Bild: UnsplashDie Experten von Positive Technologies haben eine
Analyse der Sicherheit von Handelsanwendungen durchgeführt - Handelsterminals, mit denen Sie Aktien, Anleihen, Futures, Währungen und andere Vermögenswerte kaufen und verkaufen können. Laut der Studie ist es in 61% der Anträge möglich, unbefugten Zugriff auf persönliche Konten zu erhalten, in 33% - Durchführung von Finanztransaktionen für andere Benutzer ohne Zugriff auf Ihr persönliches Konto - in 17% - Ersetzung der angezeigten Angebote. Solche Angriffe können zu Preisänderungen auf dem Markt zugunsten des Angreifers führen, Panik an der Börse hervorrufen und Benutzern anfälliger Anwendungen erheblichen finanziellen Schaden zufügen.
Die häufigsten Sicherheitslücken in Handelsanwendungen
Experten untersuchten Handelsplattformen, die nicht nur bei privaten Händlern beliebt sind, sondern auch in Banken, Investmentfonds und anderen Organisationen im Zusammenhang mit dem Börsenhandel weit verbreitet sind. Es wurden Untersuchungen an Client-Teilen der Plattformen durchgeführt. Wir haben Desktop-Handelsterminals sowie mobile (für Android und iOS) und Webanwendungen für den Handel analysiert.
In 61% der Anwendungen kann ein Angreifer die Kontrolle über das persönliche Konto eines Benutzers auf einem Handelsterminal erlangen. Auf diese Weise können Sie Benutzervermögen handeln, Informationen über verfügbare Mittel in der Bilanz abrufen, die Parameter des automatischen Handels ändern, den Betriebsverlauf und die geplanten Vorgänge anzeigen. Das Abfangen von Anmeldeinformationen in Desktop-Terminals ist ohne Verkehrsverschlüsselung möglich. In mobilen Anwendungen wird dies durch Root-Rechte oder Jailbreak auf dem Gerät erleichtert. In einigen Webversionen von Anwendungen kann auf Ihr persönliches Konto zugegriffen werden, wobei die Sitzung des Benutzers abgefangen wird.
Wie bedroht das alles die Händler?
Von Experten von Positive Technologies in jeder dritten Anwendung entdeckte Sicherheitslücken ermöglichen es Unbefugten, Transaktionen für den Verkauf oder Kauf von Aktien im Namen des Benutzers und ohne Zugriff auf Ihr persönliches Konto durchzuführen. Ein Angreifer kann den Wert der Wertpapiere, an denen er interessiert ist, durch Massenkauf auf den Konten anderer Personen erhöhen oder den Wert von Aktien durch aktiven Verkauf verringern. Ebenso können Sie Wechselkurse manipulieren - wenn der Angriff große Spieler oder eine große Anzahl von Benutzern betrifft. Der Kauf und Verkauf von Exchange-Assets im Auftrag anderer ist sowohl auf dem Desktop als auch auf Mobil- und Webterminals möglich.
Angriffe auf die Webversion von Handelsterminals können weit verbreitet sein. Ein Angreifer kann ein Skript in eine Webanwendung einfügen oder einen schädlichen Link auf einer anderen beliebten Website platzieren. Dann wird im Namen eines Benutzers, der die Anwendung betritt oder dem Link folgt, eine unzulässige Operation ausgeführt. Dies ermöglicht Angriffe gegen eine große Anzahl von Marktteilnehmern.
Ein Händler, der eine anfällige Anwendung verwendet, kann auch feststellen, dass die tatsächliche Situation auf dem Finanzmarkt nicht mit der auf dem Bildschirm des Handelsterminals angezeigten übereinstimmt. Das Ersetzen der angezeigten Angebote ist in 17% der Anträge möglich. Bei der Analyse von Desktop-Anwendungen konnten Experten beispielsweise ein Intervalldiagramm vom Typ „Japanische Kerzen“ fälschen, in dem Änderungen der Angebote für bestimmte Zeiträume angezeigt werden.
Bei einigen Desktop-Anwendungen können Sie die Kontrolle über den Computer des Händlers erlangen, indem Sie beispielsweise die Aktualisierungsdatei durch Malware ersetzen. Um Handelsterminals für einen Computer oder mobile Geräte anzugreifen, benötigt ein Angreifer in der Regel spezielle Bedingungen, z. B. die Fähigkeit, Datenverkehr abzufangen oder physischen Zugriff auf das Gerät. Im Falle eines gezielten Angriffs auf einen Hauptakteur kann die Motivation des Täters jedoch völlig ausreichen, um solche Bedingungen zu schaffen. Ein Beispiel für einen solchen Vorfall: Im Februar 2015 wurden Vorschläge für den Verkauf von 500 Millionen US-Dollar innerhalb weniger Minuten (infolge eines Cyberangriffs oder eines Fehlers eines Bankbetreibers) auf den Markt gebracht, wodurch die US-Währung stark abgewertet wurde und andere Marktteilnehmer Dollar zu einem niedrigeren Preis kaufen und bezahlen konnten die Bank enorme Verluste.
Wie Sie sich schützen können
Der illegale Zugriff auf Handelsanwendungen droht dem Markt und den Benutzern anfälliger Anwendungen ernsthafte Schocks. Bei der Auswahl einer Handelsplattform sollten Händler nicht nur auf deren Funktionalität, sondern auch auf die Sicherheit achten. Es ist erforderlich, die neuesten Versionen von Anwendungen zu verwenden und die vom Hersteller veröffentlichten Updates rechtzeitig zu installieren.
Für private Händler, die Handelsplattformen auf ihren persönlichen Geräten verwenden, empfehlen Experten, Antiviren-Tools zu verwenden und keine Anwendungen aus unzuverlässigen Quellen herunterzuladen. Installieren Sie keine mobilen Versionen von Anwendungen auf Geräten mit Root-Rechten oder einem Jailbreak. Wenn Sie mit dem Terminal arbeiten, wird nicht empfohlen, eine Verbindung zu unsicheren Netzwerken wie öffentlichen Wi-Fi-Zugangspunkten herzustellen. Um den unbefugten Zugriff auf Ihr persönliches Konto zu verhindern, müssen Sie die Zwei-Faktor-Authentifizierung verwenden, wenn diese Funktion von der Anwendung unterstützt wird.
In Unternehmenssystemen sollte ein separates Segment des Netzwerks zugewiesen werden, in dem sich Handelsterminals befinden, und der Schutz dieses Segments sollte gewährleistet werden. Es ist notwendig, grundlegende Empfehlungen zu befolgen, um ein akzeptables Sicherheitsniveau für Unternehmensinformationssysteme zu gewährleisten und insbesondere Mitarbeiter in Informationssicherheitsregeln zu schulen.
Entwickler von Handelsterminals müssen wiederum regelmäßig Tests zur Anwendungssicherheit durchführen und einen sicheren Entwicklungszyklus implementieren. Zum Schutz der Webversionen von Handelsplattformen empfehlen Experten die Verwendung vorbeugender Schutzmaßnahmen, z. B. einer Firewall auf Anwendungsebene.
Am Dienstag, den 16. Oktober, um 14:00 Uhr , wird der Leiter der Forschungsgruppe Sicherheit für Bankensystemsicherheit von Positive Technologies, Yaroslav Babin, während eines kostenlosen Webinars mehr über die Studie sprechen und Tipps zur Auswahl einer sicheren Anwendung für den Handel geben.
Um am Webinar teilnehmen zu können, müssen Sie sich registrieren .