Социальная инженерия

Установка программы QUIK на примере брокера “Открытие”

Программа QUIK предназначена для торгов на российских и зарубежных рынках. Название свое получило от сокращения английских слов Quickly Updatable Information Kit , что переводится как Быстро Обновляемая Информационная Панель.

Очень удобная и наиболее распространённая программа в России, к тому же бесплатная. Но при первом с ней знакомстве, иногда пользователи испытывают трудности с установкой и регистрацией.

Чтобы их избежать в данном примере рассмотрим установку программы Квик у брокера «Открытие». Хочу сразу отметить, что те же шаги вам потребуются при регистрации у брокера банка ВТБ. Соответственно, программу скачиваете у того брокера, где открываете счет.

Социальная инженерия: что это и как она появилась?

Несложно догадаться, что даже самая навороченная система безопасности уязвима, когда ей управляет человек, тем более, если этот человек доверчив, наивен и психологически неустойчив. И когда на машину (ПК) совершается атака, ее жертвой может выступать не только компьютер, но и человек, который за ним работает.

Именно такая атака на сленге социальных хакеров называется социальной инженерией. В традиционной форме она выглядит как телефонный звонок, где звонящий выдает себя за кого-то другого, желая выудить у абонента конфиденциальную информацию, чаще всего – пароли. Но в нашей статье мы рассмотрим явление социальной инженерии в более широком понимании, подразумевая под ним любые возможные методы психологических манипуляций, такие как шантаж, игра на чувствах, обман и т.п.

В этом понимании социальная инженерия является методом управления действиями людей без применения технических средств. Чаще всего он воспринимается как незаконный метод получения разных ценных сведений. Используется же он преимущественно в Интернете. Если вам интересны примеры социальной инженерии, то вот один из самых ярких:

ПРИМЕР: Злоумышленник хочет узнать пароль от личного кабинета Интернет-банка у человека. Он звонит жертве по телефону и представляется сотрудником банка, просит назвать пароль, ссылаясь на серьезные технические проблемы в системе организации. Для большей убедительности он называет вымышленное (или узнанное заранее реальное) имя сотрудника, его должность и полномочия (если потребуется). Чтобы заставить жертву поверить, социальный хакер может наполнить свою историю правдоподобными деталями, сыграть на чувствах самой жертвы. После того как злоумышленник получил сведения, он все также мастерски прощается со своим «клиентом», а затем использует пароль для входа в личный кабинет и кражи средств.

Как ни странно, но даже в наше время есть люди, которые клюют на такие удочки, и доверчиво рассказывают социальным хакерам, все, что им нужно. А в арсенале последних может быть немало техник и приемов. О них мы тоже расскажем, но чуть позже.

Социальная инженерия – наука (направление), появившаяся сравнительно недавно. Ее социологическое значение состоит в том, что она оперирует специфическими знаниями, направляющими, систематизирующими и оптимизирующими процесс создания, модернизации и применения новых социальных реальностей. В некотором смысле она дополняет социологическое знание, преобразуя научные знания в алгоритмы деятельности и поведения.

В определенной форме люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных риторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и решали государственные проблемы. Позже социальную инженерию взяли на вооружение спецслужбы, такие как ЦРУ и КГБ, агенты которых с успехом выдавали себя за кого угодно и выведывали государственные тайны.

К началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой разных компаний ради шутки. Но со временем кто-то сообразил, что, если использовать техничный подход, можно достаточно легко получать разную важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.

Когда же появились компьютеры, большинство синжеров сменило профиль, став социальными хакерами. Теперь понятия «социальная инженерия» и «социальные хакеры» синонимичны. А с мощным развитием социальной инженерии стали появляться ее новые виды и расширился арсенал методик.

Посмотрите это небольшое видео, чтобы узнать, как социальные хакеры манипулируют людьми.

Печать списка туров

Туры будут распечатаны на бланке с указанием названия Вашего агентства и всеми контактными данными: телефон, адрес, часы работы и т.д. Электронную версию бланка Ваш клиент сможет открыть в интернете с телефона, планшета или компьютера и почитать отзывы об отелях.

Атака методами социальной инженерии

1. Сбор информации о потенциальном объекте

Чтобы эффективно применить методы социальной инженерии, нужно знать, с чем и кем имеет дело кибермошенник. В компании преступника может заинтересовать количество сотрудников, графики их работы, перемещения, страхи, конфликты на рабочем месте и другое, что делает их уязвимыми.

Наибольший интерес представляют данные для авторизации, аккаунты в социальных сетях, сообщения на форумах, в чатах, сведения о перемещении, личный адрес, связи с другими людьми (родственниками, коллегами, друзьями), общедоступная информация из поисковых сервисов.

Получение физического или онлайн-доступа к ценной информации, сбор базы логинов/паролей, документы или другая цель, которую преследует кибермошенник. Атака осуществляется после контакта мошенника с жертвой. Установить контакт можно разными способами: в реальном или телефонном разговоре, онлайн (отправив письмо на e-mail или написав в соцсети).

Информацию, которая попала в руки киберпреступнику, можно использовать для доступа к банковскому счету, чтобы скомпрометировать компанию, попросить выкуп за возврат доступа или нераспространение украденного.

Шаг 4. Регистрация ключей у брокера

Сгенерированные ранее ключи, необходимо зарегистрировать у брокера. Суть этой регистрации состоит в том, что технической поддержке надо будет передать файл с публичным ключом (pubring.txk). Собственно, о том, как передать этот файл я, к сожалению, не смогу Вам рассказать, потому что у каждого брокера эта процедура своя: кто-то просит прислать публичный ключ электронной почтой, у кого-то это надо сделать через личный кабинет на сайте. При открытии брокерского счета, менеджер обязательно Вам об этом расскажет. А если нет, то уточните у него сами.

Вот мы и подошли к финишной прямой. Мы уже скачали и установили торговый терминал на компьютер, сгененрировали и зарегистрировали ключи безопасности у брокера, и теперь остался последний шаг — настроить рабочее место QUIK, добавив в программу ключи. Делается это очень просто. Запускаем терминал и в главном меню программы выбираем пункт «Система». В выпадающем списке ищем подпункт «Настройки» и далее «Основные настройки» (либо же можно воспользоваться горячей клавишей, нажав на клавиатуре кнопку F9):

Да, кстати, забыл упомянуть: когда запустите программу, то появится окно авторизации, в котором попросят ввести имя и пароль. В нем нажмите «Отмена»: пока не пропишем ключи безопасности в настройках, то не сможем подключится к торговому серверу брокера.

После того, как откроется окно «Настройки клиентского места», в левом иерархическом меню необходимо выбрать 1-й пункт «Программа», а затем перейти в подменю «Шифрование». В правой части окна Вы увидите строчку «Настройки по умолчанию» и далее значок-иконку. Кликните по этому значку, откроется еще одно небольшое окно:

Помните, на 3-м шаге, когда мы создавали ключи безопасности, нам предлагали выбрать папку для сохранения этих самых ключей? Так вот сейчас пришло время вспомнить, куда Вы сохранили эти файлы и указать путь к ним. Соответственно, для файла с публичными ключами указываем путь до pubring. txk, а для файла с секретными ключами — до secring.txk. После всех проделанных манипуляций, жмем на «Сохранить» и перезапускаем программу. Вот теперь в окне «Идентификация пользователя» пишем свои имя и пароль.

В общем-то, на этом все. Квик «из коробки» прекрасно настроен и не требует от пользователя каких-то дополнительных действий. Да, есть еще некоторые настройки, о которых следовало бы упомянуть, но всему свое время, и мы к ним обязательно вернемся в следующих статьях. А на сегодня достаточно, тем более, что с поставленной задачей мы с Вами прекрасно справились. Теперь Вы сможете самостоятельно скачать и установить программу QUIK на компьютер.

