Беззащитные трейдеры
В каждом приложении для биржевой торговли есть уязвимость
Популярные торговые терминалы в значительной степени беззащитны перед киберпреступностью, под ударом находятся как частные трейдеры, так и крупные компании-профучастники. Массированные кибератаки могут привести к серьезным потрясениям на биржах и потере средств инвесторами. К такому выводу пришли специалисты по кибербезопасности из компании Positive Technologies. Сейчас проблему каждый брокер решает самостоятельно, отмечают эксперты. Но не у всех хватает на это ресурсов, что создает опасность для всей системы.
“Ъ” ознакомился с новым исследованием Positive Technologies, посвященным защищенности приложений для трейдинга. Компания проанализировала на предмет уязвимости клиентской части 11 мобильных приложений (для Android и iOS), четыре веб-приложения, а также три десктопные версии наиболее популярных торговых платформ, поставляемых на рынок шестью вендорами. Результаты оказались неутешительными: в каждом из приложений были обнаружены какие-либо уязвимости, а в 72% из них — хотя бы одна критически опасная.
Во всех случаях недостатки защиты позволяли атаковать пользователей. «Более 600 финансовых организаций применяют исследованные нами платформы для торговли на финансовых рынках. Нелегитимный доступ к приложениям для трейдинга угрожает серьезными потрясениями рынку и пользователям уязвимых приложений»,— указывает аналитик Positive Technologies Екатерина Килюшева.
По мнению специалистов компании, наибольшую опасность для участников торгов представляет угроза выполнения нежелательных операций от имени пользователя. Так, доля приложений, позволяющих злоумышленникам получить доступ к учетным данным пользователя мобильной или десктопной версии торговой платформы и контроль над его личным кабинетом, составила 61%.
В 33% приложений обнаружились уязвимости, позволяющие проводить финансовые операции от имени других пользователей. Возможность подменять отображаемые в терминале цены и тем самым вводить других трейдеров в заблуждение содержится в 17% исследуемых приложений.
Большая часть кибератак на торговые платформы проходит по двум сценариям, указывают специалисты Positive Technologies. В первом случае воздействие идет через вредоносный JavaScript-код, который попадает в торговое приложение через зараженные интернет-сайты. При этом вредонос не загружается на устройство пользователя — он действует непосредственно в сегменте сети компании, где осуществляется торговля. Этот сегмент должен быть изолирован, но на практике трейдеры часто имеют доступ к интернету с тех же компьютеров, с которых осуществляют биржевые операции. Второй сценарий предполагает воздействие злоумышленников, находящихся в одной сети с трейдером. Они могут, например, контролировать оборудование, через которое трейдер подключен к Wi-Fi. Перехват трафика может происходить и на стороне провайдера.
Наиболее значительные риски несут в себе мобильные торговые приложения. В рамках исследования были проверены 11 приложений наиболее популярных в мире операционных систем. Так, для Android наибольший риск представляет собой угроза проведения фишинговых атак — ему оказались подвержены 83% приложений. Главная опасность для iOS — кража учетных данных, это оказалось возможным в 100% исследуемых случаев. Приложения для обеих систем содержали в среднем по три уязвимости. Большая их часть связана с небезопасным хранением данных, например хранением резервных копий и другой информации в публичных каталогах, а ключей для шифрования — в исходном коде приложения.
Эксперты признают, что проблема в масштабах рынка в целом на текущий момент не решается. «Разработчиков торговых приложений на рынке достаточно. Но нет признанного лидера, который мог бы похвастаться долгой историей предоставления надежных услуг»,— констатирует управляющий партнер экспертной группы Veta Илья Жарский. По его словам, бороться с «пробоинами» в торговом ПО в настоящее время профучастникам приходится в основном собственными силами. По словам предправления «Церих Кэпитал Менеджмент» Дениса Соловьева, «приложения всегда проверяются и кастомизируются каждым брокером под себя». При этом крупные компании проходят независимый IT-аудит, что является недешевым удовольствием. «Для небольших брокеров это неподъемная финансовая нагрузка»,— указывает он. По словам госпожи Килюшевой, очень важно использовать актуальные версии приложений и вовремя устанавливать обновления, выпускаемые вендором. Конечным пользователям (частным трейдерам) настоятельно рекомендуется не заходить на сомнительные интернет-ресурсы, если то же устройство применяется в работе с профессиональной областью, резюмирует господин Жарский.
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам