توسعه دهندگان و اپراتورهای پلتفرم معاملاتی چه چیزی را باید در نظر داشته باشند؟
30 نوامبر 2020
در سال 2019، بازار سهام جهانی 17 تریلیون دلار رشد کرد و علیرغم اینکه بازارهای جهانی - به بیان خفیف - توسط این بیماری همه گیر آسیب دیده اند، علاقه به سرمایه گذاری از بین نرفته است. از ابتدای سال 2020، تعداد کاربران اپلیکیشن های تجاری تنها افزایش یافته است.
از جنبه منفی، دارایی ها و داده های شخصی معامله گران الکترونیک طعمه جذابی برای مجرمان سایبری است و در صورت بروز حادثه، این اپراتورهای پلت فرم معاملاتی هستند که باید با عواقب آن مقابله کنند. در این پست در مورد تهدیدهای اصلی شرکت ها و نحوه شکست دادن آنها صحبت می کنیم.
آسیب پذیری های اپلیکیشن
مانند هر نرم افزاری، پلتفرم های معاملاتی دارای آسیب پذیری هایی هستند. در سال 2018، الخاندرو هرناندز، کارشناس امنیت سایبری، حفره هایی را در 79 برنامه از جمله استفاده نکردن از رمزگذاری برای ذخیره یا انتقال داده ها (هرکسی می تواند آن را ببیند یا تغییر دهد) و عدم خروج کاربران پس از مدتی عدم فعالیت را پیدا کرد. اشکالات در سطح طراحی شامل اجازه دادن به رمزهای عبور ضعیف بود.
یک سال بعد، تحلیلگران ImmuniWeb تحقیقات مشابهی انجام دادند و به یک نتیجه منفی رسیدند: از 100 پیشرفت فینتک که آزمایش کردند، همه تا حدی آسیبپذیر بودند. مشکلاتی هم در برنامههای وب و هم در برنامههای تلفن همراه، با بسیاری از اشکالات به ارث رسیده از توسعهها و ابزارهای شخص ثالث مورد استفاده توسط برنامهنویسان، مشاهده شد. برای برخی از آسیبپذیریها، وصلهها از مدتها پیش وجود داشتند اما اعمال نشده بودند. یکی از این پچ ها در سال 2012 منتشر شد، اما نویسندگان برنامه فین تک هرگز موفق به نصب آن نشدند.
همانطور که شب بعد از روز می آید، اگر محصولی دارای مشکلات امنیتی باشد، خود را معرفی می کند و به طور بالقوه به اعتبار شرکت ها آسیب می رساند و مشتریان را می ترساند. و اگر در نتیجه یک اشکال در یک برنامه، کاربران دچار نشت اطلاعات یا ضرر مالی شوند، توسعه دهنده ممکن است با جریمه بزرگی روبرو شود یا مجبور به پرداخت خسارت شود.
گاهی اوقات، سازنده یک پلتفرم تنها قربانی است. به عنوان مثال، نویسندگان اپلیکیشن معاملاتی Robinhood نتوانستند اشکالی را شناسایی کنند که به کاربران ممتاز اجازه میداد تا وجوه نامحدودی را از پلتفرم برای معامله اوراق بهادار قرض بگیرند - و یک کاربر یک میلیون دلار در برابر سپردهای به مبلغ 4000 دلار قرض گرفت. معامله گران آن را "کد تقلب پول بی نهایت" نامیدند.
برای جلوگیری از ضررهای مرتبط با اشکالات و آسیب پذیری ها ، رمزگذارهای بستر های نرم افزاری باید در مرحله توسعه امنیت را در نظر بگیرند ، از قبل در مورد مواردی مانند ورود خودکار کاربر ، رمزگذاری و ممنوعیت گذرواژه های ضعیف فکر کنند. آنها همچنین باید به طور مرتب کد را برای خطاها مرور کرده و سریعاً آنها را برطرف کنند.
حملات زنجیره تأمین
برای صرفه جویی در وقت و هزینه ، بیشتر شرکت ها نه تنها کد خود را می نویسند ، بلکه از پیشرفت ها ، چارچوب ها و خدمات شخص ثالث نیز استفاده می کنند. اگر زیرساخت های ارائه دهنده به خطر بیفتد ، شرکت هایی که از آن استفاده می کنند نیز می توانند رنج ببرند.
به عنوان مثال این اتفاقی است که برای کارگزار ارز Pepperstone افتاد. در آگوست سال 2020 ، مجرمان سایبری رایانه های یک پیمانکار شرکت را آلوده کردند و به حساب خود در سیستم CRM Pepperstone دسترسی پیدا کردند. اگرچه این شکست به سرعت خنثی شد ، مهاجمان هنوز هم موفق به سرقت برخی از داده های مشتری شدند. این کارگزار می گوید سیستم های مالی و تجاری آن تحت تأثیر قرار نگرفته است. به همین ترتیب ، به یاد بیاورید که نشت داده ها حتی اگر کد شخص ثالث مقصر باشد ، می تواند برای شرکت ها بسیار پرهزینه باشد.
برای جلوگیری از سوختگی های احتمالی ، همیشه شرکای قابل اعتماد و امنیتی را انتخاب کنید و هرگز به تنهایی به مکانیسم های محافظت از آنها اعتماد نکنید. هر شرکتی در زمینه دارایی باید یک سیاست امنیتی سختگیرانه اتخاذ کند.
نیزه
عامل انسانی غالباً عامل سایبری است. به همین دلیل مهاجمان از کارمندان شرکت برای نفوذ در زیرساخت های شرکت استفاده می کنند.
در این زمینه ، در ژوئیه سال جاری ، محققان امنیت سایبری مجموعه ای از حملات به مؤسسات fintech در اتحادیه اروپا ، انگلیس ، کانادا و استرالیا را به گروه مناسب Evilnum متصل کردند. مجرمان سایبری با پیوندی به بایگانی زیپ که در یک سرویس ابری مشروعیت میزبانی شده بود ، نامه های الکترونیکی را برای کارمندان شرکت ارسال کرد. پیام ها به عنوان مکاتبات تجاری مبدل شدند و محتویات بایگانی به عنوان اسناد یا تصاویر. اگرچه سند یا تصویر وعده داده شده روی صفحه نمایش داده می شود ، اما باز کردن آن زنجیره عفونت را در حال حرکت است.
بعضی اوقات مهاجمان وارد حساب های نامه الکترونیکی شرکت می شوند ، که باعث می شود فیشینگ آنها حتی قانع کننده تر شود. در آگوست سال جاری ، چنین حمله ای به شرکت تجاری Virtu رسید. به گفته نمایندگان شرکت ، مجرمان سایبری وارد صندوق پستی یک مدیر ارشد شدند و دو هفته دیگر با دستورالعمل انتقال مبالغ زیادی به چین ، دو هفته آینده را برای ارسال نامه های الکترونیکی به بخش حسابداری گذراندند. اعتماد کور این شرکت را نزدیک به 11 میلیون دلار هزینه کرد.
برای دفع چنین حملاتی ، کارکنان امنیت سایبری نیاز به آموزش مناسب دارند. لیستی از پرچم های قرمز فیشینگ را در نامه های الکترونیکی جمع کنید و از آن برای مهندسی یک دوره عملی استفاده کنید در صورتی که یک همکار ، شریک یا مشتری از شما بخواهد (یا به نظر می رسد از شما می خواهد) چند میلیون نفر را ارسال کنید-یا حتیکمی کمتر از آن - به جین دوه.
مشکلات مشتری
بعضی اوقات کاربران با هیچ گونه تقصیر شرکت یا برنامه شما - با بارگیری بدافزار ، وارد کردن رمزهای عبور در سایت های فیشینگ یا در غیر این صورت غیر مسئولانه ، پول خود را از دست می دهند. در اینجا ، افسوس ، آنها ممکن است علیه سکوی معاملاتی ادعا کنند. در برخی از کشورها ، شرکت ها از نظر قانونی حداقل برای فهمیدن آنچه اتفاق افتاده است ، محدود هستند ، بنابراین ارزش دارد هر از گاهی به معامله گران هشدار دهد که در مورد خطرات احتمالی و آنها را ترغیب می کند تا از خود محافظت کنند (و به طور کامل شما).
همچنین ایده خوبی است که به طور دوره ای به مشتریان یادآوری کنیم که هر نرم افزار شخص ثالث ، به ویژه اگر دزدان دریایی یا از منابع مشکوک به دست آمده باشد ، می تواند تهدیدی را ایجاد کند. به عنوان مثال ، ممکن است رمزهای عبور ، از جمله مواردی را برای حسابهای تجاری سرقت کند.
به مشتریان هشدار دهید که مجرمان سایبری ممکن است به عنوان خدمات شما برای استخراج اعتبار خود مطرح شود. به آنها توصیه کنید که در مورد مشکلات مربوط به خدمات ، به نامه های الکترونیکی توجه زیادی کنند و آدرس فرستنده و پیام برای تایپ و گرامر بد را با دقت بررسی کنند. توصیه می کنند که آنها به صورت دستی در یک مرورگر وارد URL شوند ، برنامه را باز کنید یا در صورت بروز هرگونه شک با پشتیبانی مشتری تماس بگیرید.
چگونه می توان از پول و شهرت خود محافظت کرد
رسیدگی به پول با مسئولیت بسیار خوبی همراه است و غفلت از امنیت می تواند برای شرکت های Fintech هزینه زیادی داشته باشد. از این رو:
