חושש על כך שאין 2 authentication במיטב, האם יש דרך לשפר בטחון בחשבון?

Level · 13/1/23

שלום חברים,
אני עובד מול מיטב, יש לי שם חשבון שייעודו הוא השקעות בישראל, אני משתמש במערכת שלהם של sparkmeitav.ordernet.

רציתי לדון על הבטיחות סייבר של החשבון, אין להם דרך לאמת בפל' לפני חיבור, כל מי שיש לו סיסמא ושם משתמש , יכול להתחבר חופשי, מספיק שמותקן אצלך במחשב keylogger ויש להאקר את כל הפרטים.
בנוסף, יש להם 2 דרכים לפתוח את החשבון- מערכת פתוחה ומערכת סגורה, באחת יש רק חשבון אחד לשלוח אליו את הכסף, ובשני כל חשבון עם הפרטים שלך ניתן לשלוח אליו את הכסף,
הרעיון הוא שהאקרים מתוחכמים, ויכולים בוודאי למצוא דרכים שונות להתל גם בזה,
הם לא ענו לי כמה פעמים כששאלתי אם יש ביטוח על הכסף שלי, מה גם שהם לא נשמעים לי כל כך מקצועיים.

האם צריך לראות בזה בעית סייבר כמו שאני חושב, ולהימנע מלשים אצלם סכום נכבד?
האם יש דרך לשפר את הבטיחות סייבר ?
מה דעתכם על ההבדל בין המערכת פתוחה והסגורה מנק' ראות של הסייבר ?
עוד טיפים ?

חתול לילה · 13/1/23

נכתב ע"י Level:
הרעיון הוא שהאקרים מתוחכמים, ויכולים בוודאי למצוא דרכים שונות להתל גם בזה,

למשל, הם יכולים לסחור בשמך במניות עם סחירות נמוכה וכך לרוקן את החשבון.

נכתב ע"י Level:
עוד טיפים ?

כן, חפש שרשורים דומים.
גוגל: הסולידית 2FA

Level · 14/1/23

נכתב ע"י חתול לילה:
למשל, הם יכולים לסחור בשמך במניות עם סחירות נמוכה וכך לרוקן את החשבון.

הצחקת אותי, אתה מזלזל בזה? אתה יודע שעשו לי את זה לפני 14 שנים, וזה לא הרגיש נחמד כל כך .. ניסו לקנות נייר אולטרה תנודתי, ולא מאוד נזיל שזז כמעט 100 אחוז ביום, טוב שביטלתי בזמן . אני אחדש לך, המטרה שלהם היא לא לרוקן לך את החשבון, אלא לקחת את הסיכון עליך ואם יצליחו ינסו למשוך כספים במידה ויש להם דרך. (בכל מקרה ינסו..) זה היה המתווך שיצר את החשבון שלי בTDA, כמובן שיצרתי איתם קשר וביטלתי את "שירות" ה"תיווך" שלו. קראתי עליו כתבה לפני חצי שנה שמעלים מיסים דרך מקלט מס באיי זובי. הוא כבר די זקן , עשה את המכות שלו.

קראתי אשכולות על זה, זה רק העלה את רמת החשש שלי ל"חרדתי ברמה סבירה".
אתם יודעים מה קרה בFTX ? בזמן שהם פשטו רגל, פתאום, החל גל סייבר וגניבות מצד האקרים כביכול בשווי מטורף,
אחת הרגישויות שאם מוסד כזה יפול, לפני הנפילה יהיה גל גניבות שכזה , רגע לפני שסוגרים את הכספים, אני לא נכנס לעניין של בית השקעות שזה לא כסף שלך והם מחזיקים בנאמנות וכו, זה ידוע.

קורא וקורא, אבל משהו מעשי, אין. אני יכול להעביר לפועלים, אבל פה נגמרות האופציות שלי?

