Взломать биржу. На что способны хакеры и стоит ли инвестору их бояться

Фото: Gerd Altmann / Pixabay

В последнее время на фондовые рынки все чаще обращают внимание хакеры. Их целью становятся как отдельные игроки с большими суммами на счету, так и целые биржи. Арсенал хакеров не ограничивается вредоносным программным обеспечением, а цели — рядовыми участниками торгов.

Сегодня киберпреступления почти всегда хорошо спланированы, а потери от них могут исчисляться миллионами. Рассказываем простым языком, как именно хакеры могут повлиять на работу отдельных брокеров и бирж в целом.

Хакеры регулярно используют трояны. Так называются вредоносные программы, маскирующиеся под легитимный софт. В ходу также кейлоггеры — программы или аппаратные устройства, способные передавать взломщику нажатия клавиатуры, движения мыши. Некоторые кейлоггеры даже умеют вести запись экрана жертвы.

С такими программами можно получить полный доступ к брокерским счетам или торговым терминалам, после чего начать манипуляции с ценными бумагами.

Взлом рядового брокера вряд ли отразится на работе биржи. Другое дело, если преступникам удается добраться до крупного игрока. В феврале 2015-го такой случай привел к переполоху на Московской бирже.

Неизвестный трейдер, впоследствии оказавшийся казанским «Энергобанком», выставлял нерыночные заявки: сначала продавал доллары по ₽55, а затем покупал по ₽65. За 14 минут заявок было выставлено почти на $500 млн, а ущерб для банка составил ₽244 млн.

Сначала на банк посыпались обвинения в сознательном манипулировании валютой и выводе денег. Однако расследование выявило, что за произошедшим стоит группа хакеров, заразившая терминал удаленного управления сделками «Энергобанка» трояном Corkow.

В результате этой истории «Энергобанк» понес серьезный урон. Банк подавал в суд на брокерские компании БКС, «Финам» и «Открытие Брокер», чьи клиенты получили прибыль со сделок с валютой по ходу тех роковых 14 минут. Банк требовал от них возмещения многомиллионных потерь.

Суд принял сторону брокеров и отказался возмещать потери от хакерской атаки. А комитет по валютному рынку Московской биржи рекомендовал исключить «Энергобанк» из числа участников торгов по причине слабой информационной безопасности учреждения. Сколько из ₽244 млн досталось ответственным за взлом, так и осталось неясным.

Один из самых распространенных методов взлома не имеет ничего общего с языками программирования и другими специфическими знаниями. Популярный способ взлома базируется на социальной инженерии. Так называют манипуляции с целью получения информации непосредственно от жертвы атаки.

В случае с биржами и инвестициями речь прежде всего идет о фишинге — рассылке сообщений со ссылками на мошеннические сайты, где пользователей тем или иным путем убеждают передать нужные личные данные. Иногда троян попадает на компьютер от самого факта перехода по фишинговой ссылке. В таком случае социальная инженерия отвечает за то, чтобы убедить человека перейти по ссылке.

Фишинговые письма и сайты выглядят довольно правдоподобно и способны обмануть многих. В 2017-м главный специалист по информационной безопасности IT-компании United Data Technologies Майк Санчес рассказал CNBC, что во время тестов безопасности в неназванном финансовом учреждении 75% сотрудников повелись на фишинговое письмо и передали собственные логин и пароль.

Иногда уязвимости скрываются в легальном программном обеспечении для торговли на рынках. На эту проблему в декабре 2018 года обратила внимание компания Positive Technologies в исследовании «Кибербезопасность-2018–2019: итоги и прогнозы».

Специалисты компании проанализировали платформы — компьютерные терминалы, мобильные и веб-приложения, — которые используются не только обычными трейдерами, но и банками, инвестфондами и другими организациями, участвующими в торгах на бирже.

В Positive Technologies заявили, что в 61% программ возможно получение несанкционированного доступа к личным кабинетам благодаря сниффингу, то есть перехвату трафика. В 33% оказалось возможно проведение финансовых операций от имени других пользователей без доступа к личному кабинету, а в 17% — подмена отображаемых котировок.

Использование таких уязвимостей преступниками способно не только нанести ущерб пользователям приложений. Это может влиять на котировки в пользу хакеров или манипулировать курсом валют, если атаке подвергнется крупный участник торгов.

На бирже киберпреступников привлекает все, на чем можно заработать. Например, инсайдерская информация. В октябре 2015-го группа российских хакеров взломала серверы Dow Jones & Co. Это компания — издатель финансовых СМИ, среди которых знаменитая газета The Wall Street Journal.

По данным Bloomberg, злоумышленники похитили «критическую финансовую информацию», в том числе еще неопубликованные статьи, предназначенные для платных подписчиков и сервисов Dow Jones.

В том же 2015 году в США арестовали группу хакеров, взломавших системы новостных терминалов PRNewswire, Marketwired и Businesswire с помощью фишинга. На продаже инсайдерской информации за пять лет они заработали около $100 млн, подсчитал Bloomberg.

Хакеров интересуют и торговые алгоритмы — программы для автоматизации операций на бирже. Использовать их по назначению для преступников нецелесообразно. Вместо этого они шантажируют жертв — финансовые компании, фирмы, занимающиеся высокочастотным трейдингом, и хедж-фонды. Взломщики предлагают вернуть алгоритмы за деньги. В противном случае хакеры угрожают рассказать о том, что им удалось взломать, — а это уронит репутацию фирмы и может посеять панику среди ее клиентов.

На работу биржи возможно косвенно повлиять через вбросы ложной информации — особенно если получить доступ к аккаунтам авторитетных СМИ. Самый громкий такой случай — взлом твиттера международного агентства Associated Press (AP) в апреле 2013 года. Тогда хакеры разместили в нем «новость» с пометкой «срочно» о двух взрывах в Белом доме, в результате которых президент США Барак Обама был ранен.

И хотя AP почти сразу опровергла твит на других площадках, дезинформацию успели распространить несколько других ресурсов. На биржах началась паника: за считаные минуты индекс Dow Jones рухнул на 143 пункта — с 14 697 до 14 554. Суммарно акции потеряли около $130 млрд. Вскоре вброс был разоблачен, и фондовый рынок  быстро отыграл падение.

В полуфантастических фильмах и сериалах вроде «Мистера Робота» или «Крепкого орешка 4.0» хакеры кажутся почти всемогущими. Однако в реальности даже крупномасштабный взлом не сможет радикально повлиять на фондовые рынки. Максимум для хакеров — временная остановка работы площадки.

Все серьезные биржи постоянно совершенствуют информационную архитектуру, оборудование и способы защиты от хакерских атак. Перед началом торгов обычно устанавливается коридор, в рамках которого стоимость акций может колебаться во время одной сессии. Если котировки выходят за границы выставленного диапазона, торги приостанавливаются до прекращения паники. К примеру, на Нью-Йоркской бирже это происходит, если падение достигает 7% за день. За ними следуют еще две «красные» линии — 13% и 20%.

То же самое происходит при крупном сбое в работе площадки. В случае выявления взлома сделки обычно признают недействительными. Из-за этого глобально обвалить биржу ни у кого не получится — разве что в результате физического захвата IT-инфраструктуры площадки.

Кроме того, большинство злоумышленников хочет не сеять хаос, а красть деньги. Потому даже в случае успешного взлома хакер скорее предпочтет манипулировать ценными бумагами в попытке заработать, чем стремиться разрушить рынок.