Приветствую, коллеги! Удачной середины трудовой недели!
Подключил к Квику двухфакторную аутентификацию (доступ по ключам), теперь думаю как вариант продать один из объектов недвижимости и пополнить депо. В связи с чем вопрос, до какой суммы можно пополнять не опасаясь взлома и перелива со своего счета (как было в Открытии), то есть по достижении какого порога криминал может попытаться взломать (усилия оправдают возможный результат)?
Двухфакторная аутентификация, комп только для торговли, можно сделать привязку к ай пи или маку компа, +надежный пароль+антивир естественно. Можете хранить хоть 20 ярдов.
Все истории со взломами у людей, которые сами этому поспособствовали.
Нет такого понятия как безопасный депозит, у нас нет страховки брокерских счетов и чисто гипотетически ты ничем не застрахован в случае если брокер захочет всё твоё имущество продать и уехать жить в Лондон
AlexGood, кража средств со счета возможна всего двумя способами: методы социальной инженерии и криминал со стороны сотрудника брокера. В первом случае сам виноват, а во втором остается надеяться на внутренние процедуры брокера, не допускающие подобного. Ну и конечно, нужно настроить вывод средств только на собственный счет, никаких третьих лиц.
AlexGood, чтобы сделать сделки брокеру должно прийти поручение. Поручение может быть по телефону или через терминал или личный кабинет. По телефону надо пройти идентификацию (ФИО, № счета, кодовое слово), и если ты разбрасываешься такими данными можно сделать какую то сделку. Во втором случае опять же нужен доступ к твоему оборудованию (прямой или удаленный), знание логина и пароля.
Линукс + wine, никакой почты на пк и иных приклад.
Блокировка всего входящего трафика кроме исходящего трафика от квика к брокеру средствами iptables.
Усрутся взламывать.
И да никакой винды, ни в коем разе, хоть виртуальной хоть какой )
AlexGood, входящий от сервера квику не блокировать, там каждый раз обратный порт разный но все делается ок ср-ми iptables блокировать только попытку установить новое соединение снаружи, а если оно инициировано изнутри и уже в нужном статусе пропускать трафик.
В результате у тебя изнутри можно ломится только на доверенные адреса провайдера и только по портам квика, обратный трафик от сервера будет проходить (можно также проверить адрес источника пакета и реджекнуть невалиды) а установить соединение к вам снаружи будет совсем невозможно.
И поскольку никакие соеденения иниц снаружи будут невозможны то даже понять работает ваш комп или нет будет нереально.
Захотят взломают, соц инженерия в таких случаях хорошо работает — сами все отдадите.
По теме.
Для начала стоит понять во что инвестировать будете, а потом уже бояться взлома. Может быть вы все на срочку несете или 3 эшелон, там явно не взлома нужно бояться.))
Но вообще бр счет не место для хранения крупных сумм, обычно там хранят деньги которые не жалко потерять, ибо торговые риски.
Риск внешнего хищения хакерами/мошенникам куда ниже других рисков.
Нам пример хищения злоупотребления внутри брокера, системный потенциально накопленныйй риск банкротсва крупного брокера ещё надо учитывать — чёрный лебедь такой есть, он ещё не прилёта пока.
А по теме вопроса лимит на брокера должен быть такой, что бы вам не смертельно больно было это потерять (или утратить на время судебных разбирательств)
В цифрах 10% от всех активов на связку банк/брокер я б лимит оценил
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь.
Хотя это единичные случаи подобного хакерства.
Был случай когда в 2016 в центре мск в банк пришли бородатые парни, пристав или к голове главбух что-то там похожее на пистолет и выгнали бэспом весь коррсчет.)))
От такого как защмтиться
Почему к БКС привязался? В понедельник заходил в офис Финама, уточнял условия торговли на срочном рынке. Комисся почти в два раза меньше чем в Открытии...
krolix, сравнил комисс для серьезных объемов, для обычных счетов у Открытия она ниже, одного не пойму, почему они решили наказать владельцев ИИС, по ЦБ комисс 0,057%, по срочным контрактам не ниже 0,24 руб./конт.?!
AlexGood, может, потому что выше 5 млн. в принципе нельзя набрать на ИИС при лимите пополнения 400тыр в год (1 млн недавно сделали). По ЦБ странно, что так. Типа позиционируют не как счет для спекуляций на фонде.
krolix, если класть 1 млн. в год на ИИС то можно донести до 3 млн. (а там наторговать до 5 ни далеко), также ходят слухи что позволят до 2,5 ляма вносить за год, так что не очень у них!
