В 2019 году мировой фондовый рынок вырос на 17 триллионов долларов США. И хотя пандемия, мягко говоря, потрепала мировые рынки, интерес к инвестициям никуда не делся: с начала 2020 года число пользователей трейдинговых приложений только растет.
Активы и личные данные участников электронных торгов — желанная добыча для киберпреступников. При этом в случае инцидента расхлебывать его последствия придется поставщикам или операторам трейдинговой платформы. В этом посте мы поговорим об основных опасностях, с которыми сталкиваются такие компании, и о том, как от них защититься.
Уязвимости в приложениях
Как и в любом ПО, в трейдинговых платформах регулярно находят уязвимости. В 2018 году ИБ-эксперт Алехандро Эрнандес (Alejandro Hernandez) нашел дыры в 79 таких приложениях. Разработчики хранили и передавали данные в незашифрованном виде (то есть кто угодно мог их подсмотреть или подменить), а также не разлогинивали трейдеров, даже если те продолжительное время не пользовались приложением. Встречались и недочеты на уровне проектирования, такие как возможность задать ненадежный пароль.
Годом позднее аналитики из ImmuniWeb провели похожее исследование и тоже пришли к неутешительному выводу: из 100 протестированных разработок финтех-компаний все оказались в той или иной степени уязвимы. Проблемы нашлись как в веб-, так и в мобильных приложениях. Многие ошибки были унаследованы от сторонних разработок и инструментов, использованных программистами. Для некоторых из них уже давно существовали патчи, но ими просто не воспользовались. Заплатку для одной из обнаруженных дыр выпустили еще в 2012 году, но у авторов финтех-приложения так и не дошли руки, чтобы ее скачать.
Между тем, если в продуктах компании есть проблемы с безопасностью, о них рано или поздно станет известно. Это может испортить репутацию и привести к потере клиентов. Если же из-за бага в приложении пострадают данные или деньги пользователей, разработчику придется возмещать ущерб и платить штрафы.
Бывает и так, что единственным пострадавшим от ошибки в коде оказывается создатель платформы. К примеру, авторы трейдингового приложения Robinhood пропустили в нем баг, который позволял премиальным пользователям заимствовать у платформы неограниченное количество денег для торговли ценными бумагами. Один из пользователей одолжил таким образом миллион долларов США, имея на руках лишь 4000 долларов. Среди трейдеров код получил название «чит на бесконечные деньги».
Чтобы избежать потерь, связанных с уязвимостями и ошибками в коде, создателям трейдинговых платформ стоит еще на стадии разработки внедрять механизмы защиты, такие как автоматическое разлогинивание пользователя, шифрование и запрет на использование слабых паролей. Также стоит регулярно пересматривать код на предмет багов и оперативно их удалять.
Атаки через цепочку поставщиков
Большинство компаний не ограничивается собственноручно написанным кодом, а использует множество сторонних разработок, фреймворков и сервисов — это экономит время и деньги. Если злоумышленник проникнет в инфраструктуру поставщика таких сервисов, пострадать может и внедрившая их организация.
Так случилось, например, с валютным брокером Pepperstone. В августе этого года преступники заразили компьютеры одного из подрядчиков компании и получили доступ к его аккаунту в ее CRM-системе. Несмотря на то что атаку оперативно нейтрализовали, злоумышленники все же похитили данные некоторых клиентов Pepperstone. Брокер утверждает, что финансовые и трейдинговые системы от этой атаки не пострадали, однако за утечку данных компании тоже несут ответственность — помните об этом.
Чтобы на вас не повесили лишних собак, выбирайте надежных партнеров, которые ответственно подходят к безопасности. При этом не стоит всецело полагаться только на их защиту. Компании, работающей с финансами, имеет смысл использовать максимально строгую политику безопасности.
Целевой фишинг
Часто причиной киберинцидентов становятся сотрудники организации. Трейдинговые платформы — не исключение: злоумышленники обманывают работников, чтобы проникнуть в инфраструктуру компании.
Так, в июле этого года ИБ-исследователи рассказали об атаках APT-группировки Evilnum на финансовые организации в странах Евросоюза, Великобритании, Канаде и Австралии. Злоумышленники рассылали сотрудникам компаний письма со ссылкой на ZIP-архив, размещенный в легитимном облачном сервисе. Письма были замаскированы под деловые, а содержимое архива — под документы или изображения. Если сотрудник открывал любой из файлов, запускалась цепочка заражения, хотя на экран выводился обещанный документ.
Иногда злоумышленники взламывают рабочие почтовые аккаунты, что делает их письма еще более убедительными. В августе этого года от подобной атаки пострадала торговая компания Virtu. По словам ее представителей, злоумышленники проникли в почтовый ящик одного из топ-менеджеров и в течение двух недель слали в бухгалтерию письма с указаниями перевести крупные суммы в Китай. На доверчивости сотрудников компания потеряла без малого 11 миллионов долларов США.
Чтобы противостоять подобным атакам, важно обучать сотрудников кибербезопасности: составьте список «тревожных звоночков», которые должны вызвать сомнения в легитимности письма, проработайте порядок действий, если от коллеги, партнера или клиента пришла просьба отправить пару миллионов «на деревню дедушке».
DDoS: уронить биржу
В игре на бирже важна скорость реакции. Если трейдинговое приложение окажется вне зоны доступа на фоне событий, влияющих на курсы валют или ценных бумаг (а 2020 год на них не скупится), вряд ли клиенты будут этому рады. Конкуренты, вымогатели и другие злоумышленники могут пытаться вам насолить, устроив DDoS-атаку — шквал мусорных запросов к вашим серверам, с которым те могут не справиться. Например, в августе Новозеландская биржа пострадала от вымогателей: злоумышленники в течение нескольких дней перегружали ее системы, из-за чего она работала с перебоями.
От подобных атак спасет специализированное защитное решение, которое отсеет мусорный трафик и сохранит работоспособность серверов.
Проблемы клиента — ваши проблемы
Иногда пользователи теряют деньги по собственной вине: скачивают вредоносное ПО, вводят пароли на фишинговом сайте и вообще ведут себя безответственно. Увы, и в этом случае они вполне могут выдвинуть претензии трейдинговой платформе, на которой расположен пострадавший аккаунт. В некоторых странах законодательство обязывает компании как минимум разобраться, что же произошло. Так что стоит время от времени предупреждать трейдеров о возможных опасностях и настоятельно рекомендовать им тщательно защищаться.
Полезно периодически напоминать клиентам, что любое стороннее ПО, особенно пиратское и полученное из сомнительных источников, может таить в себе угрозу. Например, воровать пароли, в том числе от трейдингового аккаунта.
Предупредите клиентов, что злоумышленники могут притворяться вашим сервисом в попытках выудить учетные данные. Рекомендуйте внимательно относиться к письмам о проблемах и проверять, с какого адреса пришло сообщение, грамотным ли языком написано. Советуйте при любых сомнениях вводить адрес вашего сайта в браузере вручную, открывать приложение или звонить в клиентскую службу.
Как защитить деньги и репутацию
Работа с деньгами — это большая ответственность. Пренебрежительное отношение к безопасности может обойтись финтех-компании очень дорого. Поэтому:
- Следите за безопасностью своих приложений и программ. Проверяйте их на наличие уязвимостей и ответственно подходите к устранению ошибок и багов.
- Установите на рабочие устройства надежное защитное решение, в идеале — облачное и с единой панелью управления.
- Обучите сотрудников основам кибербезопасности, чтобы их ошибка не стоила вам и вашим клиентам денег и нервов.
- Используйте максимально строгую политику безопасности в отношении сотрудников и сторонних поставщиков.
- Постоянно напоминайте клиентам, что безопасность их денег во многом зависит от них самих — рекомендуйте установить на компьютер защитное решение и воздержаться от загрузки всякого хлама на устройство, с которого они торгуют активами.
- С самого начала внедряйте в свои разработки механизмы защиты: запрет на создание примитивных паролей, шифрование, автоматическое разлогинивание неактивных пользователей и так далее.