Гибкая работа с заявками, стоп-лосс и тейк-профит в Квике

В МетаТрейдере5 есть несколько типов ордеров, например, стоп-лимит, buy limit и прочие. Работа с заявками на вход в рынок организована довольно гибко. По этой части Квик не отстает от МТ5. Выше мы рассмотрели вариант простого удаления заявки, но это не единственное, что можно сделать с ней.

В контекстном меню, через которое мы ранее удаляли ненужные приказы и закрывали сделки, есть еще два пункта:

• Заменить заявку. Если она еще не исполнилась, можно отредактировать ее параметры;
• Айсберг заявка. От обычной отличается тем, что позволяет скрыть от других участников торгов информацию по количеству покупаемых бумаг. В поле настройки приказа на вход в рынок появляется новый пункт Видимое количество. Здесь указывается то число акций, которое будет отображаться в стакане. Остальная часть станет невидимой для трейдеров, но заявка исполнится в полном объеме.

Название этот тип заявок получил по аналогии с обычными айсбергами. У этой ледяной глыбы большая часть остается невидимой, скрыта под водой. То же и с вашим приказом, полностью объем будет знать только брокер.

Переходим к тому, есть ли стоп заявка в терминале QUIK, как выставить тейк-профит также разберемся. В торговле рекомендую использовать и то, и другое. Исключение – трейдеры с опытом и возможностью отслеживать состояние открытых позиций в течение всей торговой сессии.

Stop-Loss в QUIK

Если раньше работали в МетаТрейдере, может возникнуть небольшая путаница. В Квике нет традиционного Stop Loss, его роль играет заявка типа Стоп-лимит. Объясняется это следующим (на примере сделки на покупку акций Аэрофлота по цене 91,12 объемом 3 лота):

• Для нее SL – ордер на продажу, размещенный ниже рыночной цены. Но в Квик разместить простую лимитку такого типа нельзя: она сразу исполнится по рынку так как это число более выгодное, чем то, которое вы задаете в настройках.
• Для выставления SL через стакан выбираем пункт Новая стоп заявка, в ней устанавливаем стоп-лимит. Срок действия можно задать До отмены, тип инструмента автоматически подбирается тот, на котором открыта сделка.
• Так как у нас открыта длинная позиция, то в Условиях активации выбираем тип Продажа.
• Теперь задаем ценовой уровень, при достижении которого будет выставлен наш стоп-лосс. С точки зрения терминала это будет приказ на открытие короткой позиции по тому же инструменту тем же объемом, с которым ранее входили в лонг. В поле стоп-лимит, если цена задаем значение, например, 90,00.
• Далее задается еще одна цена – по ней будет выставлена заявка на продажу акций. Значение может быть любым, главное, чтобы оно не было выше того, которое указали в предыдущем пункте. Даже если мы выставим значение 88,00, терминал все равно исполнит приказ по максимально выгодной цене, близкой или равной 90,00.

Take-Profit в QUIK

Та же методика применяется при выставлении тейк-профита. Причем в Квике он реализован так, что сразу выполняет роль трейлинг-стопа, позволяя прибыли накапливаться на безоткатных движениях. Порядок установки тейк-профита для того же примера (акции Аэрофлота, покупка 3 лотов по 91,12):

• В левой части окна с параметрами указываем цену, по которой хотели бы зафиксировать профит (100,00 руб. за акцию). Не забудьте задать тот же объем, что у ранее открытой сделки на покупку;
• Переходим к правой части окна. Здесь нужно задать отступ от максимума и защитный спред, их можно указывать и в валюте депозита, и в процентах. Предположим они равны 2 и 1 рубля.