Therealdeal · 14/1/23

נכתב ע"י Level:
הצחקת אותי, אתה מזלזל בזה? אתה יודע שעשו לי את זה לפני 14 שנים, וזה לא הרגיש נחמד כל כך .. ניסו לקנות נייר אולטרה תנודתי, ולא מאוד נזיל שזז כמעט 100 אחוז ביום, טוב שביטלתי בזמן . אני אחדש לך, המטרה שלהם היא לא לרוקן לך את החשבון, אלא לקחת את הסיכון עליך ואם יצליחו ינסו למשוך כספים במידה ויש להם דרך. זה היה המתווך שיצר את החשבון שלי בTDA, כמובן שיצרתי איתם קשר וביטלתי את "שירות" ה"תיווך" שלו. קראתי עליו כתבה לפני חצי שנה שמעלים מיסים דרך מקלט מס באיי זובי. הוא כבר די זקן , עשה את המכות שלו.

קראתי אשכולות על זה, זה רק העלה את רמת החשש שלי ל"חרדתי ברמה סבירה".
אתם יודעים מה קרה בFTX ? בזמן שהם פשטו רגל, פתאום, החל גל סייבר וגניבות מצד האקרים כביכול בשווי מטורף,
אחת הרגישויות שאם מוסד כזה יפול, לפני הנפילה יהיה גל גניבות שכזה , רגע לפני שסוגרים את הכספים, אני לא נכנס לעניין של בית השקעות שזה לא כסף שלך והם מחזיקים בנאמנות וכו, זה ידוע.

קורא וקורא, אבל משהו מעשי, אין. אני יכול להעביר לפועלים, אבל פה נגמרות האופציות שלי?

דווקא נשמע @חתול לילה תיאר לך משהו שיכול לקרות ולא זלזל, לא בטוח למה הגבת ככה.

בכל מקרה, אם מדובר בכספים "גדולים" אתה יכול לקבל הטבות נרחבות מהבנק (אנחנו משלמים עמלות בבנק בדומה לבית השקעות, סכום של מעל מליון). עוד אופציה זה ברוקר מוצלח יותר בארץ (לא מכיר) או ברוקר בחו"ל (ב IB יש 2fa).

Level · 14/1/23

אני מאוד מרוצה מכל הברוקרים שאני עובד מולם בעבור מסחר והשקעות חו"ל, אבל אני מת מפחד לגבי השקעות מדינת ישראל, ארצנו.
כנראה שזה הפתרון, לעבור לבנק.

yossik · 14/1/23

נכתב ע"י Level:
יש להם 2 דרכים לפתוח את החשבון- מערכת פתוחה ומערכת סגורה, באחת יש רק חשבון אחד לשלוח אליו את הכסף, ובשני כל חשבון עם הפרטים שלך ניתן לשלוח אליו את הכסף,

תרחיב יותר כי לא הבנתי.
המזומן שלך נמצא בחשבון בנק שהוא "הנאמן" ולשם אתה שולח מזומנים.
החשבון שלך למסחר הוא לממשק שלהם לביצוע מסחר.
המזומנים שלך לא נמצאים אצלם וכדי למשוך כספים בחזרה לבנק שלך זה דרך חדר המסחר ע"י שיחה טלפונית.
ובנוסף הכספים יועברו רק לחשבון הבנק שהגדרת.
אז תנסה בבקשה להבהיר למה התכוונת "מערכת פתוחה ומערכת סגורה"

Level · 14/1/23

נכתב ע"י yossik:
תרחיב יותר כי לא הבנתי.
המזומן שלך נמצא בחשבון בנק שהוא "הנאמן" ולשם אתה שולח מזומנים.
החשבון שלך למסחר הוא לממשק שלהם לביצוע מסחר.
המזומנים שלך לא נמצאים אצלם וכדי למשוך כספים בחזרה לבנק שלך זה דרך חדר המסחר ע"י שיחה טלפונית.
ובנוסף הכספים יועברו רק לחשבון הבנק שהגדרת.
אז תנסה בבקשה להבהיר למה התכוונת "מערכת פתוחה ומערכת סגורה"

במערכת סגורה יש לך אפשרות להעביר את הכספים למוטב "מיטב" בחשבון בנק הבינלאומי בלבד,
במערכת פתוחה יש לך אפשרות להעביר לרשימה של בנקים, ולא רק למה שהגדרת, וזאת לאחר ש"הזדהית" בפניהם במשרד, שזה משהו שלרוב לא עושים, וגם זה לא באמת זיהוי,
אני לא האקר, אבל אני צופה בסרטוני יוטיוב וקורא מאמרים על הנדסה חברתית, שיטות פריצה, מבית ומבחוץ, יש סיכון שהפורץ יהיה גם מתוך החברה עצמה, לרוב בזמנים חופפים לבעיות "עסק החי" בגוף הפיננסי, אם לשפוט ולהשליך לפי מקרים אחרים שקרו בעולם.
אני עדיין מנסה להיות איתם בקשר ולהבין מהם הצעדים הבטוחים ביותר, למרות שהם לא מגלים בקיאות, וזה מבאס.

