Мы обеспечиваем защиту всех ваших активов и транзакций», – с ходу успокаивает посетителей своего сайта один из ведущих американских интернет-брокеров E-trade. Его клиенты недавно стали жертвами мошенников и потеряли средства, вложенные в ценные бумаги. «Наше обещание звучит очень просто: мы компенсируем любые убытки, связанные с незаконным использованием брокерских, банковских услуг и кредитования», – уверяют в E-trade. Российские брокеры ничего подобного инвесторам не обещают.
Представьте, что вы под прицелом. Сообщения о том, что за рубежом хакеры нанесли ущерб фондовым посредникам и их клиентам, появляются на лентах новостей довольно часто. Американская комиссия по ценным бумагам и биржам (SEC) вынуждена даже проводить ликбез среди приверженцев онлайновой торговли. «Представьте, что у вас есть несколько минут, чтобы проверить свой брокерский счет через интернет. И вдруг вы обнаруживаете там намного меньше средств, чем ожидали, хотя рынок накануне не падал и ваши ценные бумаги не теряли в цене, – описывают возможную ситуацию эксперты SEC. – Как и многие инвесторы, вы можете пользоваться всеми удобствами онлайнового брокерского счета: проверять информацию в любое время дня и ночи, покупать и продавать ценные бумаги или же переводить денежные средства между счетами. Но если вы не предпримете шаги для защиты личных данных, то сможете рассказать собственную историю потери активов».
Далее SEC приводит распространенные способы «выуживания» сведений для несанкционированного доступа к счету инвестора. Во-первых, это программы-шпионы, которые попадают в компьютер жертвы и отсылают информацию мошенникам. Во-вторых, так называемый фишинг, когда инвестора просят по доброй воле предоставить идентификационные данные. Фальшивка будет замаскирована под официальный запрос, скажем, от имени брокерской организации. Третий способ – банальное подглядывание из-за плеча при вводе личной информации, а также «ручной» поиск данных на компьютере, которым вы пользуетесь для выхода в интернет. Затем эксперты дают несколько практических советов инвесторам (см. «Что рекомендует SEC?»).
Собеседники «Ф.» припоминают несколько случаев незаконных транзакций по брокерским счетам в России, но широкого распространения такая практика пока не получила. По объективным причинам.
Тонкий и толстый. С технической точки зрения существует два способа взаимодействия с брокером – так называемый «тонкий клиент» и «толстый клиент», рассказывает директор управления ценных бумаг «Тройки Диалог» Алексей Цыганок. Первый обходится без специального программного обеспечения – достаточно зайти на сайт фондового посредника, ввести регистрационное имя и пароль. И все – можно заключать сделки. Технология «толстого клиента» подразумевает, что на компьютер устанавливается торговая система – например, Quik, GL, «Алор-трейд», «Альфа-директ» или другая. «Тонкий» вариант намного удобнее, ведь поручения можно отправлять с любого компьютера, подключенного к интернету. Зато второй способ более надежен. Этим и объясняется то, почему проблема несанкционированных операций через брокеров в России стоит не слишком остро, считает Алексей Цыганок. Исторически сложилось, что американские частные инвесторы чаще пользуются «тонким клиентом», а российские львиную долю операций проводят через торговые системы, которые взломать труднее.
Однако постепенно ситуация меняется. Многие брокеры в России уже предлагают заключать сделки по технологии «тонкого клиента». Такую возможность дает и «Ренессанс Онлайн» через систему WebQuik. Окно торгового терминала открывается в виде страницы обычного интернет-браузера, например Microsoft Internet Explorer. Для обмена информацией используется стандартный метод защищенной передачи данных (SSL). В качестве дополнительной защиты разработчики предусмотрели для клиентов «Ренессанса» обязательное применение электронно-цифровой подписи (ЭЦП) при работе через WebQuik, уточняет гендиректор компании Максим Малетин.
Потеря информации, позволяющей незаконно распоряжаться чужими активами, может происходить не только на стороне инвестора. Брокеры и биржи тоже находятся под прицелом мошенников. ММВБ каждый день пресекает две-три попытки высококвалифицированного сканирования и взлома сети. «Атаки на интернет-сервисы идут непрерывно и исчисляются сотнями или даже тысячами в день. Однако абсолютное большинство из них нацелены не на нашу компанию, а “бьют по площадям”», – говорит начальник информационно-технического управления «Олмы» Максим Петров.
Письма вандалов. «Атон» и «Ист Кэпитал» постоянно сталкиваются с хакерскими атаками, признают в компаниях. «Как правило, это программы, сканирующие внешние IP-адреса и пытающиеся подобрать пароли для внешнего входа. Их источники имеют очень обширную географию – Средняя Азия, Европа, Россия и Соединенные Штаты», – перечисляет начальник управления информационных технологий ИК «Ист Кэпитал» Сергей Дронов. В борьбе с обычным сетевым хулиганством помогают стандартные средства выявления и блокировки – антивирусные программы и межсетевые экраны.
«Олма» один-два раза в год вынуждена предотвращать более серьезные проблемы – отражать так называемые DoS и DDoS атаки. Здесь принципиально иная ситуация. Злоумышленники не стремятся проникнуть в систему для кражи информации, а пытаются парализовать ее работу. На сервер брокера начинает поступать огромное число ложных запросов, причем из множества источников одновременно. В результате все ресурсы расходуются на их обслуживание, и сервер становится недоступным для обычных пользователей. «Теоретически мы беззащитны перед такой формой интернет-вандализма, но резервирование ключевых компонентов систем и помощь провайдеров позволяет свести перебои в обслуживании клиентов к минимуму», –уверяет Максим Петров.
Даже если злоумышленник сумеет войти в систему под видом клиента, вывести средства со счета будет непросто. «Средства будут перемещаться из денег в бумаги, из бумаг – в деньги, двигаться с одной торговой площадки на другую. В нашей компании электронным способом их можно вывести только на расчетный счет, который указан клиентом в «бумажной» анкете», – рассказывает исполнительный директор ИК «Церих Кэпитал Менеджмент» Александр Щеглов. Для перечисления третьему лицу или получения наличными необходима личная явка или же нотариально заверенная доверенность. «Подкупленный нотариус по-прежнему намного опаснее, чем взломанный сервер», – резюмирует исполнительный директор «Алор Инвеста» Алексей Хорунжий.
Как забирают чужие деньги? И все же мошенники нашли способ, позволяющий дистанционно «высасывать» чужие активы. Это можно сделать через биржевые сделки с низколиквидными ценными бумагами. Предварительно злоумышленник приобретает на свое имя пакет акций какого-нибудь эмитента третьего эшелона. Получив доступ к счету инвестора, на его деньги он начинает скупать бумаги этого эмитента. Из-за низкой ликвидности котировки тут же взлетают. «На пике рынка» проводится продажа собственного пакета. Как только искусственная подпитка спроса исчезает, цены моментально возвращаются к начальному уровню. Подешевевший «неликвид» оседает на счетах ничего не подозревающей жертвы.
Именно так действовал на американских площадках 21-летний выходец из России Алексей Камардин. В июле-августе прошлого года он взломал счета в нескольких крупных брокерских компаниях, в том числе в упоминавшейся E-trade. Незаконные доходы злоумышленника SEC оценила в $83 тыс. Брокеры компенсировали их своим клиентам из собственного кармана. Алексей Хорунжий в этой связи напоминает, что биржи для пресечения манипуляций ограничивают максимально допустимый диапазон колебания цен во время одной торговой сессии. «Эти меры ограничивают возможные потери до незначительного процента от общей суммы активов», – успокаивает Максим Петров. По его словам, «Олма» ведет параллельный учет клиентских операций в нескольких системах. И даже получив полный контроль над 90% таких систем, хакер не успеет на этом много заработать и нанести ущерб инвесторам.
На сегодняшнем этапе развития российского рынка заниматься взломом брокерских счетов просто невыгодно, считает трейдер CYGroup Сергей Максимов. Это слишком дорого, учитывая средний размер суммы на счете. «Сейчас действия самих клиентов как раз и являются узким местом в системе защиты. Нужно ответственно подходить к использованию ключа электронной подписи, оповещать брокера при его утрате и ограничивать доступ к своему компьютеру», – подводит черту Александр Щеглов.
ДЕЛО ТЕХНИКИ: Легким движением ЭЦП…
Электронно-цифровая подпись (ЭЦП) по функциям аналогична собственноручной подписи инвестора.
Перед входом в торговый терминал необходимо вставить в компьютер флеш-карту или дискету, на которую записаны уникальные ключи доступа. Даже если мошенник украдет ваш пароль, то не сможет провести сделку. Отметим, что по поводу этой технологии мнения собеседников «Ф.» расходятся. Некоторые брокеры разрешают клиентам пользоваться ЭЦП по усмотрению. Другие делают ее обязательной вне зависимости от способа выхода на рынок – через отдельный терминал или интернет-браузер. «Мы пришли к выводу, что это громоздкая система, которая не дает достаточного эффекта, поэтому отказались от нее», – делится опытом «Тройки Диалог» Алексей Цыганок. Главный риск для частного инвестора – это передача носителя с ЭЦП другим лицам, – считает Сергей Дронов.
Что рекомендует SEC?
Повысьте уровень защиты при работе в интернете. Обязательно применяйте персональные средства сетевой безопасности и специальное программное обеспечение антивирусное, блокирующее спам и шпионские программы.
Если брокерская компания дает такую возможность, пользуйтесь электронными ключами (электронно-цифровой подписью, ЭЦП – «Ф.»).
Будьте внимательны при загрузке программ или файлов данных из интернета. Дважды подумайте, перед тем как кликнуть по рекламе бесплатной игры или любого другого приложения. «Шпионы» могут быть замаскированными под программные продукты известных разработчиков.
Желательно использовать ваш личный компьютер для доступа к брокерскому счету. В противном случае не забудьте очистить папку «Временные файлы интернета» и удалить все записи из папки «История» после завершения работы.
Брокеры не будут запрашивать или перепроверять персональные данные по электронной почте. Если сомневаетесь, позвоните в вашу компанию и уточните, был ли подобный запрос. При этом пользуйтесь только стандартным телефонным номером, а не тем, что будет указан в письме.
Будьте осторожны со своим паролем. Лучший пароль – тот, который трудно угадать. Постарайтесь использовать в нем одновременно числа и буквы (как строчные, так и прописные). Разным брокерским счетам необходимо назначить разные пароли, а затем регулярно их менять.
Будьте особенно бдительны при работе через беспроводные сети (в частности Wi-Fi). Многие точки доступа в интернет-кафе, отелях, ресторанах и т.д. используют пониженный уровень безопасности, чтобы облегчить посетителям пользование сетью.
Закрывайте все программы по окончании работы. Если вы пользуетесь веб-интерфейсом, не забудьте нажать кнопку «Выход», чтобы завершить сессию. Поставьте в интернет-браузере запрет на запоминание вводимых имени и пароля.
Журнал «Финанс.» №22 (208) 11 июня – 17 июня 2007 – Биржа
Олег Мальцев
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.