| 0 |
|
Специалисты Positive Technologies провели анализ защищенности приложений для трейдинга — торговых терминалов, которые позволяют покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Согласно исследованию, в 61% приложений возможно получение несанкционированного доступа к личным кабинетам, в 33% — проведение финансовых операций от имени других пользователей без доступа к личному кабинету, в 17% — подмена отображаемых котировок. Такие атаки могут вызывать изменение цен на рынке в пользу злоумышленника, спровоцировать панику на бирже и нанести значительный финансовый ущерб пользователям уязвимых приложений.
Эксперты изучили торговые платформы, которые популярны не только среди частных трейдеров, но и широко используются в банках, инвестиционных фондах и иных организациях, связанных с биржевой торговлей. Исследования проводились в отношении клиентских частей платформ. Были проанализированы десктопные торговые терминалы, а также мобильные (для Android и iOS) и веб-приложения для трейдинга.
В 61% приложений злоумышленник может получить контроль над личным кабинетом пользователя торгового терминала. Это позволит торговать активами пользователя, получить информацию о доступных средствах на балансе, подменить параметры автоматической торговли, просмотреть историю операций и запланированные операции. Перехват учетных данных в десктопных терминалах возможен при отсутствии шифрования трафика, а в мобильных приложениях этому способствуют root-права или jailbreak на устройстве. Доступ к личному кабинету можно получить и в некоторых веб-версиях приложений, перехватив сессию пользователя.
Уязвимости, обнаруженные экспертами Positive Technologies в каждом третьем приложении, позволяют посторонним лицам осуществлять сделки по продаже или покупке акций от имени пользователя и без доступа к личному кабинету. Злоумышленник может увеличить стоимость интересующих его ценных бумаг с помощью массовой покупки их на чужих аккаунтах или снизить стоимость акций, активно продавая их. Аналогичным образом можно манипулировать курсами валют — если атака затронет крупных игроков или большое количество пользователей. Покупка и продажа биржевых активов от чужого имени возможна как в десктопных, так и в мобильных и веб-терминалах.
Специалисты отмечают, что атаки на веб-версии торговых терминалов могут носить массовый характер. Злоумышленник может внедрить скрипт в веб-приложение или разместить на другом популярном сайте вредоносную ссылку. Тогда от лица любого пользователя, который зайдет в приложение или перейдет по ссылке, выполнится нелегитимная операция. Это позволяет осуществлять атаки в отношении большого числа участников рынка.
Трейдер, использующий уязвимое приложение, рискует также обнаружить, что реальная ситуация на финансовом рынке не соответствует тому, что он видит на экране торгового терминала. Подмена отображаемых котировок возможна в 17% приложений. Например, в процессе анализа десктопных приложений экспертам удалось подделать интервальный график вида «японские свечи», который отображает изменения котировок за определенные периоды.
Некоторые десктопные приложения позволяют получить контроль над компьютером трейдера, например путем замены файла обновления на вредоносное ПО. Как правило, для атаки на торговые терминалы для компьютера или мобильных устройств злоумышленнику нужны особые условия, такие как возможность перехватывать трафик или физический доступ к устройству. Однако в случае целевой атаки на крупного игрока мотивация преступника может быть вполне достаточной, чтобы такие условия обеспечить. В отчете об исследовании упоминается инцидент, произошедший в феврале 2015 г., когда на рынок в течение нескольких минут были выведены предложения о продаже 500 млн долл. (в результате кибератаки или ошибки оператора банка), что резко снизило курс американской валюты, позволило другим участникам рынка приобрести доллары по заниженной цене и нанесло банку огромные убытки.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
