Imagem: UnsplashOs especialistas da Positive Technologies realizaram uma
análise da segurança dos aplicativos de negociação - terminais de negociação que permitem comprar e vender ações, títulos, futuros, moeda e outros ativos. Segundo o estudo, em 61% dos aplicativos é possível obter acesso não autorizado a contas pessoais, em 33% - realizando transações financeiras em nome de outros usuários sem acesso à sua conta pessoal, em 17% - substituição das cotações exibidas. Esses ataques podem causar mudanças de preço no mercado em favor do atacante, provocar pânico na bolsa e causar danos financeiros significativos aos usuários de aplicativos vulneráveis.
As vulnerabilidades mais comuns dos aplicativos de negociação
Especialistas estudaram plataformas de negociação que são populares não apenas entre os comerciantes privados, mas também são amplamente usadas em bancos, fundos de investimento e outras organizações relacionadas ao comércio de câmbio. A pesquisa foi realizada em partes de clientes das plataformas. Analisamos terminais de negociação de desktop, bem como aplicativos móveis (para Android e iOS) e web para negociação.
Em 61% dos aplicativos, um invasor pode obter o controle da conta pessoal de um usuário em um terminal de negociação. Isso permitirá que você negocie ativos do usuário, obtenha informações sobre os fundos disponíveis no balanço, altere os parâmetros da negociação automática, visualize o histórico das operações e as operações planejadas. A interceptação de credenciais em terminais de desktop é possível na ausência de criptografia de tráfego, e em aplicativos móveis isso é facilitado por direitos de root ou jailbreak no dispositivo. O acesso à sua conta pessoal pode ser obtido em algumas versões da Web de aplicativos, interceptando a sessão do usuário.
Como tudo isso ameaça os comerciantes
As vulnerabilidades descobertas pelos especialistas da Positive Technologies em cada terceiro aplicativo permitem que pessoas não autorizadas realizem transações para a venda ou compra de ações em nome do usuário e sem acesso à sua conta pessoal. Um invasor pode aumentar o valor dos títulos nos quais está interessado comprando em massa nas contas de outras pessoas ou reduzir o valor das ações vendendo-as ativamente. Da mesma forma, você pode manipular as taxas de câmbio - se o ataque afetar jogadores grandes ou um grande número de usuários. É possível comprar e vender ativos de câmbio em nome de outra pessoa, tanto em computadores quanto em terminais móveis e web.
Os ataques na versão web dos terminais de negociação podem ser generalizados. Um invasor pode injetar um script em um aplicativo Web ou colocar um link malicioso em outro site popular. Em seguida, em nome de qualquer usuário que entre no aplicativo ou siga o link, será executada uma operação ilegítima. Isso permite ataques contra um grande número de participantes do mercado.
Um comerciante que usa um aplicativo vulnerável também corre o risco de descobrir que a situação real no mercado financeiro não corresponde ao que vê na tela do terminal de negociação. A substituição das cotações exibidas é possível em 17% dos aplicativos. Por exemplo, no processo de análise de aplicativos de desktop, os especialistas conseguiram falsificar um gráfico de intervalo do tipo "velas japonesas", que exibe alterações nas cotações por determinados períodos.
Alguns aplicativos de área de trabalho permitem que você obtenha controle sobre o computador do profissional, por exemplo, substituindo o arquivo de atualização por malware. Como regra, para atacar terminais de negociação de computadores ou dispositivos móveis, o invasor precisa de condições especiais, como a capacidade de interceptar o tráfego ou o acesso físico ao dispositivo. No entanto, no caso de um ataque direcionado a um jogador importante, a motivação do agressor pode ser suficiente para fornecer tais condições. Um exemplo desse incidente: em fevereiro de 2015, as propostas para a venda de US $ 500 milhões foram levadas ao mercado em poucos minutos (como resultado de um ataque cibernético ou de um erro de um operador bancário), que depreciou acentuadamente a moeda norte-americana, permitindo que outros participantes do mercado comprassem dólares a um preço mais baixo e pagassem o banco enormes perdas.
Como se proteger
O acesso ilegal a aplicativos de negociação ameaça sérios choques no mercado e nos usuários de aplicativos vulneráveis. Ao escolher uma plataforma de negociação, os traders devem prestar atenção não apenas à sua funcionalidade, mas também à segurança. É necessário usar as versões mais recentes dos aplicativos e instalar as atualizações lançadas pelo fornecedor a tempo.
Para comerciantes particulares que usam plataformas de negociação em seus dispositivos pessoais, os especialistas recomendam o uso de ferramentas antivírus e não o download de aplicativos de fontes não confiáveis. Não instale versões móveis de aplicativos em dispositivos com privilégios de root ou um jailbreak. Ao trabalhar com o terminal, não é recomendável conectar-se a redes inseguras, como pontos de acesso Wi-Fi públicos. Para impedir o acesso não autorizado à sua conta pessoal, você precisa usar a autenticação de dois fatores, se essa função for suportada pelo aplicativo.
Nos sistemas corporativos, um segmento separado da rede na qual os terminais de negociação estão localizados deve ser alocado e a proteção desse segmento deve ser fornecida. É necessário seguir as recomendações básicas para garantir um nível aceitável de segurança para os sistemas de informações corporativos e, em particular, para treinar funcionários nas regras de segurança da informação.
Por sua vez, os desenvolvedores de terminais comerciais precisam realizar regularmente testes de segurança de aplicativos e implementar um ciclo de desenvolvimento seguro. Para proteger as versões da Web das plataformas de negociação, os especialistas recomendam o uso de medidas de proteção preventiva, como um firewall no nível do aplicativo.
Na terça-feira, 16 de outubro, às 14:00 durante um webinar gratuito, o chefe do grupo de pesquisa de segurança de sistemas bancários da Positive Technologies, Yaroslav Babin, conversará mais sobre o estudo e fornecerá dicas sobre como escolher um aplicativo seguro para negociação.
Para participar do webinar, você deve se registrar .