roneng · 14/1/23

נכתב ע"י Level:
אני אחדש לך, המטרה שלהם היא לא לרוקן לך את החשבון, אלא לקחת את הסיכון עליך ואם יצליחו ינסו למשוך כספים במידה ויש להם דרך

תחזור ותקרא שוב את מה שכתבו לך, כי נראה שממש לא הבנת.
או במילים שלך - תן לי לחדש לך. כשאומרים "לרוקן לך את החשבון " במקרה הזה, הכוונה היא להעביר את הכסף מהחשבון שלך לחשבון שלהם.
המטרה שלהם היא לא להפיל עליך סיכון אלא פשוט לקחת לך את הכסף.

האזרח הקטן · 14/1/23

נכתב ע"י yossik:
ובנוסף הכספים יועברו רק לחשבון הבנק שהגדרת.
אז תנסה בבקשה להבהיר למה התכוונת "מערכת פתוחה ומערכת סגורה"

חוקי מניעת הלבנת הון מחייבים אימות פיזי של הלקוח במוסד פיננסי. כדי לאפשר תחרות בתחום הברוקרים מול הבנקים, יצרו איזושהי הקלה שמאפשרת פתיחת חשבון אצל הברוקר ללא הזדהות פיזית אלא באמצעות שיחת טלפון / וידאו, ובתנאי שכספים ייכנסו או ייצאו מאותו חשבון רק לחשבון בנק יחיד על שם אותו לקוח, מתוך הנחה שהבנק כבר עשה עם הלקוח פעולת זיהוי כזו. במצב כזה הלקוח של הברוקר נמצא במערכת סגורה.
אם ירצה לקבל או למשוך כספים מ/לחשבונות אחרים, יצטרך להשלים תהליך זיהוי פיזי מול הברוקר (אם כי גם זה לא מחייב הגעה למשרדי הברוקר - אפשר להחתים עורך דין / פקיד בנק על כך שהוא זיהה אותך, ולהעביר את הטופס לברוקר). ברגע שאתה במערכת פתוחה לא אמורה לחול מגבלה על מקורות הכנסת/משיכת הכסף (אלא אם ציינת אחרת בטפסים).

roneng · 14/1/23

נכתב ע"י yossik:
ובנוסף הכספים יועברו רק לחשבון הבנק שהגדרת.

השאלה איזה חשבון בנק אתה (או מישהו שמתחזה להיות אתה) יכול להגדיר.
במערכת סגורה אתה (או "אתה") יכול למשוך את הכסף רק לחשבון הבנק המקורי שאיתו נרשמת וממנו העברת כספים בפעם הראשונה.
הבעיה שבמקרה כזה אתה תקוע אם למשל החלפת בנק או אפילו אם סתם עברת סניף בבנק שלך.
לעומת זאת לתוקף זה לא באמת מפריע, כי כמו שאמרנו לפני רגע אין בעיה לתוקף לקחת לך את כל הכסף רק ע״י מסחר.

Level · 14/1/23

נכתב ע"י האזרח הקטן:
חוקי מניעת הלבנת הון מחייבים אימות פיזי של הלקוח במוסד פיננסי. כדי לאפשר תחרות בתחום הברוקרים מול הבנקים, יצרו איזושהי הקלה שמאפשרת פתיחת חשבון אצל הברוקר ללא הזדהות פיזית אלא באמצעות שיחת טלפון / וידאו, ובתנאי שכספים ייכנסו או ייצאו מאותו חשבון רק לחשבון בנק יחיד על שם אותו לקוח, מתוך הנחה שהבנק כבר עשה עם הלקוח פעולת זיהוי כזו. במצב כזה הלקוח של הברוקר נמצא במערכת סגורה.
אם ירצה לקבל או למשוך כספים מ/לחשבונות אחרים, יצטרך להשלים תהליך זיהוי פיזי מול הברוקר (אם כי גם זה לא מחייב הגעה למשרדי הברוקר - אפשר להחתים עורך דין / פקיד בנק על כך שהוא זיהה אותך, ולהעביר את הטופס לברוקר). ברגע שאתה במערכת פתוחה לא אמורה לחול מגבלה על מקורות הכנסת/משיכת הכסף (אלא אם ציינת אחרת בטפסים).

