Блог им. AlexGood

Безопасный размер депозита у рос. брокера

Приветствую, коллеги! Удачной середины трудовой недели!
Подключил к Квику двухфакторную аутентификацию (доступ по ключам), теперь думаю как вариант продать один из объектов недвижимости и пополнить депо. В связи с чем вопрос, до какой суммы можно пополнять не опасаясь взлома и перелива со своего счета (как было в Открытии), то есть по достижении какого порога криминал может попытаться взломать (усилия оправдают возможный результат)?
★12
Двухфакторная аутентификация, комп только для торговли, можно сделать привязку к ай пи или маку компа, +надежный пароль+антивир естественно. Можете хранить хоть 20 ярдов.

Все истории со взломами у людей, которые сами этому поспособствовали.
avatar

Bubellar

AlexGood, Если комп для всего, то хотя бы не использовать уязвимые программы типа торрентов итд. Привязку сделать можно у брокера, бесплатный не подойдет.
avatar

Bubellar

Bubellar, а если порносайты, то все ...?
Bubellar, Download Master тоже не использовать?
avatar

AlexGood

Нет такого понятия как безопасный депозит, у нас нет страховки брокерских счетов и чисто гипотетически ты ничем не застрахован в случае если брокер захочет всё твоё имущество продать и уехать жить в Лондон
Добрый Енот, даже топ 3 брокеров?, БКС например, разрушат бизнес из-за одного большого хапка!
avatar

AlexGood

AlexGood, кража средств со счета возможна всего двумя способами: методы социальной инженерии и криминал со стороны сотрудника брокера. В первом случае сам виноват, а во втором остается надеяться на внутренние процедуры брокера, не допускающие подобного. Ну и конечно, нужно настроить вывод средств только на собственный счет, никаких третьих лиц. 
Oskolkov, то есть хакеры со стороны без сговора с броком ничего не смогут сделать?
avatar

AlexGood

AlexGood, чтобы сделать сделки брокеру должно прийти поручение. Поручение может быть по телефону или через терминал или личный кабинет. По телефону надо пройти идентификацию (ФИО, № счета, кодовое слово), и  если ты разбрасываешься такими данными можно сделать какую то сделку. Во втором случае опять же нужен доступ к твоему оборудованию (прямой или удаленный), знание логина и пароля.
Oskolkov, 
нужен доступ к твоему оборудованию (прямой или удаленный), знание логина и пароля.

на это есть трояны!
avatar

AlexGood

AlexGood, да

Лучше по паролю и смс авторизация
avatar

Dobermann

Dobermann, доступ по ключам рискованней?
avatar

AlexGood

Dobermann, смс не самый надежный способ.
¯ _ (ツ) _ / ¯, зато дешево, удобно и практично. Вообще проблема выеденного яйца не стоит имхо
Dobermann, когда у тебя $ 100 тысяч уведут портировав сим карту (реальный случай), тогда и поговорим как это дешево и практично. 
¯ _ (ツ) _ / ¯, 2 симкарты работать в сети одновременно не могут — проверял, да и для смены симкарты много инфы должно уйти не просто от брокера, а от определенных сотрудников, это практически нереально, плюс завязка на сотрудника, выдавшего симкарту новую, телефоны древние кнопочные без интернета остались еще. Да даже не в этом дело, вероятность низкая настолько, что нет смысла заморачиваться. знаете, как в анекдоте про суслика, который всегда внимательно следит, не летит ли орел, не бежит ли лиса, не ползет ли змея и всегда получает бампером в лоб от машины
Dobermann, 

Я не про думблирование, а про портирование сим-карты. Твоя родная симка при этом продолжает работать – можешь проверить. Я уже не говорю про известные уязвимости в протоколах сотовых сетей, которые позволяют перехватывать смски. Родная симка при этом продолжает работать, просто не получает смс. И если раньше реализовать эти уязвимости было довольно сложно, то сейчас технологии скакнули вперед.

Кстати, институт стандартов и технологий еще с 2016 рекомендует отказаться от аутентификации по смс (по паролю и смс ты проходишь аутентификацию, а не авторизацию ). Поэтому я еще раз повторю, что можешь продолжать надеется на смс, пока тебя не обокрали.