Yan_Vas, с финамом осторожней, они найдут за что деньги брать и в договоре не прописано, чтоб себе комиссию взять, весь счет закроют. Там помимо за контракт есть комиссия депозитария, за урегулирование сделок, все можно не учесть.
Дд всем!
Но если брокерский счет взломан, что делать злоумышленнику дальше?
Ну продаст все акции со счета, деньги попадут на тот же взломанный брокерский счет.
Чтобы их перевести дальше, нужен же доступ в личный кабинет брокера, где своя идентификация?
AlexGood, не знаю, потому и спрашиваю.
Кроме того, думал, что в любом неликвиде в стакане могут быть и другие участники, что затруднит манипуляции злоумышленника.
AlexGood,
ок ну предположим был перелив...
но средства надо вывести… причем уплатить ндфл со всего...
т.е внезапно брокеру идет заявка на вывод средств в размере 100500% годовых с охрененным ндфл… а брокер прямо не замечая такого выводит деньги в банк???
да перелив палится брокером за 5 сек… бокер смотрит сделки видит перелив и просит обосновать экономический смысл… иначе легализация отмыв и здоровенный толстый куй цбрф в попе
ves2010, то есть хотите сказать, что перелив не получится, а как же недавно история с Открытием, а можно ведь перелить и на счет на другой бирже через прибыльную ТС с хорошим профит-фактором, допустим заключая убыточные сделки по российскому Бренту, а противоположные прибыльные по основному Бренту с ICE, минус такого метода, что он требует ждать торгового сигнала и соответственно займет какое-то существенное время пока серия сделок совершит свое черное дело.
AlexGood,
идея в том что самому себе переливать смысла нет
а злоумышленник сразу палится на выводе средств… ему просто не дадут вывести… сделки отменят… деньги вернут… а злодей сядет
Вообще не совсем понимаю кипиша.
Делаете возможным вывод средств с бр счета только на конкретный счет в банке и все.
Если паритесь про смс (что вообще слабо себе представляю), то например тот же ib по ключу вход, у брокеров рф тоже вроде такая опция есть.
Но даже хер с ним ну вот злоумышленник зашел! Во первых оповещение о входе настройте в лк, во вторых ну а что он сделает? Все продаст? Дальше-то что? У норм брокера ДАЖЕ у РФ брокера перелив — не реал почти. Тем более крупных сумм. А уж у западного брокера с SEC вообще забудьте. Блокнут мгновенно.
начнём с того, что деньги надо вывести. Насколько я знаю деньги можно вывести только на твой счёт, зарегистрированный у брокера. Т.е. если какой-то вася всё взломал, всё продал, ему нужно вывести деньги на счёт или себе или пете, а никак не Хорошему Алекс. Ну или Вася как Никулин в операции Ы, если ломать, то уж всё, поэтому и счёт в банке Алекса тоже нужно п… дануть… ну чтоб уже со счёта Алекса на свой перевести. При этом Васе надо как минимум понимать, помимо хак=технологий, сколько у Алекса чего натарено у брокера чтобы ломиться в нему в КВИК, а там… зеро… Ну и зачем Васе всё это городить, когда есть Греф со своим Сбербанком?
А по поводу отдельного компьютера для торговли, то поддерживаю вышесказанное о желательности такого подхода. А серфинг в инете по порносайтам осуществляйте с компа жены с сохранением истории поиска, и данные сохраните (в том числе от жены) и семейную жизнь нескучными моментами разнообразите....
У Сбера: криптоключи в папке квика, пароль на квик и смс-подтверждение.
В сумме, по моему, достаточно надежно. (хотя смс-пароли вводить надоедает, конечно).
Эх, где бы еще такой депозит найти, чтобы начать беспокоиться что его взломают и уведут :)
AlexGood, ну да. Сначала пароль с RSA-ключами, потом еще смс прилетает для ввода.
Чтобы всё это крякнуть, легче на самого инвестора наехать. Но для физического наезда нужен реально серьезный депозит — а ви таки гляньте на этих усредняторов тут, трясти некого
Есть такой неочевидный момент. Когда открываешь счёт у брокера, тебе открывают счёт в депозитарии с несколькими разделами: основной и торговый. В терминале видишь только те бумаги, которые находятся в торговом разделе. Понятно, что бумаги можно переводить между разделами и то, что хранится в основном разделе — не видно в терминале.
