Een kort gids voor fintech-beveiliging

Waar moeten ontwikkelaars en beheerders van handelsplatforms rekening mee houden?

App-kwetsbaarheden

Zoals elk soort software, kennen ook handelsplatforms kwetsbaarheden. In 2018 vond cybersecurity-expert Alejandro Hernandez kwetsbaarheden in 79 van dit soort apps, inclusief het niet gebruiken van versleuteling om gegevens op te slaan of over te dragen (iedereen kon die zien of wijzigen) en het niet uitloggen van gebruikers na een periode van inactiviteit. Gebreken op ontwerpniveau omvatten onder andere zwakke wachtwoorden.

Een jaar later deden analisten bij Immuniweb een vergelijkbaar onderzoek en zij kwamen tot een net zo negatieve conclusie: de 100 fintech-ontwikkelingen die ze testten waren allemaal in zekere mate kwetsbaar. Er werden zowel problemen gevonden in webversies als mobiele apps, en tal van bugs werden geërfd van ontwikkelingen van derden en tools die door de programmeurs waren gebruikt. Voor een aantal van deze kwetsbaarheden bestonden er al lang patches, maar waren deze simpelweg nog niet toegepast. Eén van die patches was al in 2012 uitgegeven, maar de makers van de fintech-app waren er nooit aan toegekomen om die ook te installeren.

Eén ding is zeker: als een product beveiligingsproblemen heeft, worden die op een gegeven moment bekend en kunnen die de reputatie van bedrijven schaden en klanten wegjagen. En als gebruikers als gevolg van een bug in een app slachtoffer worden van een gegevenslek of financieel verlies lijden, kan de ontwikkelaar te maken krijgen met een stevige boete of gedwongen worden om schadevergoedingen te betalen.

Soms is de maker van een platform het enige slachtoffer. De makers van de trading app Robinhood zagen bijvoorbeeld een bug over het hoofd waardoor premium gebruikers onbeperkte bedragen van het platform konden lenen om in effecten te handelen — en één gebruiker had een miljoen dollar geleend tegen een borg van slechts $ 4,000. Handelaars noemden dit de “cheatcode voor oneindig geld”.

Om verliezen die veroorzaakt worden door bugs en kwetsbaarheden te voorkomen, moeten de programmeurs van handelsplatforms rekening houden met de beveiliging in de ontwikkelingsfase en vooraf nadenken over zaken zoals het automatisch uitloggen van gebruikers, encryptie en een verbod op zwakke wachtwoorden. Ze moeten tevens regelmatig de code opnieuw op fouten controleren en deze snel verhelpen.

Supply-chain-aanvallen

Om tijd en geld te besparen, schrijven veel bedrijven niet alleen hun eigen code, maar maken ze ook gebruik van ontwikkelingen, frameworks en diensten van derden. Als de infrastructuur van een provider getroffen is, kunnen de bedrijven die van deze provider gebruikmaken hier ook onder lijden.

Dat is bijvoorbeeld precies wat er gebeurde in het geval van de valutamakelaar Pepperstone. In augustus 2020 infecteerden cybercriminelen de computers van een bedrijfsaannemer en verkregen zo toegang tot de accounts in het CRM-systeem van Pepperstone. Hoewel de inbraak snel werd geneutraliseerd, slaagden de aanvallers er alsnog in om wat klantengegevens te stelen. De makelaar zegt dat de financiële en handelssystemen niet werden getroffen. Hoe dan ook: denk erom dat gegevenslekken bedrijven een hoop geld kunnen kosten, ook als het de schuld is van code van derden.

Om dit soort gevallen te voorkomen, dient u altijd betrouwbare partners te kiezen die beveiliging hoog in het vaandel hebben, en vertrouw nooit alleen op hun beschermingsmechanismes. Elk bedrijf in de financiële sector zou een streng beveiligingsbeleid moeten hanteren.

Spear-phishing

De menselijke factor ligt vaak aan de oorsprong van cyberincidenten. Daarom gebruiken aanvallers dan ook bedrijfsmedewerkers om zakelijke infrastructuren te infilteren.

