СМС-восстановление — главный вектор атаки социальных инженеров. Перехват SIM или подмена номера даёт доступ к аккаунту за минуты. TOTP (Time-based One-Time Password) — единственный способ защитить опцию «забыл пароль» без риска перехвата.
SMS привязано к мобильному номеру — его можно перехватить через подмену SIM, атаки SS7 или социальную инженерию в салоне связи. TOTP генерирует 6-значный код на вашем устройстве без отправки по сети. Злоумышленник не может получить TOTP-код удалённо, без доступа к устройству. СSS7‑атаки массово применяются против абонентов РФ — операторы не блокируют подмену, ссылаясь на роуминг.
Функция «забыл пароль» обходит пароль полностью. Если включено SMS — восстановление требует только номер телефона и код из SMS. Сложность пароля не имеет значения: злоумышленник жмёт «забыл пароль» и заходит по SMS. Отключив SMS, вы оставляете только один сценарий восстановления — через заранее записанный бэкап-код или seed-фразу TOTP.
Закон «о суверенном интернете» (ФЗ-90) даёт операторам право блокировать номера по запросу. Номер могут заблокировать по ошибке из-за сбоя DPI или целенаправленно — для перевыпуска SIM мошенником. Участились случаи получения дубликата SIM по поддельной доверенности. СМС от зарубежных бирж часто не доходят или попадают в спам — восстановление становится невозможным даже для вас.
Google Authenticator работает офлайн, без подключения к серверам Google — коды генерируются локально. Authy требует номер телефона при регистрации — снижает анонимность. Яндекс.Ключ — локальный, но закрыт для новых пользователей вне СНГ. 1Password или Bitwarden могут хранить TOTP-секреты, но тогда доступ к аккаунту биржи зависит от пароля от менеджера паролей — усложняет восстановление.
При настройке TOTP биржа выдаёт 10–16 одноразовых бэкап-кодов. Их нужно распечатать и хранить отдельно от телефона. Без бэкап-кодов восстановление невозможно — техподдержка запросит паспортные данные, видео-верификацию и справку от оператора. Процесс займёт от 2 недель до месяца. Альтернатива — записать seed-фразу TOTP (обычно 16–32 символа) в текстовый файл и сохранить на USB‑флешке в сейфе.
Настройка TOTP не является событием, облагаемым налогом. НДФЛ (13–15% в зависимости от совокупного дохода до 5 млн ₽ или свыше) взимается только с дохода: разницы курсов криптовалют, купонов облигаций, дивидендов. TOTP — это метод доступа, не меняющий налоговую базу. Важно: если биржа требует залога для включения 2FA (редко), залог не облагается налогом до момента его вывода.
Нет, нужно отключить полностью. Если оставить SMS как запасной метод, социальная инженерия сработает — злоумышленник выберет самый слабый канал. TOTP должен быть единственным способом восстановления.
| Инструмент | Ставка НДФЛ | Условия и нюансы |
|---|---|---|
| Купоны ОФЗ и корпоративных облигаций | 13% (до 5 млн ₽ совокупного дохода) | Удерживается брокером как налоговый агент. Если общий доход превышает 5 млн ₽ — ставка 15% на сумму превышения. Льготы за долгосрочное владение (5 лет) отменены с 2024 года. |
| Дивиденды по акциям РФ | 13% (до 5 млн ₽) / 15% (сверх 5 млн ₽) | Налог удерживается эмитентом (для резидентов). При двойном налогообложении (например, дивиденды от иностранных бумаг) — нужно подавать 3-НДФЛ и заявлять зачёт. |
| Криптовалюта (разница курса, майнинг) | 13–15% | Доход признаётся на дату продажи/обмена на фиат. Убыток от прошлых лет не переносится. Майнинг — профдоход с 2025 года: ставка 6% (для ИП на НПД) или 13–15% как физлицо. |
| Опционы и фьючерсы на криптобирже | 13% (базовая ставка) | Налог платит инвестор самостоятельно при выводе прибыли на российский счёт. Биржа не является налоговым агентом. Подача 3-НДФЛ обязательна, даже если годовой объём сделок менее 1000 ₽. |
| Критерий | SMS-восстановление | TOTP-восстановление |
|---|---|---|
| Перехват кода из сети | Да: атаки SS7, подмена SIM, перехват через оператора | Нет: код генерируется локально, без передачи по каналу связи |
| Зависимость от мобильного оператора | Полная: при блокировке номера или роуминге восстановление недоступно | Нет: работает без SIM-карты, даже в авиарежиме |
| Необходимость бэкап-кодов | Нет: достаточно номера телефона, что и есть риск | Да: без бэкап-кодов восстановление требует обращения в техподдержку биржи |
| Стойкость к социальной инженерии | Низкая: звонок в салон связи, предъявление поддельной доверенности | Высокая: злоумышленник не может получить TOTP-секрет, не взломав ваше устройство |
| Доступность для пользователя в РФ | Риск задержки SMS от зарубежных бирж (до 1 суток), блокировка по ГЛОНАСС | Стабильная: код доступен даже при отключённом интернете |
Зайдите в настройки аккаунта, найдите раздел «Security» или «Безопасность». Выберите подраздел «2FA / Two-Factor Authentication» и «Password Recovery». Проверьте текущий метод подтверждения — если висит «SMS / Phone», запомните его.
Нажмите «Enable TOTP» или «Add Authenticator». Скачайте Google Authenticator (офлайн, безопасно) или Authy. Отсканируйте QR-код или вручную введите секретный ключ в приложение. Убедитесь, что приложение показывает сменный 6-значный код.
В том же меню найдите опцию «SMS Recovery» и отключите её. Подтвердите отключение через TOTP-код (приложение). Если биржа требует подтверждения по SMS на этапе отключения — запросите, но после отключения удалите номер телефона из профиля.
Биржа выдаст 10–16 одноразовых кодов. Распечатайте их на бумаге. Дубликат — в сейфе или в закрытом конверте у доверенного лица. Не храните бэкап-коды на компьютере, в облаке (Google Диск, iCloud) — это снижает безопасность до нуля.
Разлогиньтесь на бирже. Нажмите «Forgot Password/Восстановить пароль». Введите основной пароль или запросите ссылку на сброс. Система должна запросить TOTP-код — введите код из приложения. Если система требует SMS — настройка не завершена (вернитесь к шагу 3). Если всё ок — доступ восстановлен только через TOTP.
Нет, нужно отключить полностью. Если оставить SMS как запасной метод, социальная инженерия сработает — злоумышленник выберет самый слабый канал. TOTP должен быть единственным способом восстановления.
Да, после первого входа вы можете в настройках изменить метод восстановления. Некоторые биржи (Binance после блокировки в РФ или Bybit) требуют SMS только при регистрации — потом можно переключить на TOTP. Gate.io и Kraken позволяют TOTP сразу.
Запросите SMS повторно через 30–60 минут. Если не приходит — свяжитесь с техподдержкой через тикет, приложите скриншот ошибки. Биржа может предложить отключить SMS через одноразовый код из аутентификатора (если TOTP уже частично настроен).
Да, настоятельно рекомендуется. Если вы воспользовались бэкап-кодом для входа, считайте TOTP-секрет скомпрометированным. Заново сгенерируйте новые запросы в настройках 2FA и запишите новый бэкап-лист.
Самые популярные менеджеры паролей (1Password, Bitwarden, LastPass) умеют хранить TOTP-секрет вместе с паролем. Риск: доступ ко всему — компрометация одного мастер-пароля даёт злоумышленнику и пароль от биржи, и код TOTP. Лучше хранить TOTP в отдельном приложении (Google Authenticator), а менеджер паролей — для разных аккаунтов.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