¯ _ (ツ) _ / ¯, я экономист, слаб в технике, 2 одновременные регистрации в сети у оператора сейчас технически возможны? 
С помощью социальной инженерии делают переадрессацию с твоего номера на другой
stanislav-sm, а подробнее с примером можно для тех, кто танке/бронепоезде?
¯ _ (ツ) _ / ¯, а как тогда, на Ваш взгляд, защищаться?
Владимир Гончаров, а что, экономика должна быть экономной ©, какой тогда антивир предложите или полная версия Аваст подойдет?
avatar

AlexGood

AlexGood, Лично я McAfee использую, нареканий нет. 
avatar

Yan_Vas

AlexGood, КИС в любом магазине электро товаров для компа.
Линукс + wine, никакой почты на пк и иных приклад.
Блокировка всего входящего трафика кроме исходящего трафика от квика к брокеру средствами iptables.
Усрутся взламывать.

И да никакой винды, ни в коем разе, хоть виртуальной хоть какой )
Иван Иванов, ЛОЛ!!!
С каких пор Линукс стал синонимом безопасности?
Иван Иванов, а входящий от квика трафик блокировать?
avatar

AlexGood

AlexGood, входящий от сервера квику не блокировать, там каждый раз обратный порт разный но все делается ок ср-ми iptables блокировать только попытку установить новое соединение снаружи, а если оно инициировано изнутри и уже в нужном статусе пропускать трафик.
В результате у тебя изнутри можно ломится только на доверенные адреса провайдера и только по портам квика, обратный трафик от сервера будет проходить (можно также проверить адрес источника пакета и реджекнуть невалиды) а установить соединение к вам снаружи будет совсем невозможно.
И поскольку никакие соеденения иниц снаружи будут невозможны то даже понять работает ваш комп или нет будет нереально.
Захотят взломают, соц инженерия в таких случаях хорошо работает — сами все отдадите.
По теме.
Для начала стоит понять во что инвестировать будете, а потом уже бояться взлома. Может быть вы все на срочку несете или 3 эшелон, там явно не взлома нужно бояться.))
Но вообще бр счет не место для хранения крупных сумм, обычно там хранят деньги которые не жалко потерять, ибо торговые риски.
avatar

dekab1

dekab1, срочка топ 3 и акции топ30 по среднедневному объему.
avatar

AlexGood

AlexGood, вы давно на бирже? Первые 3 года я бы крупные суммы не заводил, особенно на срочку.
avatar

dekab1

dekab1, с 2007 то завожу, то вывожу!
avatar

AlexGood

AlexGood, ну если такой опыт, это вы нам должны рассказывать о безопасном размере депо))
avatar

dekab1

dekab1, добрый совет коллег никогда не помешает!
avatar

AlexGood

dekab1, где богатые хранят крупные суммы?
Старый Маразматик, у меня знакомые хранят либо дома баксы, либо на вкладах, либо в обороте все. Смотря какие суммы.
avatar

dekab1

dekab1, если баксы можно уместить дома, человек не достаточно богатый.
Старый Маразматик, согласен, суммы от 1 млн баксов это чистая нищета. Вот если бы хотя 100 млн баксов и забитые до крыши пару квартир, другое дело.
avatar

dekab1

dekab1, дома тоже не самый безопасный вариант. Если прознают по наводке, то могут и маски шоу устроить с паяльником и утюгом.
avatar

Reznor

dekab1, 
Захотят взломают, соц инженерия в таких случаях хорошо работает — сами все отдадите.

