Алекса чего натарено у брокера чтобы ломиться в нему в КВИК, а там… зеро… Ну и зачем Васе всё это городить, когда есть Греф со своим Сбербанком?

А по поводу отдельного компьютера для торговли, то поддерживаю вышесказанное о желательности такого подхода. А серфинг в инете по порносайтам осуществляйте с компа жены с сохранением истории поиска, и данные сохраните (в том числе от жены) и семейную жизнь нескучными моментами разнообразите....



У Сбера: криптоключи в папке квика, пароль на квик и смс-подтверждение.
В сумме, по моему, достаточно надежно. (хотя смс-пароли вводить надоедает, конечно).

Эх, где бы еще такой депозит найти, чтобы начать беспокоиться что его взломают и уведут :)
avatar
Turbo Pascal, 
смс-подтверждение.

двухфакторная аутентификация?
avatar
AlexGood, ну да. Сначала пароль с RSA-ключами, потом еще смс прилетает для ввода.
Чтобы всё это крякнуть, легче на самого инвестора наехать. Но для физического наезда нужен реально серьезный депозит — а ви таки гляньте на этих усредняторов тут, трясти некого 
avatar
Turbo Pascal, 
Чтобы всё это крякнуть, легче на самого инвестора наехать.

как они на владельца крупного счета вычислят, сотрудники брока сольют персональные данные?
avatar
Есть такой неочевидный момент. Когда открываешь счёт у брокера, тебе открывают счёт в депозитарии с несколькими разделами: основной и торговый. В терминале видишь только те бумаги, которые находятся в торговом разделе. Понятно, что бумаги можно переводить между разделами и то, что хранится в основном разделе — не видно в терминале.

Не знаю как у других брокеров это сделано, но в Сбере в терминале можно перевести бумаги с торгового раздела на основной, в обратном направлении — никак. Для того, чтобы перевести бумаги из основного раздела — нужно обращаться в депозитарий\брокеру или делать через Сбербанк Онлайн. Если ты достаточно дальновидный и поставил разные пароли на терминал и на сбербанк онлайн — это даст тебе некоторое время, чтобы обнаружить действия злоумышленников.

Если переживаешь за бумаги — выводи их в основной раздел. А самое надёжное — вообще в реестр перевести.
avatar
Алексей, то есть взлома Квик хакеры из основного раздела не смогут продать ЦБ и перелить средства на свой счет?
avatar
AlexGood, в принципе — да, если в quik не будет физической возможности для перевода с основного раздела на торговый, то в определённом смысле ваши ценные бумаги в безопасности. Злоумышленникам придётся «вскрывать» ваш личный кабинет на сайте брокера (в случае Сбера — это сбербанк-онлайн), чтобы через личный кабинет подать поручение на перевод бумаг.
avatar
Привязаться к железу если очень уж страшно — ноут с отпечатком пальца и т.п. Ничего на нём не делать, кроме трейдинга.
Могу сказать, что большие депозиты создают другие проблемы. Это-то как раз не ключевой момент.
1) В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу! Иначе такой геморой может быть, что проклянёте всех. А сотрудники банка могут протупить.
2) Не выходить за пределы связки банк-брокер. То есть деньги в родной банк, затем родному брокеру и всё. Любые другие переводы создают риски дураков в системе.
3) Не открывать личный кабинет банка или брокера с мобилы! Никогда не подключать к этому банку и брокеру онлайн приложения с мобилы! Телефон, который привязан на подтверждения лучше вообще чтобы был примитивной звонилкой без андроида.
4) Не шуметь и не болтать. Уже тут сообщать о намериньях не обязательно =)
Fry (Антон), почему не входить с мобилы? С айфона вроде бы довольно безопасно.
Fry (Антон), 
В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу!

в чем срочно, можно предъявить по требованию банка потом!
avatar
¯ _ (ツ) _ / ¯, а как тогда, на Ваш взгляд, защищаться?
Вы с вашими депозитами на 100 тысяч никому не нужны, расслабьтесь.

теги блога AlexGood

....все тэги



UPDONW
Новый дизайн