W 2019 roku globalny rynek papierów wartościowych osiągnął wartość 17 kwintylionów dolarów, a mimo strat, jakie światowe rynki poniosły przez pandemię, zainteresowanie inwestycjami nie zmalało. Od początku 2020 roku liczba użytkowników aplikacji służących do handlu wzrosła.
Jak wiadomo, aktywa i dane osobowe e-handlowców stanowią atrakcyjny łup dla cyberprzestępców, a konsekwencje wystąpienia incydentu spadają na operatorów platform handlowych. Dziś opowiem o najważniejszych zagrożeniach dla firm oraz o tym, jak się przed nimi chronić.
Luki w aplikacjach
Jak każde inne oprogramowanie, platformy handlowe mają luki. W 2018 roku ekspert bezpieczeństwa Alejandro Hernandez znalazł luki w 79 takich aplikacjach. Polegały one nie tylko na braku stosowania szyfrowania podczas przechowywania czy przesyłania danych (każdy mógł je zobaczyć i zmienić), ale też braku wylogowywania użytkowników po pewnym czasie nieaktywności. Z kolei luki powstałe już na etapie projektowania aplikacji polegały na dopuszczaniu stosowania przez użytkowników słabych haseł.
Rok później analityk z firmy ImmuniWeb przeprowadził podobne badanie i doszedł do równie negatywnego wniosku: na 100 przetestowanych aplikacji z branży fintech wszystkie były w jakimś stopniu podatne na zagrożenia. Problemy znajdowano zarówno w aplikacjach webowych, jak i mobilnych, a wiele błędów zostało odziedziczonych od firm trzecich i narzędzi, jakich użyli programiści. Dla części z tych luk od dawna dostępne były łaty, które jednak nie zostały zainstalowane. Jedna z takich łat została udostępniona w 2012 roku, ale autorzy aplikacji z dziedziny technologii finansowych nigdy jej nie zainstalowali.
Gdy program ma problem z bezpieczeństwem, może to potencjalnie zaszkodzić reputacji firmy i odstraszyć klientów. A jeśli w efekcie błędu w aplikacji użytkownicy doświadczą wycieku danych lub utraty pieniędzy, producent może zostać ukarany wysoką grzywną lub zostać zobowiązany do pokrycia szkód.
Czasami jedyną ofiarą są sami twórcy platformy. Na przykład autorzy aplikacji handlowej Robinhood nie zauważyli błędu, który umożliwiał użytkownikom premium pożyczanie nielimitowanych kwot pieniędzy z platformy do handlu papierami wartościowymi — pewien użytkownik pożyczył milion dolarów, wpłacając kaucję w wysokości zaledwie 4 000 dolarów. Handlowcy nazwali tę wpadkę „oszukańczym kodem do nieskończonych pieniędzy”.
Aby uniknąć strat wynikających z takich błędów i luk, programiści platform handlowych muszą uwzględniać bezpieczeństwo już na etapie rozwoju, myśląc zawczasu o takich aspektach jak automatyczne wylogowywanie użytkownika, szyfrowanie czy narzucenie konieczności stosowania silnego hasła. Powinni również regularnie przeglądać kod pod kątem błędów i szybko je eliminować.
Ataki na łańcuch dostaw
Aby oszczędzić czas i pieniądze, większość firm nie tylko samodzielnie pisze własny kod, ale także stosuje programy, architektury i usługi innych firm. Jeśli infrastruktura dostawcy zostanie zhakowana, ucierpi również inna korzystająca z niej firma.
Taka sytuacja przydarzyła się brokerowi walutowemu Pepperstone. W sierpniu 2020 roku cyberprzestępcy zainfekowali komputery firmy wykonawczej, zdobywając dostęp do jej kont w systemie CRM Pepperstone. Chociaż włamanie zostało szybko zneutralizowane, atakujący mogli ukraść dane niektórych klientów. Chociaż ostatecznie broker poinformował, że jego systemy finansowe i handlowe nie ucierpiały, warto przy tej okazji przypomnieć, że wycieki danych mogą być bardzo kosztowne dla firm – nawet jeśli winny jest kod firmy trzeciej.
Aby uniknąć potencjalnych problemów, zawszy wybieraj niezawodnych partnerów zorientowanych na bezpieczeństwo i nigdy nie polegaj tylko na ich mechanizmach ochrony. Każda firma z obszaru finansów powinna stosować rygorystyczną politykę bezpieczeństwa.
Phishing ukierunkowany
Często przyczyną cyberincydentów jest czynnik ludzki. Atakujący wykorzystują pracowników wybranej firmy, aby przedostać się do jej infrastruktury.