ומה אתה חושב בעניין העדיפות סייבר משתי החלופות , אם קיימת כזאת. יש משהו שאפשר לבקש מהם שיוסיף לאבטחה ? דרך כלשהי להקשות. אני באמת מחפש למצוא דרך לכולנו להעלות בקצת את רמת האבטחה , כי היא באמת לא טובה מספיק.
אימות אמיתי כמו שכתבת החברת השקעות לא עושה, נראה על פניו שמבחינת הסייבר עדיף מערכת סגורה, על פניו זה מוריד את קשת הבחירה ומאפשר לך להשקיף בקלות, אולי אפילו לפתוח חשבון אצל הבנק שאיתו עובדת המערכת הסגורה, הבינלאומי, ולדון איתם על כך. זה הגיוני ? אני מנסה להאחז במשהו..

yossik · 14/1/23

נכתב ע"י Level:
במערכת סגורה יש לך אפשרות להעביר את הכספים למוטב "מיטב" בחשבון בנק הבינלאומי בלבד,

לא ראיתי כזו אופציה.

Level · 14/1/23

נכתב ע"י roneng:
תחזור ותקרא שוב את מה שכתבו לך, כי נראה שממש לא הבנת.
או במילים שלך - תן לי לחדש לך. כשאומרים "לרוקן לך את החשבון " במקרה הזה, הכוונה היא להעביר את הכסף מהחשבון שלך לחשבון שלהם.
המטרה שלהם היא לא להפיל עליך סיכון אלא פשוט לקחת לך את הכסף.

צודק, לא הבנתי בהתחלה , אני עם כמה פוזיציות טרייד תמיד ומנסה לוליינות, אין ספק, שזה מתוחכם ואפשר לגנוב את הכספים בצורה כזאת, שזה נהדר, עבור התוקף. צריך ממש סחירות גרועה וחוסר בעושי שוק בשביל לבצע מהלך כזה, אבל אני בטוח שמי שיחפש ימצא.

האזרח הקטן · 14/1/23

נכתב ע"י Level:
ומה אתה חושב בעניין העדיפות סייבר משתי החלופות , אם קיימת כזאת. יש משהו שאפשר לבקש מהם שיוסיף לאבטחה ? דרך כלשהי להקשות. אני באמת מחפש למצוא דרך לכולנו להעלות בקצת את רמת האבטחה , כי היא באמת לא טובה מספיק.
אימות אמיתי כמו שכתבת החברת השקעות לא עושה, נראה על פניו שמבחינת הסייבר עדיף מערכת סגורה, על פניו זה מוריד את קשת הבחירה ומאפשר לך להשקיף בקלות, אולי אפילו לפתוח חשבון אצל הבנק שאיתו עובדת המערכת הסגורה, הבינלאומי, ולדון איתם על כך. זה הגיוני ? אני מנסה להאחז במשהו..

לדעתי הפתרון אולי יבוא אם מספיק אנשים יציפו את הנושא בפני הממונה על שוק ההון ובפני מערך הסייבר הלאומי, כך שאלו יחייבו את בתי ההשקעות להציע מנגנון אימות דו שלבי. אולי כדאי לשלב גם בלוגרים / עיתונאים שמתעסקים בנושא אבטחת מידע, כדוגמת רן בר זיק.

Level · 14/1/23

נכתב ע"י yossik:
לא ראיתי כזו אופציה.

למה ? אני עובר על הPDF שלהם זה המקרה במערכת סגורה, ובמערכת פתוחה יש רשימה.

