Securitate — February 7, 2016 at 7:17 pm

Programele Malware și atacurile asupra sistemelor POS

by

istock_000002931235smallInfractorii informatici manifestă un “apetit” ridicat pentru date confidențiale stocate pe cardurile de credit. Deși există multiple modalități de a fura informații confidențiale în mediul online, echipamentele POS (cititoare magnetice, calculatoare POS, terminale PDA) sunt în continuare ținte preferate. Aproximativ 60% dintre achizițiile din magazine dotate cu echipamente POS sunt plătite prin intermediul unui card de credit sau de debit. Având în vedere faptul că lanțurile mari de magazine procesează zilnic mii de tranzacții cu ajutorul unui POS, aceste dispozitive se află în raza de acțiune a infractorilor informatici care caută volume mari de date informatice stocate pe cardurile de credit. Detalii în legătură cu modalitățile de atac asupra sistemelor POS şi a metodelor de protecţie se regăsesc în carta alba referitoare la Atacurile asupra Sistemelor POS.

În acest moment, există un număr impresionant de forumuri online care vând datele cardurilor de credit și de debit într-o varietate de formate. Cel mai comun format este “CVV2”, unde vânzătorul furnizează numărul cardului de credit, alături de codul adițional de securitate CVV2, notat în mod uzual pe verso-ul cardului. Aceste două informații sunt îndeajuns pentru a facilita achiziții online frauduloase. În același timp, există anumiți vânzători care oferă date confidențiale (mai) lucrative de tip “Track 2”. Această prescurtare se referă la datele salvate pe banda magnetică a unui card de credit sau debit. Valoarea acestui tip de informație este superioară și permite infractorilor clonarea de carduri, fapt care facilitează folosirea cardurilor-clonă în magazine mixte de cartier sau chiar și la bancomate (ATM-uri), în funcție de disponibilitatea codului PIN. Valoarea acestor date confidențiale de carduri este normată de prețul online de vânzare, iar prețurile variază în funcție de anumiți factori. Datele tip CVV2 se vând cu valori între $0.1 și $5 per card, iar datele tip Track 2 pot costa pâna la $100 per card.

Cum obțin infractorii informatici aceste date? Metoda Skimming este una dintre cele mai populare metode. Aceasta implică instalarea unui dispozitiv hardware adițional într-un terminal POS pentru a “citi” datele tip Track 2 de pe carduri. Această procedură necesită acces fizic la sistemul POS, echipament suplimentar costisitor, fiind dificilă de operat la o scară mai mare. Problema a fost înlăturată de infractorii informatici prin folosirea unor soluții software sub forma programelor Malware instalate pe sistemele POS. Îndreptatea eforturilor de colectare a datelor informatice de pe carduri se adresează adesea lanțurilor mari de magazine, acest lucru permite infractorilor folosirea unui program Malware pentru a colecta datele unor milioane de carduri într-o singură campanie de atac.
Programele malware pentru POS exploatează o breșă de securitate din circuitul procesării datelor de card în tranzacții standard. În decursul trimiterii datelor de card pentru autorizarea plății, aceste date sunt încriptate, dar în timpul procesării unei plăți, de exemplu – momentul în care glisezi cardul prin dispozitivul POS pentru plata unor bunuri –, aceste date nu sunt încriptate. Infractorii informatici au exploatat această breșă de securitate în 2005 – o campanie orchestrată de Albert Gonzalez a permis furtul de date de pe 170 de milioane de carduri.

Odată cu acest precedent, infractorii dezvoltă o piață a ofertelor de furnizare și vânzare a programelor Malware care citesc date tip Track 2 din memoria terminalelor POS. Majoritatea sistemelor POS operează sub platforma Windows, dezvoltarea de programe Malware care funcționează pe această platformă este relativ facilă (pentru cei experimentați). Programele Malware dedicate furtului de informații de pe carduri sunt cunoscute drept programe Malware de “răzuire” a memoriei (memory-scraping malware), acestea “extrag” din memoria sistemului POS informațiile care se potrivesc tiparului de date tip Track 2. În momentul glisării cardului prin sistemul POS, un program Malware va crea un duplicat al datelor tip Track 2 în memoria aparatului POS, aceste date fiind recuperate ulterior de infractorul informatic. BlackPOS este un celebru program Malware de colectare a datelor, acesta este vândut pe forumuri online dedicate cyber-infracțiunilor. Symantec detectează acest program Malware sub titulatura de Infostealer Reedum B.

“Înarmați” cu programe Malware pentru sisteme POS, următoarea provocare a infractorilor este infiltrarea programelor în interiorul terminalelor POS. Sistemele POS nu sunt în mod necesar conectate la Internet, dar o anumită conectivitate cu rețeaua corporate este prezentă. În primă fază, atacatorii vor încerca să infiltreze rețeaua corporate. Ei reușesc acest lucru prin exploatarea unor vulnerabilități în sistemele externe (de fațadă), folosind o “injecție” de cod SQL (interpelare SQL) în interiorul unui server Web, sau găsind un dispozitiv periferic care operează cu parolă standard oferită de producător. Odată obținut accesul în rețea, infractorii vor folosi diferite instrumente de hacking pentru accesarea segmentului de rețea care găzduiește sistemele POS. În urma instalării unui program Malware pe un POS, infractorii își vor “ascunde” pașii de acces și activitatea. Pașii de mascare a activității includ operațiuni de “curățare” (scrubbing) a fișierelor de log (fișiere jurnal de activitate), sau manipularea software-ului de securitate, operațiuni care permit infractorilor manipulări informatice în regim continuu și colectare nelimitată de date.

Din păcate pentru infractorii informatici, furtul de date de pe cardurile de credit nu este rentabil, aceste date au o perioadă de valabilitate limitată. Companiile care emit carduri de credit depistează cu promptitudine anomalii în tiparele de achiziții ale utilizatorilor, iar unii utilizatori sunt foarte atenți în legătură cu extrasele de cont, fapt care impune infractorilor aprovizionarea cu noi date de card.
Vestea cea bună este faptul că operatorii lanțurilor de magazine pot preveni recidivele acestor tipuri de atacuri. Tehnologia de plată va înregistra o înnoire. Mulți dintre operatorii de lanțuri de magazine din Statele Unite grăbesc procesele de tranziție la tehnologia EMV, plata prin tehnologie tip “Chip and Pin”. Cardurile tip “Chip and Pin” sunt mult mai dificil de clonat, atractivitatea lor pentru infractori fiind diminuată. Noi modele de plată tehnologică vor vedea lumina zilei. Dispozitivele smartphone vor acționa drept carduri de credit, tehnologia mobilă NFC (Near Field Communication – Comunicare cu Dispozitive de Proximitate) este adoptată gradual și sigur.
În mod clar, infractorii informatici vor răspunde chiar și acestor noi tehnologii, dar faptul că operatorii mari de lanțuri de magazine își concentrează eforturile asupra adoptării acestor inovații, iar companiile de securitate își intensifică monitorizarea, furtul la scară mare de date prin intermediul dispozitivelor POS va deveni din ce în ce mai dificil și mai puțin profitabil.