Как защитить торговый счет от мошенников

Брокерские/торговые счета инвесторов и трейдеров, как и банковские, представляют собой заманчивую цель для тех, кто не прочь завладеть чужими средствами. С переводом практически всех операций в онлайн и постоянным совершенствованием инструментов кибермошенников вероятность получения доступа злоумышленника к конфиденциальным данным постоянно растет. Поэтому инвесторам необходимо знать, как защитить свой брокерский счет от мошенников.

От каких угроз нужно защищать торговый счет

Трейдер или инвестор совершает по торговому счету торговые (размещение заявок или рыночных ордеров) и неторговые (пополнение, вывод средств, перевод активов) операции. Несанкционированный доступ к нему чреват весьма неприятными последствиями:

• потерей денежных средств и других активов при выполнении злоумышленниками торговых операций;
• кражей средств и других активов при их переводе на счета третьих лиц или выводе с брокерского/торгового аккаунта.

Есть несколько вариантов, которые могут привести к такому развитию событий:

1. Получение посторонними неконтролируемого доступа к оборудованию (персональному компьютеру, мобильному устройству), с которого инвестор работает с торговым счетом.
2. Дискредитация учетных записей - получение третьим лицом данных авторизации (логина, пароля) для доступа к торговому счету.
3. Перехват и подмена трафика между оборудованием пользователя и серверами брокера или дилера.

Некоторым из этих угроз эффективно противодействуют сами провайдеры брокерских и дилерских услуг. Так, например, работа с личным кабинетом клиента ведется только по SSL-протоколу, для шифрования трафика используются дополнительные сертификаты безопасности и т. д. Это как минимум устраняет опасность перехвата и подмены данных в каналах обмена.

Кроме того, любой клиент при регистрации счетов проходит полную процедуру верификации, включающую проверку персональных и контактных (номер мобильного телефона, адрес электронной почты) данных. Это позволяет идентифицировать личность клиента и в некоторой степени гарантировать, что переданная ему от брокера или дилера важная информация, в том числе логины и пароли, не попадет в чужие руки. Более того, изменение некоторых критически важных сведений (тех же номеров телефонов и электронных адресов) некоторые брокеры запрещают без повторной верификации личности клиента.

Однако все эти меры оказываются бесполезны, если владелец счета сам не позаботится о его безопасности. По статистике, более 78% киберпреступлений, связанных с доступом к учетным записям, совершаются злоумышленниками, получившими конфиденциальные данные из-за халатности пользователя, а не в результате утечки из крупных хранилищ.

Как злоумышленники получают данные авторизации

Возвращаясь к списку угроз, отметим, что первую из них - доступ посторонних к ПК или мобильным устройствам - устранить проще всего.

Для этого достаточно:

1. Не работать с торговым счетом и не устанавливать терминал на компьютер, к которому имеет доступ не только владелец.
2. Не передавать мобильное устройство, на котором производится вход в личный кабинет и запускается терминал, в руки посторонним.

Важно! Первый пункт реализовать возможно не всегда. Например, не получится так организовать работу, если в семье один ПК для всех. В этом случае следует не оставлять открытыми окно или вкладку личного кабинета, работающим терминал, если владелец счета вынужден отойти от ПК. Обязательно также разграничить доступ к установленным на компьютер программам, а еще лучше вынести терминал на отдельный том жесткого диска, который будет подключаться только для одного пользователя.

Что же касается утечки данных учетных записей, у злоумышленников есть несколько основных путей для их хищения:

1. Установка на устройство пользователя шпионского программного обеспечения. Его назначение может быть различным - получение логинов и паролей из хранилищ, протоколирование набора на клавиатуре, съемка скриншотов с формами авторизации и т. д. После этого информация отправляется по сетевым каналам владельцу программы.
2. Фишинг - подделка сайтов провайдеров брокерских или дилерских услуг с выставлением на них форм авторизации. При попытке входа в личный кабинет злоумышленник напрямую получает логин и пароль.
3. Взлом электронной почты. Получая доступ к адресу электронной почты пользователя, мошенники используют логины и пароли, пересланные брокером владельцу торгового счета.

Есть и другие более экзотические варианты, но даже устранение этих уязвимостей дает более 95% уверенности в том, что посторонние не получат данных для доступа к торговому счету.

Как защититься от кражи логинов и паролей

Методы защиты от кражи логинов и паролей для доступа к торговому счету хорошо известны практически каждому пользователю ПК или мобильных устройств. Основная проблема в том, что большинство не пользуются ими в повседневной работе.