הפקדת כספים לחשבונך במיטב טרייד מערכת סגורה

לארוצה · 14/1/23

נכתב ע"י roneng:
אין בעיה לתוקף לקחת לך את כל הכסף רק ע״י מסחר

לא הייתי אומר שאין בעיה. צריך להיות בשליטה גם על חשבון שיסחור מולך וחשבון בנק שמשויך אליו, לעשות פעולות מסחר שכנראה יעלו כמה דגלים אדומים (זה למעשה אותן פעולות כמו trade based money laundering) למשוך את הכסף ולהיעלם. לא בלתי אפשרי, אבל יש דרכים קלות יותר לגנוב כסף.

roneng · 14/1/23

נכתב ע"י Level:
ומה אתה חושב בעניין העדיפות סייבר משתי החלופות , אם קיימת כזאת. יש משהו שאפשר לבקש מהם שיוסיף לאבטחה ? דרך כלשהי להקשות. אני באמת מחפש למצוא דרך לכולנו להעלות בקצת את רמת האבטחה , כי היא באמת לא טובה מספיק.

חסר משמעות.
רמת האבטחה אומנם לוקה בחסר, אבל זה מה יש בארץ ואין יותר מידי מה לעשות.
במקרה שיגנבו לך כסף תמיד תוכל לנסות לתבוע את בית ההשקעות ולטעון לרשלנות מצידם.
או פשוט לא לעבוד עם בית השקעות ישראלי.

נכתב ע"י Level:
נראה על פניו שמבחינת הסייבר עדיף מערכת סגורה

חסר משמעות.
כמו שכבר הסכמנו, אין שום בעיה לרוקן לך את החשבון (כלומר לקחת את כל הכסף ולהעביר אל התוקף) בלי "למשוך" רשמית שום דבר.
זה אפילו הרבה יותר קל (בהנחה שיש גישה לחשבון) מאשר להוסיף חשבון בנק חדש למשיכה (שחייב בכל מקרה להיות על שמך, לא שבהכרח יבדקו).

נכתב ע"י Level:
צריך ממש סחירות גרועה וחוסר בעושי שוק בשביל לבצע מהלך כזה, אבל אני בטוח שמי שיחפש ימצא.

צריך סחירות מאוד נמוכה.
אין קשר לעושי שוק, כי אתה לא עושה את זה בקרנות אלא במניות של חברות קטנות.

נכתב ע"י האזרח הקטן:
לדעתי הפתרון אולי יבוא אם מספיק אנשים יציפו את הנושא בפני הממונה על שוק ההון ובפני מערך הסייבר הלאומי, כך שאלו יחייבו את בתי ההשקעות להציע מנגנון אימות דו שלבי. אולי כדאי לשלב גם בלוגרים / עיתונאים שמתעסקים בנושא אבטחת מידע, כדוגמת רן בר זיק.

לדעתי זה יקרה רק אחרי שיגנבו למישהו הרבה כסף והוא יתבע את בית ההשקעות על רשלנות.
בארץ לומדים רק אחרי שקורה "אסון", אף פעם לא לפני.

Level · 14/1/23

נכתב ע"י האזרח הקטן:
לדעתי הפתרון אולי יבוא אם מספיק אנשים יציפו את הנושא בפני הממונה על שוק ההון ובפני מערך הסייבר הלאומי, כך שאלו יחייבו את בתי ההשקעות להציע מנגנון אימות דו שלבי. אולי כדאי לשלב גם בלוגרים / עיתונאים שמתעסקים בנושא אבטחת מידע, כדוגמת רן בר זיק.

אתה צודק לטווח הארוך אבל זה לא מונע בעתיד הקרוב מהאקרים לקחת לי או לאחרים את כל הכסף. לפעמים רק תוספת קטנה של ביטחון , או דרך להקשות, זה ממש מציל ישבנים

roneng · 14/1/23

נכתב ע"י לארוצה:
לא הייתי אומר שאין בעיה.

אז אל תגיד.
אני (ורבים אחרים) אומר שאין בעיה.

נכתב ע"י לארוצה:
צריך להיות בשליטה גם על חשבון שיסחור מולך וחשבון בנק שמשויך אליו,

כלומר צריך לפתוח חשבון מסחר רגיל, מה שכל אדם יכול לעשות?
צודק. זה באמת מכשול בלתי עביר לאדם שהצליח להשיג שליטה מלאה על החשבון שלך...

נכתב ע"י לארוצה:
לעשות פעולות מסחר שכנראה יעלו כמה דגלים אדומים (זה למעשה אותן פעולות כמו trade based money laundering)

אין פה שום דגל אדום.
מוכר בזול וקונה ביוקר. אין פה שום דבר בעייתי.
במיוחד שבאופן רשמי החשבון שמולו אתה סוחר הוא לא חשבון שלך.