Не знаю как у других брокеров это сделано, но в Сбере в терминале можно перевести бумаги с торгового раздела на основной, в обратном направлении — никак. Для того, чтобы перевести бумаги из основного раздела — нужно обращаться в депозитарий\брокеру или делать через Сбербанк Онлайн. Если ты достаточно дальновидный и поставил разные пароли на терминал и на сбербанк онлайн — это даст тебе некоторое время, чтобы обнаружить действия злоумышленников.
Если переживаешь за бумаги — выводи их в основной раздел. А самое надёжное — вообще в реестр перевести.
AlexGood, в принципе — да, если в quik не будет физической возможности для перевода с основного раздела на торговый, то в определённом смысле ваши ценные бумаги в безопасности. Злоумышленникам придётся «вскрывать» ваш личный кабинет на сайте брокера (в случае Сбера — это сбербанк-онлайн), чтобы через личный кабинет подать поручение на перевод бумаг.
Привязаться к железу если очень уж страшно — ноут с отпечатком пальца и т.п. Ничего на нём не делать, кроме трейдинга.
Могу сказать, что большие депозиты создают другие проблемы. Это-то как раз не ключевой момент.
1) В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу! Иначе такой геморой может быть, что проклянёте всех. А сотрудники банка могут протупить.
2) Не выходить за пределы связки банк-брокер. То есть деньги в родной банк, затем родному брокеру и всё. Любые другие переводы создают риски дураков в системе.
3) Не открывать личный кабинет банка или брокера с мобилы! Никогда не подключать к этому банку и брокеру онлайн приложения с мобилы! Телефон, который привязан на подтверждения лучше вообще чтобы был примитивной звонилкой без андроида.
4) Не шуметь и не болтать. Уже тут сообщать о намериньях не обязательно =)
…
В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу!
в чем срочно, можно предъявить по требованию банка потом!
А сам стоп по ситуации ставится, под хай-лой предыдущей свечи 15M-1H-4H-1D, за линию тренда, под/над скользящей средней, за уровень поддержки/сопротивления, за ATR, за тень свечи…
$BTCUSDT.P 🪙 будет ли коррекция? Канал с супер разборами t.me/+xXR1LQrxQTI0OTIy
$BTCUSDT.P 🪙
А монета все растет и растет, правда не так быстро как от 70к до 100 долетела.
📈Обновляем макси...
Все истории со взломами у людей, которые сами этому поспособствовали.
на это есть трояны!
Блокировка всего входящего трафика кроме исходящего трафика от квика к брокеру средствами iptables.
Усрутся взламывать.
И да никакой винды, ни в коем разе, хоть виртуальной хоть какой )
В результате у тебя изнутри можно ломится только на доверенные адреса провайдера и только по портам квика, обратный трафик от сервера будет проходить (можно также проверить адрес источника пакета и реджекнуть невалиды) а установить соединение к вам снаружи будет совсем невозможно.
И поскольку никакие соеденения иниц снаружи будут невозможны то даже понять работает ваш комп или нет будет нереально.
По теме.
Для начала стоит понять во что инвестировать будете, а потом уже бояться взлома. Может быть вы все на срочку несете или 3 эшелон, там явно не взлома нужно бояться.))
Но вообще бр счет не место для хранения крупных сумм, обычно там хранят деньги которые не жалко потерять, ибо торговые риски.
например, представившись сотрудником брока попросят назвать свой логин, пароль, кодовое слово?, ясно же, что не назову!
Нам пример хищения злоупотребления внутри брокера, системный потенциально накопленныйй риск банкротсва крупного брокера ещё надо учитывать — чёрный лебедь такой есть, он ещё не прилёта пока.
А по теме вопроса лимит на брокера должен быть такой, что бы вам не смертельно больно было это потерять (или утратить на время судебных разбирательств)
В цифрах 10% от всех активов на связку банк/брокер я б лимит оценил
И подключайте онлайн оповещения об операциях, у вас будет несколько минут чтоб все пресечь.
Хотя это единичные случаи подобного хакерства.
Был случай когда в 2016 в центре мск в банк пришли бородатые парни, пристав или к голове главбух что-то там похожее на пистолет и выгнали бэспом весь коррсчет.)))
От такого как защмтиться
что надежней доступ к Квику через смс-оповещени или ключи?