Zo legden cybersecurity-onderzoekers in juli van dit jaar bijvoorbeeld het verband tussen een reeks aanvallen op fintech-instellingen in de EU, het VK, Canada en Australië en de APT-groep Evilnum. De cybercriminelen verzonden e-mails naar bedrijfsmedewerkers met een link naar een ZIP-bestand dat op een legitieme clouddienst werd gehost. De berichten waren vermomd als zakelijke correspondentie, en de inhoud van het bestand als documenten of afbeeldingen. Hoewel het beloofde document of de afbeelding op het scherm verscheen, werd er door het bestand te openen ook een infectieketen in gang gezet.

Aanvallers breken soms in op zakelijke e-mailaccounts, waardoor hun phishing nog overtuigender wordt. In augustus van dit jaar trof zo’n aanval het handelsbedrijf Virtu. Volgens vertegenwoordigers van het bedrijf verkregen cybercriminelen toegang tot de mailbox van een topmanager en besteedden ze de twee weken erop aan het versturen van e-mails naar de afdeling accounting met instructies om grote geldbedragen naar China over te maken. Blind vertrouwen kostte het bedrijf uiteindelijk zo’n € 9 miljoen.

Om dit soort aanvallen tegen te gaan, heeft het cybersecurity-personeel goede training nodig. Stel een lijst samen van zaken die op phishing duiden waar op gelet moet worden in e-mails en stel een actieplan op voor het geval een collega, partner of klant u vraagt (of u lijkt te vragen) om een paar miljoen over te maken (of misschien iets minder) aan een onbekend iemand.

Klantenproblemen

Gebruikers verliezen soms geld zonder dat het de schuld is van uw bedrijf of app, maar simpelweg door malware te downloaden, wachtwoorden in te voeren op phishing-sites of door op andere wijze onverantwoordelijk bezig te zijn. Maar helaas krijgt ook in deze gevallen het handelsplatform vaak de schuld toegeschoven. In sommige landen zijn bedrijven wettelijk verplicht om op zijn minst uit te zoeken wat er is gebeurd, dus het is de moeite waard om handelaars zo nu en dan te waarschuwen voor potentiële gevaren en erop aan te dringen dat ze zichzelf beschermen (en u dus ook).

Het is ook een goed idee om klanten er regelmatig aan te herinneren dat software van derden, zeker als die op illegale wijze of via dubieuze bronnen is verkregen, een dreiging kan vormen. Die software kan bijvoorbeeld wachtwoorden stelen, inclusief de wachtwoorden voor handelsaccounts.

Waarschuw klanten dat cybercriminelen zich als uw dienst voor kunnen doen om hun inloggegevens te verkrijgen. Adviseer ze om goed op te letten bij e-mails over problemen met de dienst en om het adres van de afzender zorgvuldig te controleren, evenals het bericht zelf op eventuele spel- en taalfouten. Raad ze aan om de URL handmatig in de browser in te voeren, de app te openen of de klantenondersteuning te bellen in het geval van twijfel.

Zo beschermt u uw geld en reputatie

Werken met geld brengt veel verantwoordelijkheid met zich mee en het negeren van de beveiliging kan fintech-bedrijven flink wat kosten. Daarom:

  • Houd de beveiliging van uw apps en programma’s in de gaten. Scan ze op kwetsbaarheden en hanteer een zerotolerancebeleid voor bugs en fouten.
  • Installeer eenbetrouwbare beveiligingsoplossing op werkapparaten, idealiter een programma dat via één enkel bedieningspaneel beheerd kan worden.
  • Train werknemers in de basics van cybersecurity, zodat ze geen fouten maken die u en uw klanten geld kosten en stress opleveren.
  • Gebruik het strengst mogelijke beveiligingsbeleid voor werknemers en leveranciers als derde partij.
  • Herinner klanten eraan dat de veiligheid van hun geld voor een groot deel van hunzelf afhankelijk is. Raad ze aan om een beveiligingsoplossing te installeren op het apparaat dat ze gebruiken om te handelen, en installeer hier geen rommel op.
  • Implementeer vanaf dag één beveiligingsmechanismes in uw ontwikkelingen. Dat betekent dat u op zijn allerminst begint met een verbod op zwakke wachtwoorden, encryptie en het automatisch uitloggen van inactieve gebruikers.
Tips
Meld u aan om onze headlines in uw inbox te ontvangen
  • Voor alle andere landen