Блог им. babaykin
Друзья и коллеги часто задают мне вопросы о безопасности хранения средств на брокерских счетах. А я даже не знаю, что ответить, потому что сам плохо разбираюсь в этом. Позвал в гости профессионала. Представляю вам Ярослава Бабина, руководителя отдела анализа защищенности веб-приложений компании Positive Technologies.
Ярослав Бабин, Руководитель отдела анализа защищенности веб-приложений Positive Technologies.Чем занимается ваша организация?
Мы работаем в сфере кибербезопасности, создаем инновационные продукты, сервисы и решения, которые помогают компаниям и предприятиям, в частности, финансового сектора, выявлять и нейтрализовать реальные бизнес-риски, которые могут возникать в их IT-инфраструктуре.
А еще мы визионеры в мире информационной безопасности, делаем ряд амбициозных проектов, например, The Standoff и PHDays, где визуализируем жизнь цифрового города, наглядно показываем мир кибербезопасности и IT.
Мы часто слышим сообщения о взломе банковских счетов. Но я ни разу не слышал о том, чтобы деньги уводили с брокерских счетов. Такое бывает? Насколько надежная сейчас защита у брокеров?
С финансовой точки зрения злоумышленникам выгодно совершать атаки, которые легко масштабировать. Другими словами, в данный момент у них в приоритете мошенничество с банковскими счетами, так как они есть практически у каждого из нас.
Тем не менее, сейчас мы наблюдаем тенденцию к увеличению числа брокерских счетов – двукратный рост числа открытия таких счетов выявлен в период с февраля 2020-го по февраль этого года. Поэтому, возможно, скоро станет известно и об атаках на клиентов брокеров.
Вдобавок, согласно результатам исследования, проведенного нашей компанией в 2018 году, в рамках которого мы изучали безопасность различных клиентских приложений для торговли на бирже (десктоп, мобильных и веб-приложений), каждое второе приложение (61%) имеет уязвимость, через которую злоумышленники могут украсть данные для авторизации в приложении, а в каждом третьем приложении преступники могут совершить операции от имени пользователей.
Для физических лиц это может оказаться не таким критичным, тогда как управляющие компании, где суммы сделок велики, могут понести огромные потери.
Не совсем понимаю, зачем злоумышленникам доступ к моему брокерскому счету. Ведь деньги он может вывести только на мои же банковские реквизиты.
В каждом приложении процесс вывода средств реализован по-своему. Например, одни предоставляют вывод денег на любые платежные данные, другие – и вовсе не запрашивают какое-либо подтверждение, даже привычную двухфакторную аутентификацию (2FA).
Отмечу, что даже если в приложении сам процесс реализован корректно, это не исключает наличия уязвимостей – ежегодно в финансовых приложениях мы находим ошибки, позволяющие получить информацию о счетах пользователей (100%), вывести деньги со счета (54%), совершить перевод от имени другого пользователя или обойти двухфакторную аутентификацию (77%).
Я слышал, что злоумышленники могут сменить владельца SIM-карты по поддельной доверенности. Чем это грозит инвестору? И как от этого защититься?
Сегодня операторы связи позволяют сменить владельца SIM-карты. Для этого существующий владелец и новый должны вместе прийти в любой офис оператора связи и предъявить свои паспорта для переоформления номера. Вместе с тем, новому владельцу номера разрешается принести с собой нотариально заверенную доверенность от старого владельца на передачу номера и так же совершить процедуру переоформления.
Опасность состоит в том, что доверенность подделать гораздо легче, чем паспорт. Такие случаи относятся не к инцидентам в сфере кибербезопасности, а к преступлениям, касающимся подделки официальных документов, за совершение которых предусмотрена уголовная ответственность.
Как бы то ни было, в случае кражи номера необходимо выполнить стандартные действия:
Но для 2FA лучше всего использовать TOTP, если такая функция есть в приложении. Этот способ намного надежнее, чем одноразовые пароли в СМС.
Допустим, телефон потерян или украден. На нем стоит брокерское приложение. На телефоне нет пароля. Чем это грозит инвестору? И как тут действовать? Работать на опережение?
В этой ситуации все зависит от многих факторов, например, наличия уязвимостей в приложении для торговли, дополнительной аутентификации, ошибок в реализации функциональности вывода средств, но в худшем случае – да, злоумышленник сможет вывести деньги, поэтому при потере телефона советую незамедлительно заблокировать удаленно и смартфон, и SIM-карту.
Сегодня легко достать персональную информацию почти любого человека. Думаю, что информацию об активах на брокерских счетах тоже можно получить. Можно ли противостоять таким утечкам? Если да, то как?
К сожалению, рядовые клиенты ничего не могут сделать, так как вся ответственность за безопасность пользователей лежит на брокере и его службе ИБ. В некоторых приложениях иногда есть настройки, позволяющие снизить риск мошенничества.
Так, в первую очередь необходимо включить двухфакторную аутентификацию везде, где это возможно, а также настроить отправку уведомлений обо всех событиях, которые происходят с брокерским счетом.
И самое главное использовать разные пароли для каждого сервиса, потому что при компрометации одного пароля злоумышленники смогут зайти с этим паролем в другие сервисы.
Мошенники часто используют доверие людей и социальную инженерию. Я встречал коллег, которые подходили к безопасности с мышлением параноика. Не ставить брокерские приложения на телефон, отдельный компьютер для инвестирования, отдельная сеть, отдельный софт. Оправданы ли такие меры?
Это может помочь, ведь главный принцип злоумышленников – выбрать наименее защищенную цель. Однако, использование абсолютно всех возможных методов защиты, на мой взгляд, не всегда разумно. Достаточно быть более защищенным, чем другие пользователи.
В чем опасность мобильных приложений для торговли акциями?
По данным нашего исследования, в большинстве случаев мобильные приложения для трейдинга имеют ошибки безопасности, допускающие проведение фишинговых атак на пользователей. Со своей стороны, к самым критичным угрозам безопасности я бы все же отнес подмену информации о ценах, кражу учетных данных и возможность подбора PIN-кода приложения (например, в случае, когда пользователь потерял телефон, на котором не стоит пароль).
Куда еще целятся злоумышленники? Есть ли еще точки уязвимости?
В финансовом секторе сейчас происходит серьезная модернизация технологий, в ходе которой мы наблюдаем уход от классических уязвимостей в сторону уязвимости логики приложений. Речь идет о целом ряде ошибок, которые позволяют обходить одноразовые пароли, переводить с чужих счетов, просматривать конфиденциальную информацию о клиентах, а порой и выводить денежные средства.
Как правило, по отдельности такие уязвимости не критичны. Однако их одновременное существование в рамках одного приложения может обернуться огромной потерей средств.
Ставьте лайк, если интервью понравилось.
Подписывайтесь на самый нескучный Youtube-канал по инвестициям «На пенсию в 35 лет».
По поводу «не слышал чтоб взламывали брокерский счёт» — я слышал один раз, было это давно. И расследование пришло к выводу что пользователь сам виноват, не уберёг свои логин/пароль и ключ от Квика.
По поводу, что нельзя вывести деньги с брокерского счёта, то же не всё сказали. Например, есть метод «переливания» на мало ликвидных инструментах. С взломанного счёта на свой.
Пароль + SMS не катит, так как пароль снимается смской
То есть по сути клочь — только одна лишь сим-карта, и не надо про паспортные данные писать