itkvariat

    Используя приложения для трейдинга, хакеры могут обрушить котировки акций и курсы валют




    Специалисты Positive Technologies провели анализ защищенности приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.

    Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.

    В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.

    Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.

    Специалисты отмечают, что атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.

    Трейдер, использующий уязвимое приложение, рискует также обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала. Подмена отображаемых котировок возможна в 17% приложений. Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график вида «японские свечи», который отображает изменения котировок за определенные периоды.

    Некоторые десктопные приложения позволяют получить контроль над компьютером трейдера, например путем замены файла обновления на вредоносное ПО. Как правило, для атаки на торговые терминалы для компьютера или мобильных устройств злоумышленнику нужны особые условия, такие как возможность перехватывать трафик или физический доступ к устройству. Однако в случае целевой атаки на крупного игрока мотивация преступника может быть вполне достаточной, чтобы такие условия обеспечить. В отчете об исследовании упоминается инцидент, произошедший в феврале 2015 года, когда на рынок в течение нескольких минут были выведены предложения о продаже 500 млн долларов (в результате кибератаки или ошибки оператора банка), что резко снизило курс американской валюты, позволило другим участникам рынка приобрести доллары по заниженной цене и нанесло банку огромные убытки.

    "Более 600 финансовых организаций применяют исследованные нами платформы для торговли на финансовых рынках, — говорит аналитик Positive Technologies Екатерина Килюшева.Нелегитимный доступ к приложениям для трейдинга угрожает серьезными потрясениями для рынка и пользователей уязвимых приложений. При выборе торговой платформы трейдерам следует обращать внимание не только на ее функциональность, но и на безопасность. Необходимо использовать актуальные версии приложений и вовремя устанавливать обновления, выпускаемые вендором".

    Частным трейдерам, которые используют торговые платформы на своих личных устройствах, эксперты рекомендуют применять антивирусные средства и не загружать приложения из ненадежных источников. Не стоит устанавливать мобильные версии приложений на устройства с правами root или проведенным jailbreak. При работе с терминалом не рекомендуется подключаться к незащищенным сетям, таким как публичные точки доступа Wi-Fi. Для предотвращения несанкционированного доступа к личному кабинету нужно использовать двухфакторную аутентификацию, если эта функция поддерживается приложением.

    В корпоративных системах следует выделять отдельный сегмент сети, в котором расположены торговые терминалы, и обеспечивать защиту этого сегмента. Необходимо следовать базовым рекомендациям по обеспечению приемлемого уровня защищенности корпоративных информационных систем, и в частности обучать сотрудников правилам информационной безопасности.

    В свою очередь, разработчикам торговых терминалов необходимо регулярно проводить тестирование защищенности приложений и внедрять цикл безопасной разработки. Для защиты веб-версий торговых платформ эксперты рекомендуют использовать превентивные меры защиты, такие как межсетевой экран уровня приложений.



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!

    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

    И еще на эту тему...
  • Positive Technologies вошла в состав российского национального комитета СИГРЭ
  • Positive Technologies объяснила как современные хакеры грабят банки
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Захватить полный контроль над сетью внутренний злоумышленник может в 100% случаев
  • Эксперты прогнозируют волну атак на сайты, связанные с ЧМ-2018


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
журнал Генеральный директор


Что бывало...

Проверьте скорость вашего интернета!


Самое популярное
    
Наши друзья
Магазин кабелей и аксессуаров UGREEN

Студия 3D-печати PRO3D

Майки с картинками

Самоклейкин

Смарт

Hoster


Используя приложения для трейдинга, хакеры могут обрушить котировки акций и курсы валют




Специалисты Positive Technologies провели анализ защищенности приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.

Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.

В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.

Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.

Специалисты отмечают, что атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.

Трейдер, использующий уязвимое приложение, рискует также обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала. Подмена отображаемых котировок возможна в 17% приложений. Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график вида «японские свечи», который отображает изменения котировок за определенные периоды.

Некоторые десктопные приложения позволяют получить контроль над компьютером трейдера, например путем замены файла обновления на вредоносное ПО. Как правило, для атаки на торговые терминалы для компьютера или мобильных устройств злоумышленнику нужны особые условия, такие как возможность перехватывать трафик или физический доступ к устройству. Однако в случае целевой атаки на крупного игрока мотивация преступника может быть вполне достаточной, чтобы такие условия обеспечить. В отчете об исследовании упоминается инцидент, произошедший в феврале 2015 года, когда на рынок в течение нескольких минут были выведены предложения о продаже 500 млн долларов (в результате кибератаки или ошибки оператора банка), что резко снизило курс американской валюты, позволило другим участникам рынка приобрести доллары по заниженной цене и нанесло банку огромные убытки.

"Более 600 финансовых организаций применяют исследованные нами платформы для торговли на финансовых рынках, — говорит аналитик Positive Technologies Екатерина Килюшева.Нелегитимный доступ к приложениям для трейдинга угрожает серьезными потрясениями для рынка и пользователей уязвимых приложений. При выборе торговой платформы трейдерам следует обращать внимание не только на ее функциональность, но и на безопасность. Необходимо использовать актуальные версии приложений и вовремя устанавливать обновления, выпускаемые вендором".

Частным трейдерам, которые используют торговые платформы на своих личных устройствах, эксперты рекомендуют применять антивирусные средства и не загружать приложения из ненадежных источников. Не стоит устанавливать мобильные версии приложений на устройства с правами root или проведенным jailbreak. При работе с терминалом не рекомендуется подключаться к незащищенным сетям, таким как публичные точки доступа Wi-Fi. Для предотвращения несанкционированного доступа к личному кабинету нужно использовать двухфакторную аутентификацию, если эта функция поддерживается приложением.

В корпоративных системах следует выделять отдельный сегмент сети, в котором расположены торговые терминалы, и обеспечивать защиту этого сегмента. Необходимо следовать базовым рекомендациям по обеспечению приемлемого уровня защищенности корпоративных информационных систем, и в частности обучать сотрудников правилам информационной безопасности.

В свою очередь, разработчикам торговых терминалов необходимо регулярно проводить тестирование защищенности приложений и внедрять цикл безопасной разработки. Для защиты веб-версий торговых платформ эксперты рекомендуют использовать превентивные меры защиты, такие как межсетевой экран уровня приложений.



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

И еще на эту тему...
  • Positive Technologies вошла в состав российского национального комитета СИГРЭ
  • Positive Technologies объяснила как современные хакеры грабят банки
  • Почему упал биткоин, или Знакомые округлости очередного пузыря
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Захватить полный контроль над сетью внутренний злоумышленник может в 100% случаев
  • Эксперты прогнозируют волну атак на сайты, связанные с ЧМ-2018


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2019