Gambar: UnsplashPara pakar Positive Technologies melakukan
analisis keamanan aplikasi perdagangan - terminal perdagangan yang memungkinkan Anda membeli dan menjual saham, obligasi, futures, mata uang, dan aset lainnya. Menurut penelitian, dalam 61% aplikasi dimungkinkan untuk mendapatkan akses yang tidak sah ke akun pribadi, di 33% - melakukan transaksi keuangan atas nama pengguna lain tanpa akses ke akun pribadi Anda, dalam 17% - penggantian kutipan yang ditampilkan. Serangan seperti itu dapat menyebabkan perubahan harga di pasar demi penyerang, memicu kepanikan di bursa dan menyebabkan kerusakan finansial yang signifikan bagi pengguna aplikasi yang rentan.
Kerentanan aplikasi perdagangan yang paling umum
Para ahli mempelajari platform perdagangan yang populer tidak hanya di kalangan pedagang swasta, tetapi juga banyak digunakan di bank, dana investasi, dan organisasi lain yang terkait dengan perdagangan pertukaran. Penelitian dilakukan pada bagian klien dari platform. Kami menganalisis terminal perdagangan desktop, serta aplikasi seluler (untuk Android dan iOS) dan web untuk perdagangan.
Dalam 61% aplikasi, penyerang dapat menguasai akun pribadi pengguna di terminal perdagangan. Ini akan memungkinkan Anda untuk memperdagangkan aset pengguna, mendapatkan informasi tentang dana yang tersedia di neraca, mengubah parameter perdagangan otomatis, melihat riwayat operasi dan operasi yang direncanakan. Intersepsi kredensial di terminal desktop dimungkinkan tanpa adanya enkripsi lalu lintas, dan dalam aplikasi seluler ini difasilitasi oleh hak root atau jailbreak pada perangkat. Akses ke akun pribadi Anda juga dapat diperoleh di beberapa versi aplikasi web, memotong sesi pengguna.
Bagaimana semua ini mengancam pedagang
Kerentanan yang ditemukan oleh para pakar Teknologi Positif di setiap aplikasi ketiga memungkinkan orang yang tidak berwenang untuk melakukan transaksi untuk penjualan atau pembelian saham atas nama pengguna dan tanpa akses ke akun pribadi Anda. Seorang penyerang dapat meningkatkan nilai sekuritas yang ia minati dengan membeli secara massal di akun orang lain atau mengurangi nilai saham dengan secara aktif menjualnya. Demikian pula, Anda dapat memanipulasi nilai tukar - jika serangan memengaruhi pemain besar atau sejumlah besar pengguna. Membeli dan menjual aset pertukaran atas nama orang lain dimungkinkan baik di desktop maupun di terminal seluler dan web.
Serangan pada terminal terminal versi web bisa meluas. Seorang penyerang dapat menyuntikkan skrip ke dalam aplikasi web atau menempatkan tautan jahat di situs populer lainnya. Kemudian, atas nama pengguna yang memasuki aplikasi atau mengikuti tautan, operasi yang tidak sah akan dilakukan. Ini memungkinkan serangan terhadap sejumlah besar pelaku pasar.
Seorang pedagang yang menggunakan aplikasi yang rentan juga berisiko menemukan bahwa situasi sebenarnya di pasar keuangan tidak sesuai dengan apa yang dilihatnya di layar terminal perdagangan. Pergantian kutipan yang ditampilkan dimungkinkan di 17% aplikasi. Misalnya, dalam proses menganalisis aplikasi desktop, para ahli dapat memalsukan grafik interval dari jenis "lilin Jepang", yang menampilkan perubahan harga untuk periode tertentu.
Beberapa aplikasi desktop memungkinkan Anda untuk mendapatkan kendali atas komputer trader, misalnya, dengan mengganti file pembaruan dengan malware. Sebagai aturan, untuk menyerang terminal perdagangan untuk komputer atau perangkat seluler, penyerang memerlukan kondisi khusus, seperti kemampuan untuk mencegat lalu lintas atau akses fisik ke perangkat. Namun, jika terjadi serangan yang ditargetkan pada pemain utama, motivasi pelaku mungkin cukup memadai untuk memberikan kondisi seperti itu. Contoh kejadian seperti itu: pada bulan Februari 2015, proposal untuk penjualan $ 500 juta dibawa ke pasar dalam beberapa menit (sebagai akibat serangan cyber atau kesalahan oleh operator bank), yang dengan tajam mendepresiasi mata uang AS, memungkinkan pelaku pasar lain untuk membeli dolar dengan harga lebih rendah dan dibayar kerugian besar bank.
Cara melindungi diri sendiri
Akses ilegal ke aplikasi perdagangan mengancam guncangan serius bagi pasar dan pengguna aplikasi yang rentan. Ketika memilih platform perdagangan, pedagang harus memperhatikan tidak hanya pada fungsinya, tetapi juga keamanan. Penting untuk menggunakan versi aplikasi terbaru dan menginstal pembaruan yang dirilis oleh vendor tepat waktu.
Untuk pedagang swasta yang menggunakan platform perdagangan di perangkat pribadi mereka, para ahli merekomendasikan untuk menggunakan alat anti-virus dan tidak mengunduh aplikasi dari sumber yang tidak dapat diandalkan. Jangan menginstal versi aplikasi seluler pada perangkat dengan hak akses root atau jailbreak. Saat bekerja dengan terminal, tidak disarankan untuk terhubung ke jaringan tidak aman, seperti titik akses Wi-Fi publik. Untuk mencegah akses tidak sah ke akun pribadi Anda, Anda perlu menggunakan otentikasi dua faktor, jika fungsi ini didukung oleh aplikasi.
Dalam sistem perusahaan, segmen terpisah dari jaringan di mana terminal perdagangan berada harus dialokasikan dan perlindungan segmen ini harus disediakan. Penting untuk mengikuti rekomendasi dasar untuk memastikan tingkat keamanan yang dapat diterima untuk sistem informasi perusahaan, dan khususnya untuk melatih karyawan dalam aturan keamanan informasi.
Pada gilirannya, pengembang terminal perdagangan perlu secara teratur melakukan pengujian keamanan aplikasi dan menerapkan siklus pengembangan yang aman. Untuk melindungi platform perdagangan versi web, para ahli merekomendasikan penggunaan langkah-langkah perlindungan preventif, seperti firewall tingkat aplikasi.
Pada hari Selasa, 16 Oktober, pukul 14:00 selama webinar gratis, kepala kelompok riset keamanan sistem perbankan Positive Technologies, Yaroslav Babin, akan berbicara lebih banyak tentang penelitian ini dan memberikan tips tentang memilih aplikasi yang aman untuk perdagangan.
Untuk berpartisipasi dalam webinar, Anda harus mendaftar .