например, представившись сотрудником брока попросят назвать свой логин, пароль, кодовое слово?, ясно же, что не назову!
avatar

AlexGood

AlexGood, будут пытать))
avatar

dekab1

dekab1, что за проблемы?
avatar

AlexGood

AlexGood, ответил в личку
avatar

dekab1

dekab1, с такими тарифами не удивительно, или скоро их понизят, или бкс исчезнет как пережиток прошлого проиграв конкуренцию на рынке
Риск внешнего хищения хакерами/мошенникам куда ниже других рисков.
Нам пример хищения злоупотребления внутри брокера, системный потенциально накопленныйй риск банкротсва крупного брокера ещё надо учитывать — чёрный лебедь такой есть, он ещё не прилёта пока.
А по теме вопроса лимит на брокера должен быть такой, что бы вам не смертельно больно было это потерять (или утратить на время судебных разбирательств)
В цифрах 10% от всех активов на связку банк/брокер я б лимит оценил
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь. 
Хотя это единичные случаи подобного хакерства. 
Был случай когда в 2016 в центре мск в банк пришли бородатые парни, пристав или к голове главбух что-то там похожее на пистолет и выгнали бэспом весь коррсчет.)))
От такого как защмтиться
avatar

Sergio Fedosoni

Sergio Fedosoni, 
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь. 

что надежней доступ к Квику через смс-оповещени или ключи?
avatar

AlexGood

AlexGood, смс на Ваш телефон только приходит и подтверждение операции каждой телефон всегда под рукой
avatar

Dobermann

Dobermann, мне в БКС сказали, что доступ по ключам безопасней смс оповещения!
avatar

AlexGood

AlexGood, зачем привязываться копределенному компу?
avatar

Dobermann

Dobermann, 
зачем привязываться копределенному компу?

вон выше советуют выделить отдельный комп только для торговли через Квик!
avatar

AlexGood

Почему к БКС привязался? В понедельник заходил в офис Финама, уточнял условия торговли на срочном рынке. Комисся почти в два раза меньше чем в Открытии... 
avatar

Yan_Vas

Yan_Vas, ок, cейчас сравню комиссы!
avatar

AlexGood

AlexGood, Открытие 0,74 р., Финам 0,45 р. за контракт 
avatar

Yan_Vas

Yan_Vas, при любом объеме?

avatar

AlexGood

AlexGood, Да.
avatar

Yan_Vas

Yan_Vas, у БКС при обороте от 1000 контрактов или лям на счете — 0,47 руб., от 5000 контрактов или 2,5 ляма на счете — 0,24 руб.
avatar

AlexGood

AlexGood, открываха ТП инвестор/инвестор+:

0.24коп/конт. от 500тыр активов

0.1коп/конт. от 5М активов (в т.ч. по ЕБС)

Думаю, тебе актуально именно для этих объемов, на мелочевке комиссии у открывахи выше.

avatar

krolix

krolix, сравнил комисс для серьезных объемов, для обычных счетов у Открытия она ниже, одного не пойму, почему они решили наказать владельцев ИИС, по ЦБ комисс 0,057%, по срочным контрактам не ниже 0,24 руб./конт.?!
avatar

AlexGood

AlexGood, может, потому что выше 5 млн. в принципе нельзя набрать на ИИС при лимите пополнения 400тыр в год (1 млн недавно сделали). По ЦБ странно, что так. Типа позиционируют не как счет для спекуляций на фонде.
avatar

krolix

krolix, если класть 1 млн. в год на ИИС то можно донести до 3 млн. (а там наторговать до 5 ни далеко), также ходят слухи что позволят до 2,5 ляма вносить за год, так что не очень у них!
avatar

AlexGood

может, потому что выше 5 млн. в принципе нельзя набрать на ИИС при лимите пополнения 400тыр в год (1 млн недавно сделали)
krolix, 
Yan_Vas, в Открытии 20 коп.
Yan_Vas, с финамом осторожней, они найдут за что деньги брать и в договоре не прописано, чтоб себе комиссию взять, весь счет закроют. Там помимо за контракт есть комиссия депозитария, за урегулирование сделок, все можно не учесть.
avatar

Tat123

Кстати, а с Открытием как дела обстоят по прошлой теме перелива, автор топика что то смолк.
avatar

Vladimir T

Vladimir T, наверно автора ликвидировали, вот и не пишет!
avatar

AlexGood

Vladimir T, даже в личку не отвечает. Явно что та случилось
Vladimir T, все поняли, что это очередной вброс. Сам всё слил, а свою глупость хотел выдать за умысел брокера.
dekab1, Мне тоже ответь пожалуйста в личку про проблемы.
avatar