вон выше советуют выделить отдельный комп только для торговли через Квик!
AlexGood, открываха ТП инвестор/инвестор+:
0.24коп/конт. от 500тыр активов
0.1коп/конт. от 5М активов (в т.ч. по ЕБС)
Думаю, тебе актуально именно для этих объемов, на мелочевке комиссии у открывахи выше.
Но если брокерский счет взломан, что делать злоумышленнику дальше?
Ну продаст все акции со счета, деньги попадут на тот же взломанный брокерский счет.
Чтобы их перевести дальше, нужен же доступ в личный кабинет брокера, где своя идентификация?
Но наверняка у такой схемы есть пределы, сколько можно так перелить?
Кроме того, думал, что в любом неликвиде в стакане могут быть и другие участники, что затруднит манипуляции злоумышленника.
ок ну предположим был перелив...
но средства надо вывести… причем уплатить ндфл со всего...
т.е внезапно брокеру идет заявка на вывод средств в размере 100500% годовых с охрененным ндфл… а брокер прямо не замечая такого выводит деньги в банк???
да перелив палится брокером за 5 сек… бокер смотрит сделки видит перелив и просит обосновать экономический смысл… иначе легализация отмыв и здоровенный толстый куй цбрф в попе
и еще надо уметь торговать
в основном сливаются на плечах и комиссах
идея в том что самому себе переливать смысла нет
а злоумышленник сразу палится на выводе средств… ему просто не дадут вывести… сделки отменят… деньги вернут… а злодей сядет
я ж не свою!
Делаете возможным вывод средств с бр счета только на конкретный счет в банке и все.
Если паритесь про смс (что вообще слабо себе представляю), то например тот же ib по ключу вход, у брокеров рф тоже вроде такая опция есть.
Но даже хер с ним ну вот злоумышленник зашел! Во первых оповещение о входе настройте в лк, во вторых ну а что он сделает? Все продаст? Дальше-то что? У норм брокера ДАЖЕ у РФ брокера перелив — не реал почти. Тем более крупных сумм. А уж у западного брокера с SEC вообще забудьте. Блокнут мгновенно.
Так что спите спокойно)
А по поводу отдельного компьютера для торговли, то поддерживаю вышесказанное о желательности такого подхода. А серфинг в инете по порносайтам осуществляйте с компа жены с сохранением истории поиска, и данные сохраните (в том числе от жены) и семейную жизнь нескучными моментами разнообразите....
В сумме, по моему, достаточно надежно. (хотя смс-пароли вводить надоедает, конечно).
Эх, где бы еще такой депозит найти, чтобы начать беспокоиться что его взломают и уведут :)
двухфакторная аутентификация?
Чтобы всё это крякнуть, легче на самого инвестора наехать. Но для физического наезда нужен реально серьезный депозит — а ви таки гляньте на этих усредняторов тут, трясти некого
как они на владельца крупного счета вычислят, сотрудники брока сольют персональные данные?
Не знаю как у других брокеров это сделано, но в Сбере в терминале можно перевести бумаги с торгового раздела на основной, в обратном направлении — никак. Для того, чтобы перевести бумаги из основного раздела — нужно обращаться в депозитарий\брокеру или делать через Сбербанк Онлайн. Если ты достаточно дальновидный и поставил разные пароли на терминал и на сбербанк онлайн — это даст тебе некоторое время, чтобы обнаружить действия злоумышленников.
Если переживаешь за бумаги — выводи их в основной раздел. А самое надёжное — вообще в реестр перевести.
Могу сказать, что большие депозиты создают другие проблемы. Это-то как раз не ключевой момент.
1) В банк надо сразу сдать копию договора купли-продажи как подтверждение происхождения средств и проследить, чтобы документ попал в дело. Это прям обязательно-обязательно и сразу! Иначе такой геморой может быть, что проклянёте всех. А сотрудники банка могут протупить.
2) Не выходить за пределы связки банк-брокер. То есть деньги в родной банк, затем родному брокеру и всё. Любые другие переводы создают риски дураков в системе.
3) Не открывать личный кабинет банка или брокера с мобилы! Никогда не подключать к этому банку и брокеру онлайн приложения с мобилы! Телефон, который привязан на подтверждения лучше вообще чтобы был примитивной звонилкой без андроида.
4) Не шуметь и не болтать. Уже тут сообщать о намериньях не обязательно =)
…
в чем срочно, можно предъявить по требованию банка потом!