交易平台開發者和操作員需要注意哪些事項?
全球股票市場2019年增長了17萬億美元,儘管市場受到新冠肺炎疫情的巨大打擊,人們的投資熱情卻絲毫未減。自2020年初以來,股票交易應用程式的用戶數量也呈現增長趨勢。
另一方面,交易者的資產和個人數據成為了網路不法分子的目標,一旦發生任何安全事故,交易平台將必須承擔相應的後果。在這篇文章中,我們將討論金融科技公司面臨的主要網路安全問題以及如何解決。
應用程式漏洞
交易平台與其他任何軟體一樣存在安全漏洞。2018年,網路安全專家亞歷杭德羅·埃爾南德斯(Alejandro Hernandez)在79個此類應用程式中發現了漏洞,包括明文儲存或傳輸數據(任何人都可以瀏覽甚至篡改數據),以及不自動註銷長期沒有操作的用戶,還有允許用戶使用弱密碼的程式設計缺陷。
一年後,ImmuniWeb的分析員也進行了類似的研究,並得出了同樣負面的結論:在他們測試的100項金融科技開發項目中,全部都存在或多或少的安全漏洞。網頁程式和移動應用程式中都存在著問題,其中許多問題是由程式員使用的第三方代碼和工具所導致。對於某些漏洞,更新檔程式實際上早已存在,但它們卻從未被下載安裝,其中有一個更新檔早在2012年便被發佈,但是該金融科技應用程式的作者卻從來沒有安裝過它。
可以肯定的是,如果項目存在安全問題,那麼必然會廣為人知,這很可能會損害公司聲譽並造成客戶流失。另外,如果應用程式的漏洞導致用戶數據洩露或出現財產損失,那麼開發人員將會面臨巨額罰款或被迫支付賠償金。
在某些情況下,平台的擁有者是唯一的受害者。例如,Robinhood交易軟體的作者未能發現程式中的一個漏洞,導致高級用戶可以從平台無限次借款進行證券交易,其中一位僅有4000美元的存款的用戶成功借走100萬美元。後來交易員將此事戲稱為”無限金錢作弊碼”。
為了避免來自程式漏洞的損失,交易平台編碼人員需要在開發階段考慮安全性相關問題,事先考慮例如自動用戶註銷、加密和禁止過於簡單的密碼之類的事情。他們還應定期審查代碼中的錯誤並及時修復。
攻擊供應鏈
為了縮減時間和成本,許多公司在會編寫自己代碼的同時,還會運用第三方機構的開發方案、框架和服務。如果供應商的基礎架構遭到入侵,那麼使用它的公司也會蒙受損失。
例如,外匯交易商激石金融公司就遭受了上述攻擊。2020年8月,網路犯罪分子攻擊了激石公司網路承包商的電腦,從而獲得了公司CRM(客戶關係管理)系統的訪問權限。儘管此次入侵被迅速發現制止,但攻擊者仍然設法竊取了一些客戶的數據。公司聲稱其財務和交易系統並未受到影響。即使是第三方代碼的責任,公司仍然要為數據洩漏付出昂貴的代價。
為了避免潛在的危害,請選用可靠、安全意識強的合作夥伴,並且不要過分依賴對方的保護機制。金融行業的每一家公司,都應當採取嚴格的安全策略。
魚叉式網路釣魚
人為因素通常是導致網路安全事故的主要原因。這就是為什麼攻擊者利用公司員工來滲透企業基礎架構。
在這方面,網路安全研究人員於今年7月將一系列針對歐盟、英國、加拿大和澳大利亞金融科技機構的攻擊和APT組織Evilnum聯繫起來。網路犯罪分子向公司員工發送電子郵件,並附帶一個連結指向儲存在合法雲服務上的ZIP檔案。這些郵件偽裝成商業通訊,ZIP檔案文件內容偽裝成文檔或圖像。雖然文件或圖像確實可以顯示在螢幕上,但是打開它們將會導致一系列感染。
有時,攻擊者會闖入公司電子郵件帳戶,這讓他們的釣魚行為看上去可信度更高。今年8月,沃途金融公司遭到了這樣的攻擊。公司發言人稱,網路犯罪分子進入了一位高管的信箱,並花了兩週時間向會計部門發送電子郵件,示意他們將一大筆資金轉移到國外,最後公司為此付出了1100萬美元的代價。
為了避免此類攻擊,網路安全人員需要進行適當的培訓。請總結網路釣魚危險訊號清單,並在同事、合作夥伴或客戶要求(或有意圖要求)你向陌生人轉帳時根據清單採取一系列措施。
客戶問題
有時,儘管你的公司或應用程式沒有出現安全問題,用戶也可能因為下載惡意軟體、在釣魚網站上輸入密碼或以其他不安全行為而遭到經濟損失。但是,他們可能將矛頭指向交易平台,在某些國家,公司在法律上有義務至少弄清楚發生了什麼。因此,請不時地警告用戶交易中潛在的危險,並敦促他們保護自己(也間接保護你的公司)。
同時,你也需要定期提醒客戶,任何第三方軟體都可能會構成威脅,尤其是盜版或從可疑網站來源處獲得的軟體。例如,它可能會竊取密碼,包括用於交易帳戶的密碼。
你還需要警告客戶,網路罪犯可能會冒充你的公司來竊取他的登錄憑證訊息。你需要建議他們注意涉及到和公司相關問題的電子郵件,並仔細檢查發件人的地址和郵件中是否出現拼寫錯誤以及語法是否正式。
建議他們在有疑問時請中手動輸入URL、打開應用程式或呼叫客服。
如何保護你的資金和名譽
資金處理平台需要肩負重大責任,而忽視安全性可能會使金融科技公司遭受巨大損失。因此請通過以下方法保護你的資金和名譽:
- 監控應用程式的安全性,掃描它們是否存在漏洞,立即處理程式錯誤和漏洞。
- 在工作設備上安裝可靠的安全解決方案,最好是基於雲的解決方案,並且可以通過單個控制面板進行管理。
- 對員工進行培訓,確保他們了解網路安全的基本知識,這樣他們就不會犯一些不必要的錯誤,導致企業和客戶浪費金錢和精力。
- 針對員工和第三方供應商使用最嚴格的實用安全策略。
- 提醒客戶,他們資金的安全性在很大程度上取決於自己本身的安全程度。建議他們在進行交易的設備上安裝安全解決方案,並且不要安裝其他垃圾程式。
- 要從開發流程的開始便實施安全機制,最起碼要做到禁止弱密碼、採用加密並自動註銷長期不活躍用戶。
資料來源: https://www.kaspersky.com/blog/security-tips-for-trading-platforms/37856/