W lutym bieżącego roku badacze cyberbezpieczeństwa skojarzyli serię ataków na instytucje z branży fintech w Unii Europejskiej, Wielkiej Brytanii, Kanadzie i Australii z ugrupowaniem APT o nazwie Evilnum. Cyberprzestępcy wysyłali do pracowników firmy e-maile zawierające łącze do archiwum ZIP umieszczonego w legalnej chmurze. Wiadomości były przygotowane tak, aby przypominały firmową korespondencję, a zawartość archiwum imitowała dokumenty i obrazy. Chociaż obiecany dokument lub obraz pojawiał się na ekranie, otwarcie go uruchamiało lawinę infekcji.
Czasami atakujący włamują się do firmowych kont e-mail, co sprawia, że ich wiadomości phishingowe są jeszcze bardziej przekonujące. W sierpniu tego roku takiego ataku doświadczyła firma handlowa Virtu. Według jej przedstawicieli cyberprzestępcy dostali się do skrzynki pocztowej menedżera wysokiego szczebla i przez dwa tygodnie wysyłali do działu księgowości e-maile zawierające instrukcje przelewu dużych kwot pieniężnych do Chin. Ślepe zaufanie kosztowało firmę niemal 11 milionów dolarów.
Aby odeprzeć takie ataki, personel ds. bezpieczeństwa wymaga odpowiedniego przeszkolenia. Przygotuj listę oznak phishingu w wiadomościach e-mail i użyj ich do przygotowania schematu działania na wypadek, gdyby rzekomy kolega z pracy, partner lub klient poprosił Cię o wysłanie kilku milionów — albo trochę mniej — do nieznanej Ci osoby.
Problemy związane z klientami
Czasami użytkownicy tracą pieniądze nie z winy firmy lub aplikacji — ale przez pobranie szkodliwego programu, wprowadzenie danych logowania na stronach phishingowych lub jakieś inne nieodpowiedzialne zachowanie. Wówczas także zgłaszają roszczenia do platformy handlowej. W niektórych krajach firmy mają obowiązek przynajmniej sprawdzenia, co się stało, więc warto od czasu do czasu ostrzec handlowców o potencjalnych zagrożeniach i przypomnieć im o konieczności autoochrony (co przy okazji zwiększy Twój poziom ochrony).
Dobrym pomysłem jest także okresowe przypominanie klientom, że każde oprogramowanie firm trzecich, szczególnie jeśli jest to kopia piracka lub uzyskana z wątpliwych źródeł, może stwarzać zagrożenie. Może ono na przykład kraść hasła, w tym te do kont handlowych.
Ostrzeż klientów, że cyberprzestępcy mogą podszywać się pod Twój serwis, aby wyłudzać ich dane logowania. Poradź im, aby zwracali szczególną uwagę na e-maile informujące o problemach z usługą, a także dokładnie sprawdzali adres nadawcy i wiadomości pod kątem literówek i niepoprawnej gramatyki. Przypomnij, aby ręcznie wprowadzali adres strony w pasku przeglądarki, otwierali aplikacje, a w razie wątpliwości zadzwonili do pomocy klienta.
Jak chronić swoje pieniądze i reputację
Praca z pieniędzmi to duża odpowiedzialność, a ignorowanie bezpieczeństwa może słono kosztować firmy z branży fintech. Dlatego:
- Monitoruj poziom bezpieczeństwa swoich aplikacji i programów. Skanuj je w poszukiwaniu luk i nie toleruj żadnych anomalii.
- Na urządzeniach wykorzystywanych do pracy zainstaluj niezawodne rozwiązanie bezpieczeństwa, najlepiej takie, które wykorzystuje chmurę i jest zarządzane za pośrednictwem pojedynczego panelu sterowania.
- Naucz pracowników podstaw cyberbezpieczeństwa, aby nie popełniali błędów, które mogą być źródłem niepotrzebnego stresu i strat finansowych zarówno dla Ciebie, jak i Twoich klientów.
- Wobec pracowników i dostawców zewnętrznych stosuj najbardziej rygorystyczną i praktyczną politykę bezpieczeństwa.
- Przypominaj klientom, że bezpieczeństwo ich pieniędzy zależy w dużej mierze od nich samych. Zaleć im zainstalowanie rozwiązania bezpieczeństwa na urządzeniu, którego używają do handlu, a także dbałość o to, aby było wolne od niepotrzebnych aplikacji.
- Od początku implementuj w swoich programach mechanizmy bezpieczeństwa. Wiąże się to z zablokowaniem stosowania słabych haseł, używaniem szyfrowania i automatycznym wylogowywaniem nieaktywnych użytkowników.