Защита от троянов и шпионского ПО

Защитить устройства от установки на них вредоносного (троянов, шпионских программ и пр.) софта можно:

• С помощью использования последних версий антивирусного ПО и актуальных баз для него. Разработчики антивирусов включают в их функциональность борьбу со всеми известными вредоносными программами, в том числе шпионскими. При этом в бесплатных версиях такие функции могут быть урезаны. Поэтому не следует экономить на безопасности - лучше купить коммерческую версию с полным набором функций и регулярными обновлениями баз. Тем более что большинство таких предложений включают лицензию для нескольких стационарных и мобильных устройств.
• Не хранить логины и пароли в базах данных популярных браузеров. Хотя компании-разработчики и говорят о безопасности такого шага, именно такие программы, а также используемые ими облачные хранилища первыми тестируются на уязвимости и подвергаются атакам злоумышленников. Вместо них лучше использовать агрегаторы/менеджеры паролей сторонних разработчиков, однако эти программы нужно тщательно выбирать.
• Не устанавливать на свои устройства программы удаленного контроля и администрирования, такие как Team Viewer, Any Desk, RAdmin и аналогичные, особенно по запросу посторонних. Доступ через них к устройству позволяет администратору дистанционно получить абсолютно любые данные.
• По возможности не использовать для ввода логинов и паролей (особенно на ПК) стандартные клавиатуры. Лучше для этого работать с экранной, которая есть в поставке ОС, или через последовательность "Копировать"/"Вставить" из нестандартных хранилищ.
• Не устанавливать программное обеспечение из ненадежных и непроверенных источников. Именно в такие установочные пакеты зачастую вшивается вредоносный софт. Программы, которые необходимы для выполнения повседневных задач, рекомендуется брать исключительно с сайтов разработчиков или их официальных представителей. Категорически не рекомендуется пользоваться взломанными пиратскими копиями - если нет желания покупать лицензионное ПО, лучше найти бесплатный аналог, пусть и с несколько урезанной функциональностью.
• Не разрешать загрузку контента на устройство при посещении сайтов. Такое ограничение легко выставляется в настройках безопасности браузеров. Это позволит предотвратить скачивание и установку вредоносных плагинов или установочных модулей программ.

Некоторые пользователи оценивают такой список "не..." (не делать, не скачивать, не устанавливать и т. д.) как проявление паранойи. Однако, когда речь заходит о безопасности средств на счетах, такая паранойя явно не будет лишней. Особенно когда на этих счетах удастся скопить пару-другую миллионов рублей.

Защита от фишинга

Чтобы не принять фишинговый сайт за действительно рабочий (а их порой отличить чрезвычайно трудно), нужно тщательно проверять адреса, по которым происходит переход. При этом желательно не просто читать их в строке браузера. Зачастую, особенно если сайт используется постоянно, человек не в состоянии определить на глаз минимальные изменения, например, наличие одной лишней или отсутствие одной буквы. Бороться с этим просто, для этого можно:

• добавить нужный адрес (естественно, после тщательной проверки) в закладки;
• постоянно вводить правильный адрес, например личного кабинета, с клавиатуры;
• сохранить валидный адрес на устройстве и обязательно проверять совпадение с ним содержимого адресной строки после перехода.

Помогут выявить фишинговые сайты антивирусные программы и современные браузеры, обладающие соответствующими функциями.

Защита от взлома электронной почты

Взлом электронной почты - одно из самых распространенных киберпреступлений в современном мире. Нередко мошенники получают данные почтовых аккаунтов в результате утечек. Однако часто доступ к e-mail открывается злоумышленникам и по вине пользователя. Чтобы сократить вероятность последних случаев, нужно:

• Использовать длинные надежные пароли, которые невозможно подобрать. Для этого пароль не должен ассоциироваться с распространенными словами, именами, датами. Он должен содержать не менее 8 символов, включать строчные и заглавные буквы и спецсимволы. 
• Менять пароль от электронной почты не реже одного раза в месяц.
• Не использовать почтовый ящик, на который зарегистрирован торговый счет для других целей - подписок в интернете, онлайн-оплат и аналогичных.
• Не сообщать авторизационные данные посторонним.

Чтобы даже при взломе почтового сервиса злоумышленник не получил доступа к торговому счету, рекомендуется:

1. Сменить пароли, полученные в письме от брокера или дилера, при первом же входе в личный кабинет и терминал.
2. Удалить письма с данными авторизации из почтового ящика и провести очистку его корзины.

Кроме того, с паролями к личному кабинету и торговому счету также следует поступать, как с любыми другими:

• выбирать только надежные сочетания символов;
• периодически (не реже одного раза в месяц) менять их;
• хранить так, чтобы к ним было сложно получить доступ;
• не сообщать посторонним.

Не стоит пренебрегать и таким способом защиты счета, как двухфакторная авторизация.

Если держатель торгового счета позаботится о его безопасности, у злоумышленников практически не будет шансов получить несанкционированный доступ к активам и операциям. Однако делать это нужно добросовестно и регулярно.

Вопросы и ответы

Какой почтовый сервис лучше выбрать для электронной почты, на которую будет зарегистрирован торговый счет?

Большинство известных сервисов в значительной мере похожи по функциональности и применяемым мерам защиты. Поэтому отдать предпочтение какому-либо сложно. Снизить вероятность утечек удастся, если развернуть собственный email-сервис. Сегодня такую услугу недорого (иногда бесплатно) предоставляют многочисленные хостинг-провайдеры.

Почему рекомендуется использовать не менее 8 символов в паролях?

В этом случае (если пароль не ассоциированный) временные затраты на его подбор даже с самым производительным оборудованием превышают приемлемые сроки. То есть за месяц его не взломать, а через месяц аккуратный пользователь его сменит.

Антивирусные программы, ведущие сканирование любой сетевой активности, замедляют работу. Это может сказаться на работе терминала?

Нет, проверке подвергаются определенные виды трафика, протоколы, файлы. Обмен с торговыми серверами к ним не относится, поэтому дополнительных задержек не будет.