🥳 POSI четыре года на бирже!

В декабре 2021 года Positive Technologies провела размещение акций и стала первой публичной компанией в области кибербезопасности на Московской бирже.

За это время мы проделали насыщенный путь. Уверены, что самое интересное еще впереди, а пока делимся позитивными итогами четырех лет на бирже:

✔️ Инвесторов POSI — более 200 тысяч. На старте размещения у нас было всего 1400 акционеров. Благодарим каждого, кто проходит этот путь вместе с нами! Больше об акционерах POSI рассказываем в карточках.

✔️ Наши акции включены в широкий ряд индексов: основные индексы Московской биржи — IMOEX и РТС, а также индекс акций широкого рынка, индекс средней и малой капитализации, индекс информационных технологий, индекс инноваций.

✔️ Ликвидность бумаг растет. Средний дневной объем торгов акциями за четыре года составил 539 млн рублей. В этом году — 861 млн рублей (почти в девять раз больше по сравнению с нашим первым годом на бирже). Все это говорит об инвестиционной привлекательности бумаг для инвесторов и низкой волатильности наших акций.

✔️ Мы разместили пять выпусков облигаций и ЦФА. Первый выпуск был размещен еще перед выходом на биржу в качестве эмитента акций и успешно погашен в июле 2023 года. Второй выпуск мы погасили в декабре этого года. Сейчас инвесторам доступны три выпуска облигаций с фиксированным и плавающим купоном, а также цифровые финансовые активы — инструмент, который мы впервые предложили рынку в этом году.

✔️ Регулярно рассказываем о компании и отвечаем на вопросы. За четыре года мы приняли участие в 65 IR-конференциях и 92 онлайн-эфирах, провели 15 дней инвестора и встреч по итогам финансовых результатов, организовали более 70 встреч с аналитиками.

✔️ Видимся с инвесторами не только в столице, но и других городах России. В партнерстве с крупнейшими банками и брокерами мы провели более 15 встреч в Архангельске, Екатеринбурге, Казани, Самаре, Санкт-Петербурге, Уфе. А заключительная встреча с акционерами в этом году состоялась 10 декабря в Якутске (интересный факт: всего в Якутии живет 741 акционер POSI).

✔️ Продолжаем общаться в соцсетях. Мы доступны в Пульсе, Telegram, соцсети «Профит» от БКС и «Импульс» от Market Power, на блог-платформе Smart-Lab и в приложении «СберИнвестиции». В этом году мы появились в соцсети для инвесторов «Базар», а сейчас готовимся к запуску канала в сообществе «Альфа-Инвестор».

✔️ Заслужили доверие профессионального сообщества. За время публичности мы трижды стали победителем IR-рейтинга эмитентов от Smart-Lab. Кроме того, получили более 50 наград от Ассоциации Центров Обработки Данных, Московской биржи, Т-Банка, Cbonds, Е+, Investment Leaders, RAEX, Preqveca.

✔️ Мы уверенно продолжаем наш путь: развиваем бизнес и запускаем новые продукты, выходим в новые технологические и географические ниши. И, конечно, продолжаем поддерживать открытый и честный диалог с инвесторами.

🍰 P. S. 17 декабря отмечают день рождения 544 наших акционера (как и POSI). Поздравляем вас! Если вы один из них, напишите в комментариях — первым пяти именинникам мы отправим подарки.

#POSI

🤑 Помогу задонатить

Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.

В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.

Мошенническая схема выглядит следующим образом:

1️⃣ Ребенку в чате мобильной игры пишет неизвестный, общается и внедряется к нему в доверие.

2️⃣ Он сообщает ребенку о том, что можно бесплатно получить игровую валюту, если он установит на телефон мобильное приложение.

3️⃣ При открытии приложение запрашивает разрешение на установку в качестве основного приложения для NFC-платежей.

4️⃣ Злоумышленник сообщает ребенку о том, что транзакция не прошла и Центральный банк может заблокировать карту и доступ ко всем деньгам на счете.

5️⃣ Для того чтобы этого не произошло, ребенку нужно снять в банкомате все наличные и положить их на его банковскую карту, которую ребенку помогли открыть мошенники. При этом все «безопасно», ведь телефон находится в руках.

6️⃣ После того как ребенок подносит телефон к банкомату, ему сообщают новый пин-код от карты и требуют внести деньги на счет.

7️⃣ Происходит зачисление денег на карту мошенника, после чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги.

Технические особенности

Для работы приложение запрашивает 3 разрешения:

➖ NFC — для доступа к системе оплаты по NFC;
➖ ACCESS_NETWORK_STATE — для проверки сетевого доступа;
➖ INTERNET — для подключения через WebSocket.

В манифесте приложения 3 активности:

➖ MainActivity;
➖ CardActivity (имя активности — PAYpunto 🤖);
➖ CardHostApduService.

Приложение функционирует по следующему алгоритму:

1️⃣ В MainActivity осуществляется проверка доступности интернета. Если доступа нет, выводится сообщение: «Ошибка: нет подключения к интернету».

2️⃣ Приложение переходит к CardActivity, в которой осуществляется открытие index.html (скриншот 2). С помощью WebSocket устанавливается соединение с сервером управления, адрес которого прописан в connection.json (скриншот 3). Для защищенного соединения используется сертификат сервера из ресурсов приложения — server.pem. Если в процессе подключения к серверу произошла ошибка, подключение осуществляется по другому порту: wss://default-server-url:7000 (скриншот 4).

3️⃣ Общение банкомата с сервером управления реализовано в CardHostApduService. При подключении телефона к банкомату он отправляет APDU-команды приложению. Далее осуществляется проверка доступности подключения к серверу управления. Если он доступен, формируется JSON и отправляется на сервер управления (скриншот 5).

4️⃣ Ожидается ответ от сервера. Пользователю при этом выводится информация: «Пожалуйста, подождите, ваша карта находится в процессе активации».

5️⃣ Если сервер недоступен или ответ не поступает более 10 секунд, команды кэшируются и поступают в очередь.

6️⃣ После чего команды транслируются банкомату.

7️⃣ Банкомат воспринимает приложение как реальную банковскую карту и производит выполнение APDU-команд, поступивших от сервера управления.

Как защититься от таких атак:

1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.

2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.

3. Используйте антивирусные решения.

4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.

5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).

#dfir #mobile
@ptescalator