Изображение: Unsplash
Специалисты Positive Technologies провели анализ защищенности приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.
Самые распространенные уязвимости приложений для трейдинга
Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.
В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.
Чем все это грозит трейдерам
Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.
Атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.
Трейдер, использующий уязвимое приложение, рискует также обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала. Подмена отображаемых котировок возможна в 17% приложений. Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график вида «японские свечи», который отображает изменения котировок за определенные периоды.
Некоторые десктопные приложения позволяют получить контроль над компьютером трейдера, например путем замены файла обновления на вредоносное ПО. Как правило, для атаки на торговые терминалы для компьютера или мобильных устройств злоумышленнику нужны особые условия, такие как возможность перехватывать трафик или физический доступ к устройству. Однако в случае целевой атаки на крупного игрока мотивация преступника может быть вполне достаточной, чтобы такие условия обеспечить. Пример такого инцидента: в феврале 2015 года на рынок в течение нескольких минут были выведены предложения о продаже 500 млн долларов (в результате кибератаки или ошибки оператора банка), что резко снизило курс американской валюты, позволило другим участникам рынка приобрести доллары по заниженной цене и нанесло банку огромные убытки.
Как защититься
Нелегитимный доступ к приложениям для трейдинга угрожает серьезными потрясениями для рынка и пользователей уязвимых приложений. При выборе торговой платформы трейдерам следует обращать внимание не только на ее функциональность, но и на безопасность. Необходимо использовать актуальные версии приложений и вовремя устанавливать обновления, выпускаемые вендором.
Частным трейдерам, которые используют торговые платформы на своих личных устройствах, эксперты рекомендуют применять антивирусные средства и не загружать приложения из ненадежных источников. Не стоит устанавливать мобильные версии приложений на устройства с правами root или проведенным jailbreak. При работе с терминалом не рекомендуется подключаться к незащищенным сетям, таким как публичные точки доступа Wi-Fi. Для предотвращения несанкционированного доступа к личному кабинету нужно использовать двухфакторную аутентификацию, если эта функция поддерживается приложением.
В корпоративных системах следует выделять отдельный сегмент сети, в котором расположены торговые терминалы, и обеспечивать защиту этого сегмента. Необходимо следовать базовым рекомендациям по обеспечению приемлемого уровня защищенности корпоративных информационных систем, и в частности обучать сотрудников правилам информационной безопасности.
В свою очередь, разработчикам торговых терминалов необходимо регулярно проводить тестирование защищенности приложений и внедрять цикл безопасной разработки. Для защиты веб-версий торговых платформ эксперты рекомендуют использовать превентивные меры защиты, такие как межсетевой экран уровня приложений.
Во вторник, 16 октября в 14:00 в ходе бесплатного вебинара руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин подробнее расскажет о проведенном исследовании и даст советы по выбору защищенного приложения для трейдинга.
Для участия в вебинаре необходимо зарегистрироваться.