Что такое IP спуфинг и как предотвращать спуфинг-атаки

В июне 2012 года один трейдер в Чикаго решил провернуть хитроумную схему. Всего за половину рабочего дня Игорь Остайчер отправил брокеру более 23 тыс. команд на покупку и продажу фьючерсов на нефть марки Brent. Правда, тут же отменив их в течение нескольких миллисекунд. Суть его действий была понятна: выставляя огромное количество ордеров с помощью бота, Остайчер пытался создать видимость спроса, тем самым искусственно поднимая цену актива. Ордера он тут же отменял, но трейдеры успевали на несколько пунктов разогнать котировки. Дальше Остайчеру оставалось только продать реальный актив по завышенной цене и заработать на этом. Эта тактика называется спуфингом.
Спуфинг и регуляторы

Спуфинг — вид высокочастотной торговли, предполагающий выставление ордеров и их мгновенное снятие до того, как они будут исполнены. Используется чаще всего в фондовых и товарно-сырьевых рынках. В ряде стран запрещен законодательно, так как относится к методам искусственного манипулирования ценами. Правда, четкого определения спуфинга нет, так как невозможно доказать умысел трейдера. Потому пока известны единичные случаи рассмотрения дел, связанных с высокочастотным трейдингом.

Флиппинг — одна из разновидностей спуфинга. Представляет собой установку лимитных ордеров с одной стороны рынка так, чтобы была создана видимость сильного тренда. Вторая сторона рынка набирает позиции. Флиппер будет сидеть в биде и собирать все продажи. Как только флиппер получает исполнение ордера, он снимает оффер и начинает добавлять ордера. Система сложная и работает исключительно с помощью ботов.

На практике спуфинг выглядит следующим образом:

  • нефть стоит 65,13 дол. США за баррель. Цена равновесная. Покупатели готовы приобретать фьючерсы, но продавцы не уверены, что готовы продавать,
  • спуфер выставляет ордер на продажу по цене 65,09 дол. США, якобы соглашаясь снизить цену, чтобы продать актив,
  • другие трейдеры, видя его цену, понимают, что цена на актив будет падать и по 65,13 им фьючерс не продать. И также ставят цену 65,09 или ниже,
  • спуфер мгновенно отменяет заявку и скупает бумаги по более низкой цене. И как только цена соответственно возвращается к равновесной, он продает бумаги.

В случае с Ойстачером биржа СМЕ и регулятор CFTC тут же начали расследование, но реального обвинения так и не последовало. Регуляторы попросту не нашли, на что ссылаться. Ведь теоретически трейдер может отменять ордер, ориентируясь на технический анализ или новости. То есть не руководствуясь конкретным умыслов. Потому с целью недопущения подобной ситуации были разработаны нормативы. И уже с 2014 года по спуфингу появились первые обвинительные акты.
После случая с Ойстачером, который отделался штрафом, компании разработали специальное ПО, отслеживающее большой объем заявок. Регуляторы для выявления спуфинга следят за почтой трейдеров, применяют математико-статистические методы. Пример Остайчера не единичен. В 2010 году на основании закона Додда-Франка был составлен обвинительный акт другому трейдеру — Майклу Кошиа. По мнению регуляторов, он сознательно раскачивал рынок спуфингом, тем самым вводя других трейдеров в заблуждение.

Спуфинг — это манипуляция ценой на актив с помощью искусственно созданного спроса или предложения. Частный трейдер увидеть спуфинг не сможет. Потому, разрабатывая стратегию, важно понимать, что не всегда цена движется по прогнозному направлению и не всегда технический анализ дает правильные сигналы. Один из эффективных способов противостояния спуфингу — работа с таймфреймами от М15-М30, где все высокочастотные колебания и ценовой шум полностью сглаживаются.

Tweet

Рекомендуем также ознакомиться с такими статьями

  • Что такое ПАММ-счет?
  • Как выбрать лучший ПАММ счет для инвестирования?
  • Открытие ПАММ-счетов: что следует знать
  • Рейтинг ПАММ счетов всех брокеров
  • Инвестирование в ПАММ счета в мельчайших деталях
  • Рейтинг лучших управляющих ПАММ счетов 2020
  • Отзывы инвесторов о ПАММ-счетах
  • Реально ли заработать на рынке форекс?

