{"id":23483,"date":"2020-12-02T17:07:43","date_gmt":"2020-12-02T15:07:43","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23483"},"modified":"2020-12-02T17:10:43","modified_gmt":"2020-12-02T15:10:43","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/security-tips-for-trading-platforms\/23483\/","title":{"rendered":"Breve guida sulla sicurezza fintech"},"content":{"rendered":"

Nel 2019, il mercato azionario globale \u00e8\u00a0<\/span>cresciuto di 17 trilioni di dollari<\/span><\/a> e, nonostante i mercati mondiali siano stati colpiti, per usare un eufemismo, dalla pandemia, l\u2019interesse per gli investimenti non si \u00e8 affievolito. Di fatto, da inizio 2020, il numero di utenti di app di trading<\/span> non ha fatto altro che aumentare<\/span><\/a>.<\/span>\u00a0<\/span><\/p>\n

L\u2019aspetto negativo di tutto ci\u00f2 \u00e8 che i beni e i dati personali degli e-trader sono obiettivi interessanti per i criminali informatici e, in caso di incidente di sicurezza, sono gli operatori delle piattaforme di trading a doverne affrontare le conseguenze. In questo post parliamo delle principali minacce che le aziende devono affrontare e di come contrastarle.<\/span>\u00a0<\/span>\u00a0<\/span><\/p>\n

Vulnerabilit\u00e0 delle app<\/h2>\n

Come ogni software, le piattaforme di trading possono contenere delle vulnerabilit\u00e0. Nel 2018, l\u2019esperto di sicurezza informatica Alejandro Hernandez ha riscontrato delle falle in 79 applicazioni<\/a>, tra cui il mancato uso della cifratura per custodire o trasmettere dati (chiunque potrebbe vederli o modificarli) e la mancata disconnessione dei profili degli utenti dopo un periodo di inattivit\u00e0. I difetti a livello di progettazione includevano la possibilit\u00e0 di utilizzare password deboli.<\/p>\n

Un anno dopo, gli esperti di ImmuniWeb hanno condotto ricerche simili<\/a> e hanno raggiunto una conclusione altrettanto negativa: dei 100 prodotti di sviluppo fintech testati, tutti erano in una certa misura vulnerabili. I problemi sono stati riscontrati sia nelle applicazioni web che in quelle mobili, con molti bug ereditati da sviluppi di terze parti e dai tool impiegati dai programmatori. Per alcune vulnerabilit\u00e0, le patch esistevano da tempo ma non erano state applicate. Una di queste patch \u00e8 stata rilasciata nel 2012, ma gli autori dell\u2019applicazione fintech non l\u2019hanno mai installata.<\/p>\n

Inevitabilmente, se un prodotto riscontra problemi di sicurezza, si far\u00e0 notare, danneggiando potenzialmente la reputazione delle aziende e scoraggiando i clienti. E se, a causa di un bug in un\u2019app, gli utenti subiscono una perdita di dati o di denaro, lo sviluppatore potrebbe incorrere in una grossa multa o essere costretto a pagare i danni.<\/p>\n

A volte, il creatore di una piattaforma \u00e8 l\u2019unico a rimetterci. Per esempio, gli autori dell\u2019app di trading Robinhood non sono riusciti a individuare un bug<\/a> che permetteva agli utenti premium di prendere in prestito fondi illimitati dalla piattaforma per scambiare azioni, e un utente ha preso in prestito un milione di dollari a fronte di un anticipo di soli 4 mila dollari. I trader l\u2019hanno soprannominato il \u201ccodice truffa del denaro illimitato\u201d.<\/p>\n

Per evitare perdite associate a bug e vulnerabilit\u00e0, chi si occupa della programmazione di una piattaforma di trading deve dare la giusta importanza alla sicurezza nella fase di sviluppo, pensando in anticipo a situazioni come il logout automatico dell\u2019utente, la cifratura e l\u2019impossibilit\u00e0 di servirsi di password deboli. Dovrebbero anche rivedere regolarmente il codice alla ricerca di errori e correggerli prontamente.<\/p>\n

Attacchi alla supply chain<\/h2>\n

Per risparmiare tempo e denaro, la maggior parte delle aziende non solo scrive il proprio codice, ma si avvale anche di sviluppi, framework e servizi di terze parti. Se l\u2019infrastruttura di un fornitore \u00e8 compromessa, anche le aziende che la utilizzano possono risentirne.<\/p>\n

