Специалисты Positive Technologies провели анализ защищенности приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.
Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.
В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.
Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.
Специалисты отмечают, что атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.
Трейдер, использующий уязвимое приложение, рискует также обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала. Подмена отображаемых котировок возможна в 17% приложений. Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график вида «японские свечи», который отображает изменения котировок за определенные периоды.
Некоторые десктопные приложения позволяют получить контроль над компьютером трейдера, например путем замены файла обновления на вредоносное ПО. Как правило, для атаки на торговые терминалы для компьютера или мобильных устройств злоумышленнику нужны особые условия, такие как возможность перехватывать трафик или физический доступ к устройству. Однако в случае целевой атаки на крупного игрока мотивация преступника может быть вполне достаточной, чтобы такие условия обеспечить. В отчете об исследовании упоминается инцидент, произошедший в феврале 2015 года, когда на рынок в течение нескольких минут были выведены предложения о продаже 500 млн долларов (в результате кибератаки или ошибки оператора банка), что резко снизило курс американской валюты, позволило другим участникам рынка приобрести доллары по заниженной цене и нанесло банку огромные убытки.
«Более 600 финансовых организаций применяют исследованные нами платформы для торговли на финансовых рынках, — отметила аналитик Positive Technologies Екатерина Килюшева. — Нелегитимный доступ к приложениям для трейдинга угрожает серьезными потрясениями для рынка и пользователей уязвимых приложений. При выборе торговой платформы трейдерам следует обращать внимание не только на ее функциональность, но и на безопасность. Необходимо использовать актуальные версии приложений и вовремя устанавливать обновления, выпускаемые вендором».
Частным трейдерам, которые используют торговые платформы на своих личных устройствах, эксперты рекомендуют применять антивирусные средства и не загружать приложения из ненадежных источников. Не стоит устанавливать мобильные версии приложений на устройства с правами root или проведенным jailbreak. При работе с терминалом не рекомендуется подключаться к незащищенным сетям, таким как публичные точки доступа Wi-Fi. Для предотвращения несанкционированного доступа к личному кабинету нужно использовать двухфакторную аутентификацию, если эта функция поддерживается приложением.
В корпоративных системах следует выделять отдельный сегмент сети, в котором расположены торговые терминалы, и обеспечивать защиту этого сегмента. Необходимо следовать базовым рекомендациям по обеспечению приемлемого уровня защищенности корпоративных информационных систем, и в частности обучать сотрудников правилам информационной безопасности.
В свою очередь, разработчикам торговых терминалов необходимо регулярно проводить тестирование защищенности приложений и внедрять цикл безопасной разработки. Для защиты веб-версий торговых платформ эксперты рекомендуют использовать превентивные меры защиты, такие как межсетевой экран уровня приложений.