Изображение: Unsplash
Специалисты Positive Technologies провели анализ безопасности торговых приложений — торговые терминалы, позволяющие покупать и продавать акции, облигации, фьючерсы, валюты и другие активы.
По данным исследования, в 61% приложений можно получить несанкционированный доступ к личным кабинетам, в 33% — проводить финансовые операции от имени других пользователей без доступа к личному кабинету, в 17% — возможно заменить отображаемые котировки.
Подобные атаки могут вызвать изменение рыночных цен в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.
Наиболее распространенные уязвимости торговых приложений
«Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и других организациях, связанных с биржевой торговлей.Исследования проводились на клиентских частях платформ.
Были проанализированы настольные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для торговли.
В 61% приложений злоумышленнику удается получить контроль над личным кабинетом пользователя торгового терминала.
Это позволит торговать активами пользователя, получать информацию о доступных средствах на балансе, изменять параметры автоматической торговли, просматривать историю транзакций и запланированные транзакции.
Перехват учетных данных в настольных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют рут-права или джейлбрейк на устройстве.
Доступ к личному кабинету также можно получить в некоторых веб-версиях приложений путем перехвата сессии пользователя.
Что все это означает для трейдеров?
Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять операции по продаже или покупке акций от имени пользователя и без доступа к личному кабинету.Злоумышленник может увеличить стоимость интересующих его ценных бумаг путем массовой покупки их на чужих счетах или снизить стоимость акций путем их активной продажи.
Аналогичным образом можно манипулировать курсами валют, если атака затрагивает крупных игроков или большое количество пользователей.
Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, мобильных, так и в веб-терминалах.
Атаки на веб-версии торговых терминалов могут иметь широкое распространение.
Злоумышленник может внедрить скрипт в веб-приложение или разместить вредоносную ссылку на другом популярном сайте.
Тогда от имени любого пользователя, который зайдет в приложение или перейдет по ссылке, будет совершена нелегитимная операция.
Это позволяет атаковать большое количество участников рынка.
Трейдер, использующий уязвимое приложение, также рискует обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала.
Подмена отображаемых котировок возможна в 17% приложений.
Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график типа «японская свеча», отображающий изменения котировок за определенные периоды.
Некоторые настольные приложения позволяют получить контроль над компьютером трейдера, например, заменив файл обновления вредоносным ПО.
Обычно для атаки на торговые терминалы для компьютеров или мобильных устройств злоумышленнику необходимы особые условия, такие как возможность перехвата трафика или физический доступ к устройству.
Однако в случае целенаправленной атаки на крупного игрока мотивации преступника может оказаться вполне достаточно для обеспечения таких условий.
Пример такого инцидента: в феврале 2015 года предложения о продаже $500 млн были выставлены на рынок в течение нескольких минут (в результате кибератаки или ошибки банковского оператора), что резко снизило курс американской валюты.
, что позволяет другим участникам рынка покупать доллары по сниженной цене и наносит банку огромные убытки.
Как защитить себя
Незаконный доступ к торговым приложениям грозит серьезными потрясениями для рынка и пользователей уязвимых приложений.Выбирая торговую платформу, трейдеры должны обращать внимание не только на ее функциональность, но и на безопасность.
Необходимо использовать последние версии приложений и вовремя устанавливать обновления, выпускаемые производителем.
Частникам, использующим торговые платформы на своих личных устройствах, эксперты рекомендуют пользоваться антивирусным ПО и не скачивать приложения из непроверенных источников.
Не следует устанавливать мобильные версии приложений на устройства с root-правами или джейлбрейком.
При работе с терминалом не рекомендуется подключаться к незащищенным сетям, например, публичным точкам доступа Wi-Fi. Для предотвращения несанкционированного доступа к вашему личному кабинету необходимо использовать двухфакторную аутентификацию, если данная функция поддерживается приложением.
В корпоративных системах должен быть выделен отдельный сегмент сети, в котором расположены торговые терминалы, и этот сегмент должен быть защищен.
Необходимо следовать основным рекомендациям для обеспечения приемлемого уровня безопасности корпоративных информационных систем, в частности, обучать сотрудников правилам информационной безопасности.
В свою очередь, разработчикам торговых терминалов необходимо регулярно тестировать безопасность приложений и внедрять безопасный цикл разработки.
Для защиты веб-версий торговых платформ эксперты рекомендуют использовать превентивные меры защиты, например брандмауэр на уровне приложений.
Во вторник, 16 октября в 14:00 В ходе бесплатного вебинара Ярослав Бабин, руководитель исследовательской группы безопасности банковских систем компании Positive Technologies, более подробно расскажет о проведенных исследованиях и даст советы по выбору безопасного приложения для торговли.Теги: #информационная безопасность #ИТ-финансы #уязвимости #биржа #интернет-трейдингДля участия в вебинаре вам необходимо регистр .
-
Крикет, Болливуд И Местные Языки
19 Oct, 24