\u00c8 quello che \u00e8 successo al broker di valute Pepperstone<\/a>, ad esempio. Nell\u2019agosto del 2020, i criminali informatici hanno infettato i computer di un\u2019azienda contractor, ottenendo l\u2019accesso al suo account nel sistema CRM di Pepperstone. Sebbene l\u2019effrazione sia stata rapidamente neutralizzata, i cybercriminali sono comunque riusciti a rubare alcuni dati dei clienti. Il broker afferma che i suoi sistemi finanziari e di trading non sono stati colpiti. Ciononostante, ricorda che le fughe di dati possono essere molto costose per le aziende, <\/a>anche quando la colpa \u00e8 del codice di terze parti.<\/p>\n

Per evitare potenziali problemi, scegliete sempre partner affidabili e attenti alla sicurezza, e non affidatevi solamente ai meccanismi di protezione che offrono. Qualsiasi azienda nel campo della finanza dovrebbe adottare una politica di sicurezza rigorosa.<\/p>\n

Spear phishing<\/h2>\n

Il fattore umano<\/a> \u00e8 spesso causa di incidenti informatici. Ecco perch\u00e9 i cybercriminali si servono dei dipendenti di un\u2019azienda per infiltrarsi nell\u2019infrastruttura.<\/p>\n

In questo contesto, nel luglio di quest\u2019anno, i ricercatori di sicurezza informatica hanno collegato al gruppo APT Evilnum una serie di attacchi contro istituzioni fintech nell\u2019UE, nel Regno Unito, in Canada e in Australia. I cybercriminali hanno inviato delle e-mail ai dipendenti dell\u2019azienda con un link a un file ZIP che si trovava su un servizio su cloud legittimo. I messaggi sembravano essere della normale corrispondenza commerciale e nel file apparentemente c\u2019erano documenti o immagini. Sebbene il documento o l\u2019immagine promessa comparisse sullo schermo, all\u2019apertura del file si metteva in moto la catena di infezione.<\/p>\n

A volte i criminali informatici si introducono negli account di posta elettronica aziendali, il che rende il loro phishing ancora pi\u00f9 convincente. Nell\u2019agosto di quest\u2019anno, un attacco di questo tipo ha colpito la compagnia di trading Virtu. Secondo i rappresentanti dell\u2019azienda, i cybercriminali sono entrati nella casella e-mail di un top manager<\/a> e hanno passato le due settimane successive a inviare e-mail al reparto contabilit\u00e0 con le istruzioni per il trasferimento di grandi somme di denaro in Cina. La fiducia cieca \u00e8 costata all\u2019azienda quasi 11 milioni di dollari.<\/p>\n

Per respingere tali attacchi, il personale che si occupa della sicurezza informatica ha bisogno di una formazione adeguata. Elaborate un elenco di segnali sospetti di phishing nelle e-mail e usatelo per organizzare una linea d\u2019azione nel caso in cui un collega, un partner o un cliente vi chieda (o sembri chiedervi) di inviare un paio di milioni, o anche un po\u2019 meno, a un certo signor Rossi.<\/p>\n\n

Problemi causati dal cliente<\/h2>\n

A volte gli utenti perdono il proprio denaro senza che la vostra azienda o la vostra app abbia alcuna responsabilit\u00e0, scaricando malware, inserendo password su siti di phishing o agendo in modo irresponsabile. Anche in questo caso, gli utenti possono avanzare pretese contro la piattaforma di trading. In alcuni paesi, le aziende sono legalmente obbligate almeno a capire cosa sia successo, quindi vale la pena di avvertire di tanto in tanto i trader sui potenziali pericoli e di esortarli a proteggersi (e, per estensione, parliamo anche di voi).<\/p>\n

\u00c8 una buona idea ricordare periodicamente ai clienti che qualsiasi software di terze parti, soprattutto se pirata o ottenuto da fonti dubbie, pu\u00f2 rappresentare una minaccia. Ad esempio, potrebbe rubare le password, comprese quelle degli account di trading.<\/p>\n

Avvertire i clienti che i criminali informatici potrebbero farsi passare per il servizio che offrite per ottenere le loro credenziali. Consigliate loro di prestare molta attenzione alle e-mail sui problemi relativi al servizio e di controllare attentamente l\u2019indirizzo del mittente e il messaggio per verificare la presenza di errori di battitura e scritti utilizzando una sintassi non corretta. Consigliate loro di digitare a mano l\u2019URL nel browser, di aprire l\u2019applicazione o di chiamare l\u2019assistenza clienti in caso di dubbi.<\/p>\n

Come proteggere soldi e reputazione<\/h2>\n

La gestione del denaro comporta una grande responsabilit\u00e0, e trascurare la sicurezza pu\u00f2 costare caro alle aziende fintech. Pertanto:<\/p>\n