Дії хакерів можуть призводити до обвалення котирувань акцій і курсів валют
Фахівці Positive Technologies провели аналіз захищеності додатків для трейдингу - торговельних терміналів, які дозволяють купувати і продавати акції, облігації, ф'ючерси, валюту та інші активи. Згідно з дослідженням, в 61% додатків можливе отримання несанкціонованого доступу до особистих кабінетах, в 33% - проведення фінансових операцій від імені інших користувачів без доступу до особистого кабінету, в 17% - підміна відображаються котирувань. Такі атаки можуть викликати зміну цін на ринку на користь зловмисника, спровокувати паніку на біржі і нанести значних фінансових збитків користувачам вразливих додатків.
Експерти вивчили торгові платформи, які популярні не тільки серед приватних трейдерів, а й широко використовуються в банках, інвестиційних фондах та інших організаціях, пов'язаних з біржовою торгівлею. Дослідження проводилися в відношенні клієнтських частин платформ. Були проаналізовані десктопні торгові термінали, а також мобільні (для Android і iOS) і веб-додатки для трейдингу.
У 61% додатків зловмисник може отримати контроль над особистим кабінетом користувача торгового терміналу. Це дозволить торгувати активами користувача, отримати інформацію про доступні засоби на балансі, підмінити параметри автоматичної торгівлі, переглянути історію операцій і заплановані операції. Перехоплення облікових даних в десктопних терміналах можливий при відсутності шифрування трафіку, а в мобільних додатках цьому сприяють root-права або jailbreak на пристрої. Доступ до особистого кабінету можна отримати і в деяких веб-версіях додатків, перехопивши сесію користувача.
Уразливості, виявлені експертами Positive Technologies в кожному третьому додатку, дозволяють стороннім особам здійснювати операції з продажу або купівлі акцій від імені користувача та без доступу до особистого кабінету. Зловмисник може збільшити вартість цікавлять його цінних паперів за допомогою масової покупки їх на чужих акаунтів або знизити вартість акцій, активно продаючи їх. Аналогічним чином можна маніпулювати курсами валют - якщо атака торкнеться великих гравців або велика кількість користувачів. Купівля та продаж біржових активів від чужого імені можлива як в десктопних, так і в мобільних і веб-терміналах.
Фахівці відзначають, що атаки на веб-версії торгових терміналів можуть носити масовий характер. Зловмисник може впровадити скрипт в веб-додаток або розмістити на іншому популярному сайті шкідливе посилання. Тоді від імені будь-якого користувача, який зайде в додаток або перейде по посиланню, виконається нелегітимна операція. Це дозволяє здійснювати атаки відносно великого числа учасників ринку.
Трейдер, який використовує вразливе додаток, ризикує також виявити, що реальна ситуація на фінансовому ринку не відповідає тому, що він бачить на екрані торгового терміналу. Підміна відображаються котирувань можлива в 17% додатків. Наприклад, в процесі аналізу десктопних додатків експертам вдалося підробити інтервальний графік виду «японські свічки», який відображає зміни котирувань за певні періоди.
Деякі десктопні програми дозволяють отримати контроль над комп'ютером трейдера, наприклад шляхом заміни файлу поновлення на шкідливе ПЗ. Як правило, для атаки на торгові термінали для комп'ютера або мобільних пристроїв зловмисникові потрібні особливі умови, такі як можливість перехоплювати трафік або фізичний доступ до пристрою. Однак в разі цільової атаки на крупного гравця мотивація злочинця може бути цілком достатньою, щоб такі умови забезпечити. У звіті про дослідження згадується інцидент, що стався в лютому 2015 року, коли на ринок протягом декількох хвилин були виведені пропозиції з продажу 500 млн дол. (В результаті кібератаки або помилки оператора банку), що різко знизило курс американської валюти, дозволило іншим учасникам ринку придбати долари за заниженою ціною і завдало банку величезні збитки.