Seroja

Дд всем!
Но если брокерский счет взломан, что делать злоумышленнику дальше?
Ну продаст все акции со счета, деньги попадут на тот же взломанный брокерский счет.
Чтобы их перевести дальше, нужен же доступ в личный кабинет брокера, где своя идентификация?








avatar

Егор

Егор, может перелить на свой счет через ниликвид например!
avatar

AlexGood

AlexGood, согласен
Но наверняка у такой схемы есть пределы, сколько можно так перелить?
avatar

Егор

Егор, cколько вы думаете?
avatar

AlexGood

AlexGood, не знаю, потому и спрашиваю.
Кроме того, думал, что в любом неликвиде в стакане могут быть и другие участники, что затруднит манипуляции злоумышленника.
avatar

Егор

AlexGood, пару слов по теме написал в своем блоге.
AlexGood, 
ок ну предположим был перелив...
но средства надо вывести… причем уплатить ндфл со всего...
т.е внезапно брокеру идет заявка на вывод средств в размере 100500% годовых с охрененным ндфл… а брокер прямо не замечая такого выводит деньги в банк???
да перелив палится брокером за 5 сек… бокер смотрит сделки видит перелив и просит обосновать экономический смысл… иначе легализация отмыв и здоровенный толстый куй цбрф в попе
avatar

ves2010

ves2010, то есть хотите сказать, что перелив не получится, а как же недавно история с Открытием, а можно ведь перелить и на счет на другой бирже через прибыльную ТС с хорошим профит-фактором, допустим заключая убыточные сделки по российскому Бренту, а противоположные прибыльные по основному Бренту с ICE, минус такого метода, что он требует ждать торгового сигнала и соответственно займет какое-то существенное время пока серия сделок совершит свое черное дело.
avatar

AlexGood

AlexGood, а смысл??? заплатишь комисс + налог
и еще надо уметь торговать
в основном сливаются на плечах и комиссах
avatar

ves2010

ves2010, ну заплатит хакер комисс и налог, основную то сумму все равно в карман положит, запустит заведомо прибыльный алгоритм для перелива!
avatar

AlexGood

AlexGood, 
идея в том что самому себе переливать смысла нет
а злоумышленник сразу палится на выводе средств… ему просто не дадут вывести… сделки отменят… деньги вернут… а злодей сядет
avatar

ves2010

По крайней мере не задавать такой вопрос на открытом форуме…
avatar

Freeman Busido

я бы не продавал недвижимость, нервы поберегите (хотя если у вас их несколько ), то лучше Сбер прайм там капсулы предоставляют для дневного сна 
Атласов Михаил, 
я бы не продавал недвижимость, нервы поберегите

я ж не свою!
avatar

AlexGood

Интересно, а как Баффет решает эту проблему?
avatar

Value

Value, двойной авторизацией
а как ты переливать собрался?


avatar

ves2010

Вообще не совсем понимаю кипиша.
Делаете возможным вывод средств с бр счета только на конкретный счет в банке и все. 
Если паритесь про смс (что вообще слабо себе представляю), то например тот же ib по ключу вход, у брокеров рф тоже вроде такая опция есть.

Но даже хер с ним ну вот злоумышленник зашел! Во первых оповещение о входе настройте в лк, во вторых ну а что он сделает? Все продаст? Дальше-то что? У норм брокера ДАЖЕ у РФ брокера перелив — не реал почти. Тем более крупных сумм. А уж у западного брокера с SEC вообще забудьте. Блокнут мгновенно.

Так что спите спокойно)
avatar

Cheshirsky Kot

начнём с того, что деньги надо вывести. Насколько я знаю деньги можно вывести только на твой счёт, зарегистрированный у брокера. Т.е. если какой-то вася всё взломал, всё продал, ему нужно вывести деньги на счёт или себе или пете, а никак не Хорошему Алекс. Ну или Вася как Никулин в операции Ы, если ломать, то уж всё, поэтому и счёт в банке Алекса тоже нужно п… дануть… ну чтоб уже со счёта Алекса на свой перевести. При этом Васе надо как минимум понимать, помимо хак=технологий, сколько у Алекса чего натарено у брокера чтобы ломиться в нему в КВИК, а там… зеро… Ну и зачем Васе всё это городить, когда есть Греф со своим Сбербанком?