Примеры спуфинга

Примеры спуфинга могут быть разнообразны:

  • спуфинг IP. Включает в себя подмену в IP-пакете адреса отправителя на адрес хостинга, которому доверяет жертва. Делается это для обмана атакуемого компьютера, который должен принять и пропустить через себя отправленные хакером пакеты. Чаще всего к IP-спуфингу прибегают при DoS-атаках. Например, когда меняют свой IP на IP жертвы, затем отсылают пакеты на сторонний сервер, который, ориентируясь на изменённый IP, начинает жертву DoSить,
  • DNS-спуфинг. Принцип действия такой же, что и у IP- спуфинга, но используются протоколы DNS,
  • ARP-спуфинг. Основан на использовании ложных ARP-протоколов, высылаемых на компьютер жертвы. Такие протоколы абсолютно не защищены, так что проверить подлинность запросов или ответов не могут. Благодаря этому трафик можно перенаправить так, чтобы проходя от компьютера жертвы к адресату, он делал это не напрямую, а через компьютер хакера так, чтобы тот получал уходящую вместе с трафиком информацию, к примеру, о паролях, логинах, данных кредитных карт,
  • MAC-спуфинг. Основан на изменении MAC-адреса сетевого устройства для обхода списков контроля серверов и маршрутизаторов или сокрытия компьютера в сети. Очень часто к нему прибегают в общественных wi-fi сетях. Цель такого спуфинга – тестирование сетей, передача вредоносных программ, сбор паролей и закрытой информации,
  • GPS-спуфинг. Цель его – обман GPS-приёмников, когда системе передаётся более мощный сигнал, нежели тот, что поступает от GPS-спутников, с целью отклонить движение по курсу в сторону. При этом злоумышленник точно должен знать, где его цель, чтобы GPS-приёмником не были заблокированы все сигналы по причине резкой смены местоположения,
  • спуфинг электронной почты. Речь идёт о подделке информации об отправителе. К данному способу обычно прибегают спамеры для сокрытия собственной электронной почты,
  • спуфинг звонящего. Цель его – предоставление абонентам ложных идентификаторов, имен и номеров, которые могут быть использованы в корыстных целях. Достигается это благодаря новым технологиям, особенно связанным с VoIP.

Что такое спуфинг?

Спуфинг (мистификация) — вид хакерской атаки, позволяющий маскировать и подделывать IP-адрес злоумышленником. Спуфинг является наиболее распространенным видом кибератак. Применяется при обходе систем управления доступа по IP-адресам, для маскировки «ложных» сайтов (легальных двойников). Есть несколько разновидностей спуфинга, которые более актуальны, это – спуфинги по IP, DNS, ARP, DNS.

Mac Spoofing – изменение на канальном уровне Mac-адреса самой сетевой карты, с возможностью для злоумышленника просматривать пакеты с порта. ARP Spoofing – сетевая атака на основе использования недостатков ARP-протокола, с возможностью перехвата трафика от узла к узлу (в пределах домена). IP Spoofing – в IP-пакетах, отправляемых жертве применяется IP-адрес хоста, которому он доверяет.

DNS Spoofing заражает кэш DNS-сервера записью (ложной) о соответствии доброжелательного DNS-хоста и вредоносного IP-адреса.

Существует спуфинг «слепой», «неслепой». При «слепом» спуфинге, атакующий отправляет пакеты целевой системы для сбора информации о номерах подтверждений. После установления номеров, атакующий с легкостью подготавливает набор измененных новых пакетов по сбору передаваемых данных. С атакой «неслепого» типа, атакующий находится в той подсети системы, после установления номеров атакующий разрывает существующее соединение и пропускает всю информацию через свой узел.

Существует три причины неотвратимости особо спуфинга. Первая — большинство сетевых пакетов модифицируются при помощи общедоступных, простых приложений. Вторая — использование исходного и целевого IP-адреса многие разработчики считают безопасным методом аутентификации пакета. Третье — в основном маршрутизаторы только обращают внимание на целевой адрес, не рассматривая адрес отправителя.

Цели спуфинга очень разнообразны, но в основном они несут информативный характер. Он направлен, чтобы принудить «жертву» отправить трафик незаконному получателю не напрямую, а через посредника (атакующего) который транслирует трафик дальше. Атакующий при этом получает возможность просматривать трафик, а также менять его. Если это IP-спуфинг, то цель — обратная: злоумышленник заставляет жертву поверить в подлинность трафика и принять его.

Использование спуфинга широкомасштабно, например, различного рода информационный шпионаж. В простейших случаях, спуфинг может использоваться при скрытия хостов при DoS атаке или сканировании удаленного сервера. А в более сложных есть уже возможность обходить системы федеральной защиты, пользования и изменения информации закрытого характера. Задержание информации банковского клиента злоумышленником позволяет ему подменять номера кредитной карты и данных, ложной авторизации и финансовых транзакций.

