Wybierając dom maklerski, inwestorzy koncentrują się zwykle na wysokości prowizji, dostępności rynków, funkcjonalności platformy transakcyjnej czy jakości wsparcia klienta. Często pomijają jednak kryterium bezpieczeństwa, które powinno być także brane pod uwagę – zwłaszcza w obliczu zagrożeń ze strony hakerów.
Klienci domów maklerskich często zakładają błędnie, że środki z ich rachunku można wypłacić jedynie na należący do nich, zdefiniowany wcześniej, rachunek bankowy, co daje im poczucie bezpieczeństwa. Istnieją jednak schematy ataków hakerskich, które umożliwiają wyprowadzanie kapitału przez transakcje giełdowe.
W ostatnim czasie o metodzie tej stało się głośno za sprawą przypadków, które dotknęły niektórych klientów XTB. Historia skończyła się szczęśliwie dla poszkodowanych inwestorów – spółka zobowiązała się oddać im środki. Niemniej powinna być to przestroga i lekcja dla wszystkich uczestników rynku oraz dobra okazja do zastanowienia się nad bezpieczeństwem.
– Myślę, że bardzo wielu klientów w ogóle sobie nie wyobrażała, że można w ten sposób wyprowadzić środki z ich rachunku – mówi Sebastian Zadora z Domu Maklerskiego BOŚ. – W naszym domu maklerskim pojawiły się próby podobnych ataków, jeszcze przed wdrożeniem przez nas obowiązkowej weryfikacji dwuskładnikowej (2FA). Jednak żaden z naszych klientów ostatecznie nie stracił swoich środków – podkreśla nasz rozmówca.
Wspomniany schemat wyprowadzania środków poprzez transakcje giełdowe polega na przejęciu dostępu do rachunku klienta, sprzedaży walorów z jego portfela, a następnie kupieniu za dostępne środki akcji mikro-spółek o niskiej płynności, a czasami wręcz pustym arkuszu zleceń. Atakujący wystawiał zlecenia kupna po wysokiej cenie, a realizujący je mogli osiągać w ten sposób duży zysk. Hakerzy realizowali w ten sposób tysiące transakcji.
Pierwszym krokiem było jednak przejęcie dostępu do rachunku maklerskiego. Do najpopularniejszych wektorów ataku należą różne techniki phishingu, czyli próby wyłudzenia danych poprzez fałszywe strony internetowe lub maile wyglądające jak te od brokera czy banku.
– Warto, żeby klienci pamiętali o tym, że ani DM BOŚ, ani żaden inny dom maklerski szanujący zasady bezpieczeństwa nie wyślą im w mailu linku prowadzącego do strony, gdzie wymagane jest logowanie lub podanie swoich wrażliwych danych. Warto zapisać też w swojej przeglądarce stronę logowania do rachunku maklerskiego, żeby nie trafić na jej kopię podstawioną przez hakerów – zwraca uwagę Sebastian Zadora.
Innym istotnym zagrożeniem obok phishingu jest przejęcie karty SIM poprzez jej duplikację na podstawie podrobionych dokumentów, co może umożliwić dostęp do kodów weryfikacyjnych wysyłanych SMS-em. W arsenale cyberprzestępców znajduje się również credential stuffing, czyli próba dopasowania haseł, które wyciekły z innych baz danych, wykorzystując ten sam login, np. adres e-mail – stąd przypominana zawsze konieczność stosowania unikalnych haseł do każdego konta w sieci.
Jak chronić swój rachunek maklerski? Podstawą 2FA
Według Sebastiana Zadory z DM BOŚ klienci powinni zacząć pytać o zabezpieczenia rachunków stosowane przez domy maklerskie i brokerów, z których usług zamierzają korzystać. Jak przyznaje, obecnie jest to jednak rzadko spotykane podejście. – Bezpieczeństwo to temat, który tak naprawdę niespecjalnie interesuje większość klientów. Inwestorzy cenią wygodę dostępu do środków, szybkość zawierania transakcji, szybkość logowania. Rozwiązania zwiększające bezpieczeństwo zwykle pogarszają w pewnym stopniu dostępność.
Nasz rozmówca podkreśla, że całkowitą podstawą powinna być uwierzytelnianie dwuskładnikowe (2FA).
Od kiedy mamy wdrożone obowiązkowe 2FA dla każdego klienta, nie było w naszym domu maklerskim żadnego poważnego naruszenia bezpieczeństwa. Wymagane dwuskładnikowe logowanie powoduje, że potencjalni sprawcy zajmują się słabiej chronionymi rachunkami – zwraca uwagę Sebastian Zadora z DM BOŚ.
Brokerzy i domy maklerskie mogą stosować różne rodzaje uwierzytelniania dwuskładnikowego, które różnią się także poziomem zapewnianego bezpieczeństwa. Dostępne warianty 2FA możemy podzielić na:
- kody wysyłane SMS-em – są najniżej pozycjonowane pod względem bezpieczeństwa z powodu ryzyka duplikacji karty SIM, ale jeśli nie ma alternatyw, warto z nich korzystać.
- kody TOTP (Time-Based One-Time Password) – generowane przez aplikacje takie jak Google Authenticator czy Microsoft Authenticator, są odporne na duplikację SIM, ale również nieidealne. Jeśli użytkownik trafi na fałszywą stronę i zostanie poproszony o wpisanie kodu 2FA, nie będzie wiedział, jaką operację zatwierdza.
- powiadomienia push w aplikacji mobilnej – uważane za najbardziej optymalne i bezpieczne. Kod potwierdzający jest akceptowany w aplikacji mobilnej (np. za pomocą biometrii), a w komunikacie push jest napisane dokładnie, czy klient potwierdza właśnie logowanie, zlecenie, transakcję czy cokolwiek innego.
- klucze sprzętowe (U2F) – zapewniają najwyższy poziom bezpieczeństwa, ponieważ do wykonania operacji potrzebny jest fizyczny token, ale ich wadą jest brak wygody.
Hasła, loginy i wewnętrzne zabezpieczenia
Oprócz 2FA zastanawiając się nad bezpieczeństwem rachunku maklerskiego, warto zwrócić uwagę na:
- politykę haseł – ważna jest długość i złożoność hasła (min. 11 znaków, duże i małe litery, cyfry, znaki specjalne, polskie znaki). Co najważniejsze, nie należy powtarzać tego samego hasła w różnych miejscach logowania, aby zminimalizować ryzyko w przypadku wycieku danych z innej platformy.
- sposób logowania – dobrze, jeśli loginem jest coś innego niż adres mailowy (w przypadku wycieku z innej platformy i używania tego samego hasła do wielu kont hakerzy mają ułatwione zadanie). Do rachunku maklerskiego najlepiej logować się przez adres URL zapisany w przeglądarce, unikając linków z wyszukiwarki (które mogą prowadzić do podrobionych stron pozycjonowanych poprzez reklamy). Trzeba także pamiętać o tym, że domy maklerskie dbające o bezpieczeństwo nigdy nie wysyłają linków prowadzących do logowania w wiadomościach e-mail.
- powiadomienia o aktywności na rachunku – warto wiedzieć, czy broker oferuje szeroki katalog czynności, o których klient może otrzymywać powiadomienia (np. logowanie, blokada rachunku, transakcje, zlecenia, wpłaty, wypłaty). Elastyczność w zarządzaniu tymi powiadomieniami pozwala dostosować je do własnego stylu inwestowania i w niektórych przypadkach wykryć podejrzane operacje.
Jak podkreśla Sebastian Zadora, obok wymienionych wcześniej środków bezpieczeństwa i widocznych z zewnątrz standardów stosowanych przez dom maklerski, warto zadawać pytania o to, co niewidoczne. Są to wewnętrzne zabezpieczenia. Chociaż raczej na pewno nie uzyskamy odpowiedzi opisującej szczegółowe działania tych systemów, wystarczy informacja, czy dom maklerski stosuje:
- monitoring nietypowych zachowań na rachunku, który umożliwia zablokowanie transakcji, jeśli istnieje ryzyko, że nie dokonuje jej klient.
- automatyczne wylogowanie przy zmianie IP sesji, chroniące przed przejęciem aktywnej sesji przez osobę trzecią.
Chociaż wciąż niedoceniane, bezpieczeństwo powinno stanowić ważne kryterium wyboru domu maklerskiego lub brokera. Cyberataki ze strony hakerów działających dla zysku lub będących narzędziem trwającej wojny hybrydowej, nasilają się z roku na rok. Klienci często przedkładają wygodę i szybkość dostępu nad zaawansowane środki bezpieczeństwa, ale pojawiające się co jakiś czas incydenty, dobitnie przypominają, że ignorowanie ryzyka może mieć poważne konsekwencje.
– Biorąc pod uwagę, że na rachunkach maklerskich często przechowujemy znaczną część naszego majątku, kilka dodatkowych sekund przy logowaniu nie powinno być dla nikogo zbyt wysokim kosztem. Zasady bezpieczeństwa są dla klientów, a nie przeciwko nim. Chociaż może wydawać się, że ich przestrzeganie sprawia pewne utrudnienia, są one niewielkie w porównaniu z potencjalnymi stratami.