События будут развиваться так. При достижении ценой уровня 100,00 руб. за акцию позиция не закрывается. Вместо этого терминал начинает измерять величину отката вниз. Если вниз пройдем расстояние, равное отступу от максимума (2 руб.), то на расстоянии защитного спреда выставится заявка на продажу, то есть она расположится на цене 97,00 руб. в нашем примере.

При безоткатном движении прибыль будет накапливаться. Если график достигнет уровня, например, 105,00 и только потом начнется коррекция, то позиция закроется уже на цене 103,00.

Звучит немного запутано, поэтому рекомендую сразу же попрактиковаться в применении разных типов заявок. Тогда вопрос как работать с ними отпадет сам собой.

Фразы с переводом, подходящие для названия

Многие латинские слова и целые фразы стали крылатыми. Большинству людей знакомы такие варианты, как «статус кво» («status quo») или «априори» («a priori»). Однако в латинском языке существуют и другие красивые слова, которые можно использовать для названия. Ниже приведены варианты с переводом на русский и транскрипцией.

1. Ab hoc et ab hac [аб хок эт аб хак] – «так и сяк», без толку, кстати и некстати.
2. Ab imo pectore [аб `имо `пэкторэ] – «от всего сердца», с полной искренностью.
3. Ad patres [ад `патрэс] – «к праотцам», умереть.
4. Ante meridiem [`антэ мэ`ридиэм] – «до полудня».
5. A posteriori [а постэри`ори] – «исходя из следующего», то есть из доказанного опытным путём.
6. A priori [а при`ори] – «исходя из предыдущего», то есть без проверки, аксиоматично.
7. Bellum frigidum [`бэллум `фригидум] – «холодная война».
8. Cetera desiderantur [`сэтэра дэзидэ`рантур] – «об остальном остаётся только желать».
9. Circulus vitiosus [`циркулус вити`озус] – «порочный круг».
10. Contra bonos mores [`контра `бонос `морэс] – «против добрых обычаев», безнравственно.
11. Currente calamo [ку`рэнтэ `каламо] – «беглым пером», наспех.
12. Curriculum vitae [кур`рикулум `витаэ] – «бег жизни», биография.
13. Eo ipso [`эо `ипсо] – «тем самым», вследствие этого.
14. Ex ungue leonem [экс `унгвэ лэ`онэм] – идиома, дословно «по когтю льва», эквивалент «птицу видно по полёту».
15. Ferro ignique [`фэрро иг`никвэ] – «железом и огнём», мечом и огнём.
16. Horribile dictu [хор`рибилэ `дикту] – «страшно сказать».
17. Idem per idem [`идэм пэр `идэм] – «то же через то же», одно и то же.
18. In abstracto [ин аб`стракто] – «отвлечённо», «в целом».
19. Ipsissima verba [ип`сиссима вэрба] – «слово в слово».
20. Ite, missa est [`итэ `мисса эст] – «идите, всё кончено».
21. Margaritas ante porcos [марга`ритас `антэ `поркос] – «метать бисер перед свиньями».
22. Materia tractanda [ма`тэриа трак`танда] – «предмет обсуждения».
23. Memento mori [мэ`мэнто `мори] – «помни о смерти».
24. Modus agendi [`модус а`гэнди] – «образ действий».
25. Modus vivendi [`модус ви`вэнди] – «образ жизни».
26. Nec plus ultra [нэк плюз `ультра] – «дальше некуда», крайняя степень.
27. Nemine contradicente [`нэминэ контради`сэнтэ] – «никакого возражения», единогласно.
28. Nomen est omen [`номэн эст `омэн] – «имя есть всё», имя говорит само за себя.
29. Nudis verbis [`нудис `вэрбис] – «голые слова», голословно.
30. Panem et circenses [`панэм эт цир`кэнсэс] – «хлеба и зрелищ».
31. Persona grata [пэр`сона `грата] – лицо желательное, которому доверяют.
32. Post hoc, ergo propter hoc [пост хок эрго `проптер хок] – «после этого, значит вследствие этого».
33. Qui pro quo [кви про кво] – «одно вместо другого», путаница, недоразумение.
34. Quod erat demostrandum [квод `эрат дэмон`страндум] – «что и требовалось доказать».
35. Status quo [`статус кво] – «установлено таким образом», существующий порядок вещей
36. Sub specie aeternitatis [суб `специэ этерни`татис] – «с точки зрения вечности».
37. Terra incognita [`тэрра ин`когнита] – «неведомая страна», в том числе может употребляться переносно о любом неизвестном – области знания, сфере жизни, неизвестных навыках и умениях, неизвестной местности. В. Набоков использовал эти известные и красивые латинские слова для названия одного из своих рассказов.
38. Urbi et orbi [`урби эт `орби] – «городу и миру», на весь мир.
39. Vice versa [`вице `вэрса] – «наоборот».
40. Volens nolens [`воленс `ноленс] – «волей-неволей».