Четыре способа манипулировать внутридневными трейдерами

УДЕРЖАНИЕ ВЕРШИНЫ происходит, когда большой игрок с помощью лимитных ордеров сдерживает психологически важный ценовой уровень. На практике сюжет может развиваться в двух направлениях:

  • Если инвестор имеет «медвежье» настроение, тогда удерживаемый уровень будет отмечен лимитной заявкой на продажу.
  • Однако, предвкушая «бычье» положение на рынке, крупный игрок с помощью ордера на покупку будет набирать длинную позицию.

Запомните, что большие позиции всегда набираются лимитными ордерами. Не один хедж-фонд не будет покупать или продавать в моменте. Во-первых, это даст плохую среднюю цену на позицию. Во-вторых, даже ребенок увидит, что готовится серьезный штурм рынка. В-третьих, для удобства подсчета в 90% случаев используется ценовое значение, кратное пяти пунктам в 4-ом знаке числа. К примеру: 1525, 1530, 1535 и так далее. Важность психологического уровня исчисляется количеством нулей: чем больше, тем несокрушимее ценовая стена.

Каждый трейдер знает из собственной практики, что описанные значимые цены легко запомнить. Поэтому спекулянты, работающие внутри дня, всегда держат под пристальным взором «биржевой стакан». Когда важный ценовой уровень не удается пробить, то возникает психологическое давление. Как только характер сломлен, а дисциплина нарушена, трейдер на фоне давления пляшет под дудку инвестора. По-простому: вы выполняете то, что необходимо для победы «кита» фьючерсного рынка.

Сила давления рыночных монстров полностью зависит от безграничного размера капитала. Естественно, что чем больше депозит, тем глубже будет оказываться психологическое влияние. Сила возрастает в пропорциональной прогрессии: сначала, удваиваясь, потом утраиваясь, пока весь «планктон» не будет собран.

Прекратите на мгновенье чтение. Зачем? Откройте «стакан заявок» и внимательно посмотрите, как движется цена. Ответ совершенно верный: рывками от одной значимой цены к другому психологически важному уровню. Это происходит только в том случае, когда «кит» рынка активно удерживает захваченный уровень. Дополнительно он тестирует силу игроков, убеждаясь, что текущая позиция под его контролем. Когда атаки спекулянтов полностью утихли, происходит переход на следующую ступень. Теперь начинается формирование нового важного ценового психологического уровня.

Существуют моменты, когда хедж-фонды меняют удерживаемый уровень, чтобы сбить волну мощных атак спекулянтов. На биржевом жаргоне подобная манипуляция называется «сбивание волны».

«ПЕРЕВЕРТЫШ» – очередной распространенный метод манипуляции мелкими спекулянтами. Большие игроки создают обманную ситуацию на рынке, заставляя биржевую толпу верить в то, что определенный финансовый актив покупают или продают. Однако сами выполняют совершенно противоположные действия. Отсюда и произошло название – «перевертыш». Текущая рыночная ситуация предоставляется неопытным трейдерам в перевернутом виде. В подобные моменты видение картинки приобретает иллюзорный характер, текущая ситуация становится с ног на голову.

К примеру, представьте хедж-фонд, занявший «медвежью» позицию при положительном новостном фоне. Естественно, что мелкие игроки торгуют на «бычьей» стороне и скупают финансовые активы. В чем заключается основная задача фонда? Заставить трейдеров совершать продажи, потому еще не собрана необходимая позиция. Совершая манипуляцию, большие игроки в первую очередь выставляют несколько десятков заявок на продажу.

Однако биржевой «стакан» отчетливо дает понять, что объемы покупных ордеров значительно превышают предложение. Котировочная лента показывает стадное поведение толпы, принтуя бешеные покупки. Вопреки этому, рост ценового значения не наблюдается. Почему? Важные ценовые уровни (как минное поле) заняты скрытыми лимитными ордерами на продажу. Они не высвечиваются в полноценном объеме, одновременно отбивая все попытки «быков» преодолеть психологический уровень.

Что видят и как понимают текущую картинку мелкие игроки? Минимальное количество продажных ордеров на фоне неимоверных объемов на покупку. Происходит недопонимание: почему рынок не растет? Ведь существует масса оснований, чтобы цена неуклонно увеличивалась. Удивление и паника начинаются в тот момент, когда на фоне благоприятной обстановки цена начинает незначительное понижение. Сознание толпы сломлено окончательно. Теперь они предполагают, что «киты» финансовых рынков играют на понижение. И начинают сливать набранные позиции, приобретенные немного выше текущей цены.

Благодаря подобной манипуляции, Хедж-фонды с лихвой по наилучшим ценам покупают необходимые активы. Организовывается так называемый «обвал». Продажи настолько стремительны, что большие игроки скупают обесцененный в глазах толпы актив по очень низким ценам. В будущем инвесторы, разогнав цену до необходимого соотношения, начнут с точностью да наоборот разгружать толпе набранные позиции. Превращая, таким образом, бумагу в реальную прибыль.

