Скачать MetaTrader 5

А ваш счет защищен от хакерского гоп-стопа?

Авторизуйтесь или зарегистрируйтесь, чтобы добавить комментарий
Aleksandr Shamaluev
157
Aleksandr Shamaluev 2013.07.01 13:33 
Начнем с описания схемы и способов кражи.
 
Все мы пользуемся терминалами для торговли, чтобы получить доступ к счету необходимо ввести логин-пароль, часто, но далеко не всегда, предлагается сгенирироваль криптографический ключ. И дальше начинается самое интересное. Почти все брокеры снимают с с себя ответственность за хранение ключей и паролей(Это буден написано в договоре). Действительно, купив машину,  завод уже не  будет обязан её охранять. Поэтому вся тяжесть ноши лежит на плечах клиента.

Как поступает мошенник и кто это? 
Обычно это организованная группа людей. Одни крадут ключи, другие занимаются переводом денег, третьи обналичкой. Хотя думаю есть и спецы охватывающие все пункты в одиночку.
 
Если клиент использует криптоключи, то даже перехватив информации злоумышленник не сможет ей воспользоваться, так как современные алгоритмы криптозащиты имеют достаточный уровень стойкости (то есть времени необходимого для взлома на современных вычислительных средствах ), поэтому остается только одно – нужно получить в доступ ключи и пароли трейдера.
 
Сделать это обычно очень легко. Самый простой способ банальная кража с помощью трояна.
 
Злоумышленник создаёт троянскую программу и запускает её в сеть. Ему не важно знать имеет ли человек брокерский терминал или нет. Программа сама определит это и если обнаружит, то начнет своё «грязное дело».(Причем сегодня совсем не нужно быть программистом для создания такого рода программ, можно купить конструктор и собрать все самому. )
Первое – запись всего что вводит человек с клавиатуры.
 Второе поиск и передача криптоключей спецу.
Более того, некоторые могут передать даже фотографии экрана.


Теперь у  злоумышленника есть пароль и ключ клиента. Дальше дело техники. Это не банковский счет, просто отправить деньги на карту и быстро снять не получится.
Тут мои познания не глубоки, придется воспользоваться источниками.:)
 Можно сделать через биржевые сделки с низколиквидными ценными бумагами. Предварительно злоумышленник приобретает на свое имя пакет акций какого-нибудь эмитента третьего эшелона. Получив доступ к счету инвестора, на его деньги он начинает скупать бумаги этого эмитента. Из-за низкой ликвидности котировки тут же взлетают. «На пике рынка» проводится продажа собственного пакета. Как только искусственная подпитка спроса исчезает, цены моментально возвращаются к начальному уровню. Подешевевший «неликвид» оседает на счетах ничего не подозревающей жертвы.
Именно так действовал на американских площадках 21-летний выходец из России Алексей Камардин. В июле-августе прошлого года он взломал счета в нескольких крупных брокерских компаниях, в том числе в упоминавшейся E-trade. Незаконные доходы злоумышленника SEC оценила в $83 тыс. Брокеры компенсировали их своим клиентам из собственного кармана. Алексей Хорунжий в этой связи напоминает, что биржи для пресечения манипуляций ограничивают максимально допустимый диапазон колебания цен во время одной торговой сессии. «Эти меры ограничивают возможные потери до незначительного процента от общей суммы активов», – успокаивает Максим Петров. По его словам, «Олма» ведет параллельный учет клиентских операций в нескольких системах. И даже получив полный контроль над 90% таких систем, хакер не успеет на этом много заработать и нанести ущерб инвесторам.

На сегодняшнем этапе развития российского рынка заниматься взломом брокерских счетов просто невыгодно, считает трейдер CYGroup Сергей Максимов. Это слишком дорого, учитывая средний размер суммы на счете. «Сейчас действия самих клиентов как раз и являются узким местом в системе защиты. Нужно ответст­венно подходить к использованию ключа электронной подписи, оповещать брокера при его утрате и ограничивать доступ к своему компьютеру», – подводит черту Александр Щеглов.

Как видно все это не «где-то там», а все это реально и здесь!
Как же себя защитить  на сегодняшний день. Ответ прост. Довести безопасность до абсурда:
  • Никогда не использовать хваленый  «тонкий-клиент», когда торговля происходит без установки специальных программ прямо в окне браузера.
  • Использовать для торговли специально отведенный компьютер. Лучше ноутбук чтобы всегда  можно было взять с собой.
  • Обязательная установка антивируса и фаервола. Даже без настройки эти средства понизят риск заражения компьютера.
  • Использовать только лицензионное программное обеспечение! Именно сборки и взломанные программы используются для распространения троянов.
  • Не использовать этот компьютер для поиска «горячих» сайтов, да и вообще любых. Как показывает практика заразиться можно даже на вполне пристойных сайтах внушающих доверие.
Наконец главное- хранение ключей.

Что сейчас обычно советует Ваш брокер – дискету или флешку. Все это знакомо злоумышленникам, именно туда полезет троян в первую очередь!
На сегодняшний день придумано средство способное защитить нас с вами. Это – eToken. Напоминает флешку, но гораздо более защищен. Используется для хранения важной информации. Например наших криптоключей. Однако далеко не все брокеры  предоставляют данную услугу. Подборку не делал. Предлагаю в коментах написать кто-что слышал.
Но eToken не способен защитить вас полностью. Так как пароль остаётся доступным, да и ключи все же можно украсть. Для «полной» безопасности, на текущий момент, создан ОТР Token – позволяющий генерировать каждый раз новый пароль, что лишает злоумышленника воспользоваться краденым паролем.
Есть ли такие брокеры? Я не знаю.Что будет если деньги пропадут? Спорный вопрос, но брокер будет бодаться до последнего чтобы их не отдавать.
И еще. Некоторые брокеры помогают генерировать малограмотным клиентов ключи. Что тут сказать – риск выбираете сами.
Документация по MQL5: Получение рыночной информации / SymbolInfoSessionQuote
Документация по MQL5: Получение рыночной информации / SymbolInfoSessionQuote
  • www.mql5.com
Получение рыночной информации / SymbolInfoSessionQuote - Документация по MQL5
Ihor Herasko
9264
Ihor Herasko 2013.07.01 13:44  
AShamaluev:
  • Использовать для торговли специально отведенный компьютер. Лучше ноутбук чтобы всегда  можно было взять с собой.

... и его легче было бы украсть злоумышленнику. Вот уж, действительно, безопасность доведена до абсурда.
Rustamzhan Salidzhanov
7687
Rustamzhan Salidzhanov 2013.07.01 13:47  
или школота на каникулы вырвалась, или массовое заражение маразмом моска...
MetaQuotes
Админ
25034
Renat Fatkhullin 2013.07.01 14:06  

В МТ5 есть штатный механизм клиентских SSL сертификатов, реализующий дополнительный уровень безопасности. Работает прямая поддержка eToken ключей, что позволяет импортировать SSL сертификат в ключ и использовать его при авторизации не только в терминале, но и на других сервисах брокера.

Доступ к сохраненным аккаунтам в конфиг файлах использует хардверно зависимый метод шифрации, что не дает возможности использовать пароли на другом оборудовании. То есть, своровав файл ключей, на другом компьютере его не запустишь.

У нас активно развивается собственная система Push сообщений на основе MetaQuotes ID (больше 1.3 миллиона пользователей), что позволит легко и в родном режиме включить дополнительный метод двухфакторной авторизации через одноразовые пароли. Сейчас, кстати, этот метод уже доступ для авторизации на MQL5.community.

Авторизуйтесь или зарегистрируйтесь, чтобы добавить комментарий