Атаки на POS-системы – исследование Symantec
Корпорация Symantec опубликовала результаты исследования Attacks on Point of Sales Systems, посвященного атакам на POS-системы с целью кражи данных кредитных карт. Данные, которые хранятся на магнитной ленте карты (Track 2), дают возможность клонировать карты, пользоваться ими в обычных магазинах и даже снимать деньги через банкомат, а стоимость данных одной карты в Интернете достигает 100 долл.
По приблизительным оценкам, около 60% всех покупок в точках розничной продажи оплачиваются при помощи кредитных или дебетовых карт, а крупные точки розничной продажи могут обрабатывать тысячи таких транзакций в день. Таким образом, кражи данных в крупных розничных сетях при помощи устройства, установленного на POS-систему, или вредоносной программы, считывающей данные Track 2 из памяти кассы, позволяют собрать данные миллионов кредиток.
Данные кредитных и дебетовых карт открыто продаются на множестве интернет-форумов, в различных форматах. Самый распространенный из них – CVV2, когда продавец предоставляет номер карты вместе с кодом CVV2, этих данных достаточно для онлайн-покупок по карте. Некоторые продавцы предлагают и более прибыльный формат – Track 2 (данные на магнитной ленте карты), дающий возможность пользоваться картами в обычных магазинах, а при наличии пин-кода – снимать деньги через банкомат. И если цена одной карты в формате CVV2 составляет от 5 центов до 10 долл., то стоимость данных Track2 достигает 100 долл. за карту.
Такой способ получения данных карт, как скимминг (когда на POS-систему устанавливается дополнительное устройство, считывающее данные Track2), требует физического доступа к устройству и дорогого оборудования. Поэтому злоумышленники обратились к программным решениям в виде вредоносного кода для POS-систем. Он работает за счет использования бреши в системе обработки данных кредитных карт: хотя при запросе на авторизацию данные отправляются в зашифрованном виде, они совершенно открыты в сам момент обработки платежа, т. е. в тот момент, когда покупатель проводит карточкой по терминалу.
Большинство электронных кассовых систем основано на ОС Windows, и это упрощает создание для них вредоносных программ. Такое ПО работает по схеме memory scraping, сканируя память POS-системы на предмет данных, по структуре напоминающих данные Track2. Когда карточкой проводят по терминалу, программа находит эти данные и сохраняет их в памяти системы, чтобы позже они стали доступны злоумышленнику. Самый известный вирус подобного типа – программа BlackPOS, она продается на форумах для киберпреступников. Антивирусные продукты Symantec определяют этот вредоносный код как Infostealer.Reedum.B.
POS-системы, как правило, не имеют доступа в Интернет, однако подключены к корпоративной сети. Для установки на них вредоносного ПО злоумышленники первым делом пытаются их взломать, путем внедрения SQL-кода или найдя подключенное к сети внешнее устройство, на котором все еще стоит стандартный заводской пароль. Получив доступ к сети, злоумышленники пытаются получить доступ к сегменту, отвечающему за работу POS-систем. После установки вредоносного кода предпринимается ряд шагов для «заметания следов», таких как очистка log-файлов или манипуляции с системой безопасности, чтобы можно и дальше незаметно проводить перехват.
Ожидается, что продавцы усвоят урок и предпримут шаги по предотвращению подобного рода атак. Изменится и технология оплаты: в США, например, сейчас активно внедряются карты типа Chip and Pin (эта технология уже применяется в Европе и России). Такие карты намного труднее клонировать, что делает их менее привлекательными для злоумышленников. Кроме того, набирают популярность новые модели оплаты, к примеру, при помощи устройств, поддерживающих технологию NFC. По мере того как новые технологии набирают популярность, а компании, занимающиеся безопасностью, продолжают следить за активностью злоумышленников, осуществление крупномасштабных атак на POS-системы будет становиться все более трудным и менее прибыльным делом, полагают эксперты Symantec.