נכתב ע"י לארוצה:
למשוך את הכסף ולהיעלם

נכון, לפושעים תמיד קשה למשוך את הכסף.
וגם להיעלם זה צד מאוד חלש אצלהם.

נכתב ע"י לארוצה:
לא בלתי אפשרי, אבל יש דרכים קלות יותר לגנוב כסף.

יש המון דרכים קלות לגנוב כסף. לא הבנתי את הקשר לשרשור.

הנקודה היא שבהינתן ולתוקף יש גישה מלאה לחשבון שלך, הרבה יותר קל לו לרוקן את החשבון ע"י פעולות מסחר מאשר ע"י משיכה של הכסף לחשבון בנק.

bigbang · 14/1/23

נכתב ע"י roneng:
במערכת סגורה אתה (או "אתה") יכול למשוך את הכסף רק לחשבון הבנק המקורי שאיתו נרשמת וממנו העברת כספים בפעם הראשונה.
הבעיה שבמקרה כזה אתה תקוע אם למשל החלפת בנק או אפילו אם סתם עברת סניף בבנק שלך.

מנסיון אישי, אפשר לשלוח אישור סגירת חשבון ופתיחת חשבון חדש והברוקר מעדכן בהתאם.

פותח הנושא	כותרת	פורום	תגובות	תאריך
	עם רגל אחת בחוץ - חושש לעשות את הצעד האחרון	יומני מסע אישיים	57	8/1/24
	האם עוד מישהו כאן חושש ממצב שחשבון ההשקעות נעלם?	שוק ההון	12	24/4/22
ק	רוצה להתחיל להשקיע אך חושש שהשוק לקראת נפילה	שוק ההון	26	26/11/17
Z	האם בטוח שאין התיישנות על יתרת זכות במס הכנסה?	פוסטים מאיכות נמוכה	1	2/8/23
E	יש לי עסק עונתי. בזמן שאין עבודה תמיד עולה לי לשלב בעוד קריירה. מה אומרים?	אוף טופיק	5	12/7/23
B	האם להקים פנסיה באופן עצמי לפני תחילת עבודה כשכיר, למי שאין קופה פעילה?	פנסיה, גמל וקרנות השתלמות	5	23/6/23
D	ביקשתי לקבל פירוט של חישוב ביטוח הנכות מקרן הפנסיה וקיבלתי בתגובה ענו לי שאין אפשרות לשלוח	פנסיה, גמל וקרנות השתלמות	1	6/5/22
נ	מי שאין לו ראש ריאלי אין לו עתיד?	אוף טופיק	51	5/5/21
F	הוצאות על משלוחים למי שאין אוטו	מינימליזם, חסכנות ואנטי-צרכנות	18	24/10/20
נ	למה יש מניות שאין בהם תנועה?	שוק ההון	5	22/7/20
	אג"ח קונצרני ארה"ב האם מומלץ שהדולר נמוך או שאין קשר ?	שוק ההון	3	7/1/18
	הלוג שאין לו מושג	יומני מסע אישיים	473	28/8/16
	IRA שאין בה הפקדות חדשות	שוק ההון	30	14/8/15
	המחלקה לדרדור לקוחות בבנק: "קנו מהכסף שאין לכם	צרכנות פיננסית	0	21/5/15
	חבל שאין בחירות פעם בשנה	אוף טופיק	56	1/2/15
	אבטחת תיבות מייל ע"י התקן חיצוני Universal 2nd Factor authentication	אוף טופיק	20	3/1/21

חושש על כך שאין 2 authentication במיטב, האם יש דרך לשפר בטחון בחשבון?

Level

משתמש סולידי

חתול לילה

משתמש בכיר

Level

משתמש סולידי

Therealdeal

משתמש רגיל

Level

משתמש סולידי

yossik

Level

משתמש סולידי

roneng

משתמש בכיר

האזרח הקטן

משתמש בכיר

roneng

משתמש בכיר

Level

משתמש סולידי

yossik

Level

משתמש סולידי

האזרח הקטן

משתמש בכיר

Level

משתמש סולידי

לארוצה

משתמש בכיר

roneng

משתמש בכיר

Level

משתמש סולידי

roneng

משתמש בכיר

bigbang

משתמש בכיר

נושאים דומים