Приведённые латинские слова сделают красивым название книги, вебинара, любого мероприятия даже без перевода на русский. Они придадут серьёзности и весомости называемому событию, явлению или вещи. Счетчик слов.

Примеры использования социальной инженерии

Наиболее распространенным примером применения социальной инженерии является телефонный звонок, в рамках которого мошенник представляется кем-то другим (например, сотрудником банка), чтобы узнать конфиденциальную информацию, или сообщить, что денежные средства жертвы находятся в опасности. К сожалению, на данный момент проблема заключается в том, что многие люди продолжают попадаться на эти уловки, и довольно часто верят мошеннику, переводя денежные средства на другие счета, думая, что таким образом спасают их. На самом деле они лишаются денег, а осознание того, что произошло, приходит далеко не сразу.

Так же в последнее время стал распространенным такой приём социальной инженерии — мошенники присылают письмо жертве о том, что у них имеются компрометирующие фото или видео, которые они грозятся разослать друзьям и знакомым, если не получат денежные средства на определенный счет (как правило, анонимный). В письме они сообщают, что это фото и видео были сняты, т.к. мошенники получили доступ к веб-камере жертвы, например, на ноутбуке. При этом, никаких реальных фото у них, как правило, нет. Но само подобное сообщение вызывает у человека сильный стресс, и находятся те, кто решают заплатить.

Ещё одним распространенным примером социальной инженерии в современном мире является ситуация, когда мошенник пытается узнать входные данные от Интернет-кабинета банковского счета человека. С этой целью он звонит жертве, представляясь сотрудником службы безопасности банка, требуя назвать пароль, поскольку в банковской системе имеются серьезные проблемы в системе организации. Чтобы окончательно убедить жертву, он также называет определенную должность, инициалы и имя, а также собственные полномочия. При этом история может дополняться различными фактами, чтобы как можно быстрее убедить жертву. Полученная информация будет использована для немедленной кражи средств со счета жертвы.

ABLATĪVUS SEPARATIŌNIS

При глаголах и прилагательных со значением удаления, отделения, освобождения и т. п. ставится аблатив, указывающий на лицо, вещь или предмет, от которых происходит удаление, отделение, освобождение и т.п. Такой аблатив называется ablatīvus separatiōnis (аблатив отделения). Ablatīvus separatiōnis употребляется без предлога или с предлогами а(ab), de, e(ex): regno privatus — лишенный царской власти.
Если ablatīvus separatiōnis обозначает имя одушевленное, то при нем обычно ставится предлог а(ab) или de.

Datīvus commŏdi (дательный интереса, см. урок 2) часто употребляется в сочетании с дательным падежом, обозначающим цель действия, так называемым datīvus finālis (дательный цели), образуя синтаксическую конструкцию двух дательных падежей, называемую datīvus duplex (двойной дательный), например: amīco auxilio venīre — приходить на помощь другу, где amīco — dat. commŏdi, auxilio — dat. finālis.