А по поводу отдельного компьютера для торговли, то поддерживаю вышесказанное о желательности такого подхода. А серфинг в инете по порносайтам осуществляйте с компа жены с сохранением истории поиска, и данные сохраните (в том числе от жены) и семейную жизнь нескучными моментами разнообразите....



У Сбера: криптоключи в папке квика, пароль на квик и смс-подтверждение.
В сумме, по моему, достаточно надежно. (хотя смс-пароли вводить надоедает, конечно).

Эх, где бы еще такой депозит найти, чтобы начать беспокоиться что его взломают и уведут :)
avatar

Turbo Pascal

Turbo Pascal, 
смс-подтверждение.

двухфакторная аутентификация?
avatar

AlexGood

AlexGood, ну да. Сначала пароль с RSA-ключами, потом еще смс прилетает для ввода.
Чтобы всё это крякнуть, легче на самого инвестора наехать. Но для физического наезда нужен реально серьезный депозит — а ви таки гляньте на этих усредняторов тут, трясти некого 
Turbo Pascal, 
Чтобы всё это крякнуть, легче на самого инвестора наехать.

как они на владельца крупного счета вычислят, сотрудники брока сольют персональные данные?
avatar

AlexGood

Есть такой неочевидный момент. Когда открываешь счёт у брокера, тебе открывают счёт в депозитарии с несколькими разделами: основной и торговый. В терминале видишь только те бумаги, которые находятся в торговом разделе. Понятно, что бумаги можно переводить между разделами и то, что хранится в основном разделе — не видно в терминале.

Не знаю как у других брокеров это сделано, но в Сбере в терминале можно перевести бумаги с торгового раздела на основной, в обратном направлении — никак. Для того, чтобы перевести бумаги из основного раздела — нужно обращаться в депозитарий\брокеру или делать через Сбербанк Онлайн. Если ты достаточно дальновидный и поставил разные пароли на терминал и на сбербанк онлайн — это даст тебе некоторое время, чтобы обнаружить действия злоумышленников.

Если переживаешь за бумаги — выводи их в основной раздел. А самое надёжное — вообще в реестр перевести.
avatar

Алексей

Алексей, то есть взлома Квик хакеры из основного раздела не смогут продать ЦБ и перелить средства на свой счет?
avatar

AlexGood

AlexGood, в принципе — да, если в quik не будет физической возможности для перевода с основного раздела на торговый, то в определённом смысле ваши ценные бумаги в безопасности. Злоумышленникам придётся «вскрывать» ваш личный кабинет на сайте брокера (в случае Сбера — это сбербанк-онлайн), чтобы через личный кабинет подать поручение на перевод бумаг.
Привязаться к железу если очень уж страшно — ноут с отпечатком пальца и т.п. Ничего на нём не делать, кроме трейдинга.
Могу сказать, что большие депозиты создают другие проблемы. Это-то как раз не ключевой момент.
1) В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу! Иначе такой геморой может быть, что проклянёте всех. А сотрудники банка могут протупить.
2) Не выходить за пределы связки банк-брокер. То есть деньги в родной банк, затем родному брокеру и всё. Любые другие переводы создают риски дураков в системе.
3) Не открывать личный кабинет банка или брокера с мобилы! Никогда не подключать к этому банку и брокеру онлайн приложения с мобилы! Телефон, который привязан на подтверждения лучше вообще чтобы был примитивной звонилкой без андроида.
4) Не шуметь и не болтать. Уже тут сообщать о намериньях не обязательно =)
avatar

Fry (Антон)

Fry (Антон), почему не входить с мобилы? С айфона вроде бы довольно безопасно.
Fry (Антон), 
В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу!

в чем срочно, можно предъявить по требованию банка потом!
avatar

AlexGood

Вы с вашими депозитами на 100 тысяч никому не нужны, расслабьтесь.

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
UPDONW