«СХЕМА ВОДОСБРОС». Суть стратегии заключается в постепенной скупке актива. При этом необходимо оставаться незамеченным для толпы, не создавая аномальных ценовых изменений. Хедж-фонд набирает позицию по мере роста рынка маленькими объемами на протяжении длительного времени. Как только фьючерсный инструмент достиг необходимой отметки, происходит резкий обвал цены. Почему? Цель достигнута, и пора пожинать плоды проделанной манипуляции. Подобный прием приводит к стремительному падению цены, особенно в случае, если продажи происходят возле значимого уровня сопротивления. Аналогично осуществляется игра на повышение.

«ПРОКОЛ» можно охарактеризовать как сильное и резкое изменение цены в моменте до 15%. Такая манипуляция может происходить в «медвежью» и «бычью» стороны с последующим восстановлением цены. «Проколы» одновременно решают две задачи:

  • Во-первых, происходит полный вынос биржевой толпы. Одни мелкие игроки получают обыкновенные стоп-лоссы, другие – настоящие маржин-коллы.
  • Во-вторых, большие игроки преднамеренно показывают ширину ценового движения и то место, где она может оказаться в моменте. Вследствие этого расширяются психологические границы толпы. Теперь они установили новый диапазон цен.

Когда применяют «проколы»? Подобная манипуляция осуществляется на фоне устоявшихся ценовых уровней. Толпа не верит, что существующий психологический ценовой барьер возможно преодолеть. Начинаются покупки или продажи в моменты, когда цена формирует базу возле устойчивого уровня. Для того чтобы осуществить прокол, хедж-фонды затрачивают огромные денежные средства. В моменте большие игроки терпят убытки. Однако они отчетливо понимают, что расширение ценового диапазона позволит проводить более выгодные манипуляции толпы. «Проколы» дают возможность при возврате актива в исходное положение заработать до 15% на текущий депозит. Это огромные денежные суммы и скрытая возможность, утерянная толпой.

Какое наказание имеется за подмену (спуфинг) ip адреса в сети интернет?

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

(см. текст в предыдущей «редакции»)

«»1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, —

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, —

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

(в ред. Федерального закона от 28.06.2014 N 195-ФЗ)

(см. текст в предыдущей «редакции»)

«»3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, —

наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

«»4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, —

наказываются лишением свободы на срок до семи лет.

«»Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

Spoofing и TCP/IP

Многие из протоколов в TCP/IP не обеспечивают механизмы для аутентификации источника или назначения сообщения. Таким образом, они уязвимы для спуфинга, если только приложениями не будут приняты дополнительные меры предосторожности(SSL)[какие?

] для идентификации отправителя и получателя. IP-спуфинг и ARP спуфинг в частности могут использоваться для атак «человек посередине» на хосты в компьютерной сети. Защита от спуфинг атак может быть усилена использованием брандмауэров, способных к глубокому анализу пакетов, а также принятием мер по проверке личности отправителя или получателя сообщения.

Как определить спуфинг криптовалют

Заказы на спуфинг иногда может быть трудно обнаружить. Причина этого заключается в том, что заказы могут казаться законными до тех пор, пока они не будут удалены из базы. Тем не менее, есть несколько характеристик, на которые стоит обратить внимание.

Как правило, попытка спуфинга будет проявляться в виде большой покупки или продажи. Они также должны быть довольно подозрительными, если на другой стороне относительно нет заказов. Ниже изображена массивная стена на покупку 85 млн.долларов, которая была недавно замечена для биткоина.

Пример недавней попытки спуфинга стены покупки. Источник изображения: Cryptowatch

Однако, если стена покупки/продажи рушится после некоторого движения рынка, то это более чем вероятно была попытка спуфинга. В этом случае человек, который осуществлял спуфинг, мог либо вытащить заказ, так как он не работал, либо из-за того, что у него были желаемые результаты.

Например, взглянув на приведенную ниже диаграмму, мы видим другую стену продажи. Вы можете заметить, что этот «кит» запустил стену с большим заказом на $293.22. Чтобы создать восприятие стены, трейдер также разместил крупный заказ на продажу в базе на $294.

Предыдущий спуфинг стены продажи с фиктивными заказами. Источник изображения: cryptocurrencyfacts

В этом случае трейдер также объединил попытку спуфинга с фиктивной торговлей. Вы можете видеть это со всеми небольшими сделками, которые происходят по той же самой цене. Это создает иллюзию большой рыночной активности для других трейдеров.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий