金融科技安全指南

交易平台开发者和操作员需要注意哪些事项?

全球股票市场2019年增长了17万亿美元,尽管市场受到新冠肺炎疫情的巨大打击,人们的投资热情却丝毫未减。自2020年初以来,股票交易应用程序的用户数量也呈现增长趋势。

另一方面,交易者的资产和个人数据成为了网络不法分子的目标,一旦发生任何安全事故,交易平台将必须承担相应的后果。在这篇文章中,我们将讨论金融科技公司面临的主要网络安全问题以及如何解决。

应用程序漏洞

交易平台与其他任何软件一样存在安全漏洞。2018年,网络安全专家亚历杭德罗·埃尔南德斯(Alejandro Hernandez)在79个此类应用程序中发现了漏洞,包括明文存储或传输数据(任何人都可以浏览甚至篡改数据),以及不自动注销长期没有操作的用户,还有允许用户使用弱密码的程序设计缺陷。

一年后,ImmuniWeb的分析员也进行了类似的研究,并得出了同样负面的结论:在他们测试的100项金融科技开发项目中,全部都存在或多或少的安全漏洞。网页程序和移动应用程序中都存在着问题,其中许多问题是由程序员使用的第三方代码和工具所导致。对于某些漏洞,补丁程序实际上早已存在,但它们却从未被下载安装,其中有一个补丁早在2012年便被发布,但是该金融科技应用程序的作者却从来没有安装过它。

可以肯定的是,如果项目存在安全问题,那么必然会广为人知,这很可能会损害公司声誉并造成客户流失。另外,如果应用程序的漏洞导致用户数据泄露或出现财产损失,那么开发人员将会面临巨额罚款或被迫支付赔偿金。

在某些情况下,平台的拥有者是唯一的受害者。例如,Robinhood交易软件的作者未能发现程序中的一个漏洞,导致高级用户可以从平台无限次借款进行证券交易,其中一位仅有4000美元的存款的用户成功借走100万美元。后来交易员将此事戏称为”无限金钱作弊码”。

为了避免来自程序漏洞的损失,交易平台编码人员需要在开发阶段考虑安全性相关问题,事先考虑例如自动用户注销、加密和禁止过于简单的密码之类的事情。他们还应定期审查代码中的错误并及时修复。

攻击供应链

为了缩减时间和成本,许多公司在会编写自己代码的同时,还会运用第三方机构的开发方案、框架和服务。如果供应商的基础架构遭到入侵,那么使用它的公司也会蒙受损失。

例如,外汇交易商激石金融公司就遭受了上述攻击。2020年8月,网络犯罪分子攻击了激石公司网络承包商的电脑,从而获得了公司CRM(客户关系管理)系统的访问权限。尽管此次入侵被迅速发现制止,但攻击者仍然设法窃取了一些客户的数据。公司声称其财务和交易系统并未受到影响。即使是第三方代码的责任,公司仍然要为数据泄漏付出昂贵的代价

为了避免潜在的危害,请选用可靠、安全意识强的合作伙伴,并且不要过分依赖对方的保护机制。金融行业的每一家公司,都应当采取严格的安全策略。

鱼叉式网络钓鱼

人为因素通常是导致网络安全事故的主要原因。这就是为什么攻击者利用公司员工来渗透企业基础架构。

在这方面,网络安全研究人员于今年7月将一系列针对欧盟、英国、加拿大和澳大利亚金融科技机构的攻击和APT组织Evilnum联系起来。网络犯罪分子向公司员工发送电子邮件,并附带一个链接指向存储在合法云服务上的ZIP档案。这些邮件伪装成商业通信,ZIP档案文件内容伪装成文档或图像。虽然文件或图像确实可以显示在屏幕上,但是打开它们将会导致一系列感染。

有时,攻击者会闯入公司电子邮件账户,这让他们的钓鱼行为看上去可信度更高。今年8月,沃途金融公司遭到了这样的攻击。公司发言人称,网络犯罪分子进入了一位高管的邮箱,并花了两周时间向会计部门发送电子邮件,示意他们将一大笔资金转移到国外,最后公司为此付出了1100万美元的代价。

为了避免此类攻击,网络安全人员需要进行适当的培训。请总结网络钓鱼危险信号清单,并在同事、合作伙伴或客户要求(或有意图要求)你向陌生人转账时根据清单采取一系列措施。

客户问题

有时,尽管你的公司或应用程序没有出现安全问题,用户也可能因为下载恶意软件、在钓鱼网站上输入密码或以其他不安全行为而遭到经济损失。但是,他们可能将矛头指向交易平台,在某些国家,公司在法律上有义务至少弄清楚发生了什么。因此,请不时地警告用户交易中潜在的危险,并敦促他们保护自己(也间接保护你的公司)。

同时,你也需要定期提醒客户,任何第三方软件都可能会构成威胁,尤其是盗版或从可疑网站来源处获得的软件。例如,它可能会窃取密码,包括用于交易账户的密码。

你还需要警告客户,网络罪犯可能会冒充你的公司来窃取他的登录凭证信息。你需要建议他们注意涉及到和公司相关问题的电子邮件,并仔细检查发件人的地址和邮件中是否出现拼写错误以及语法是否正式。

建议他们在有疑问时请中手动输入URL、打开应用程序或呼叫客服。

如何保护你的资金和名誉

资金处理平台需要肩负重大责任,而忽视安全性可能会使金融科技公司遭受巨大损失。因此请通过以下方法保护你的资金和名誉:

  • 监控应用程序的安全性,扫描它们是否存在漏洞,立即处理程序错误和漏洞。
  • 在工作设备上安装可靠的安全解决方案,最好是基于云的解决方案,并且可以通过单个控制面板进行管理。
  • 对员工进行培训,确保他们了解网络安全的基本知识,这样他们就不会犯一些不必要的错误,导致企业和客户浪费金钱和精力。
  • 针对员工和第三方供应商使用最严格的实用安全策略。
  • 提醒客户,他们资金的安全性在很大程度上取决于自己本身的安全程度。建议他们在进行交易的设备上安装安全解决方案,并且不要安装其他垃圾程序。
  • 要从开发流程的开始便实施安全机制,最起码要做到禁止弱密码、采用加密并自动注销长期不活跃用户。
提示