Mit si realitate despre programele Malware si atacurile asupra sistemelor POS

Infractorii informatici manifestă un “apetit” ridicat pentru date confidentiale stocate pe cardurile de credit. Desi există multiple modalităti de a fura informatii confidentiale în mediul online, echipamentele POS (cititoare magnetice, calculatoare POS, terminale PDA) sunt în continuare tinte preferate. Aproximativ 60% dintre achizitiile din magazine dotate cu echipamente POS sunt plătite prin intermediul unui card de credit sau de debit. Având în vedere faptul că lanturile mari de magazine procesează zilnic mii de tranzactii cu ajutorul unui POS, aceste dispozitive se află în raza de actiune a infractorilor informatici care caută volume mari de date informatice stocate pe cardurile de credit. Detalii în legătură cu modalitătile de atac asupra sistemelor POS si a metodelor de protectie se regăsesc în carta alba referitoare la Atacurile asupra Sistemelor POS. 

În acest moment, există un număr impresionant de forumuri online care vând datele cardurilor de credit si de debit într-o varietate de formate. Cel mai comun format este “CVV2”, unde vânzătorul furnizează numărul cardului de credit, alături de codul aditional de securitate CVV2, notat în mod uzual pe verso-ul cardului. Aceste două informatii sunt îndeajuns pentru a facilita achizitii online frauduloase. În acelasi timp, există anumiti vânzători care oferă date confidentiale (mai) lucrative de tip “Track 2”. Această prescurtare se referă la datele salvate pe banda magnetică a unui card de credit sau debit. Valoarea acestui tip de informatie este superioară si permite infractorilor clonarea de carduri, fapt care facilitează folosirea cardurilor-clonă în magazine mixte de cartier sau chiar si la bancomate (ATM-uri), în functie de disponibilitatea codului PIN. Valoarea acestor date confidentiale de carduri este normată de pretul online de vânzare, iar preturile variază în functie de anumiti factori. Datele tip CVV2 se vând cu valori între $0.1 si $5 per card, iar datele tip Track 2 pot costa pâna la $100 per card.   

Cum obtin infractorii informatici aceste date? Metoda Skimming este una dintre cele mai populare metode. Aceasta implică instalarea unui dispozitiv hardware aditional într-un terminal POS pentru a “citi” datele tip Track 2 de pe carduri. Această procedură necesită acces fizic la sistemul POS, echipament suplimentar costisitor, fiind dificilă de operat la o scară mai mare. Problema a fost înlăturată de infractorii informatici prin folosirea unor solutii software sub forma programelor Malware instalate pe sistemele POS. Îndreptatea eforturilor de colectare a datelor informatice de pe carduri se adresează adesea lanturilor mari de magazine, acest lucru permite infractorilor folosirea unui program Malware pentru a colecta datele unor milioane de carduri într-o singură campanie de atac.

Programele malware pentru POS exploatează o bresă de securitate din circuitul procesării datelor de card în tranzactii standard. În decursul trimiterii datelor de card pentru autorizarea plătii, aceste date sunt încriptate, dar în timpul procesării unei plăti, de exemplu – momentul în care glisezi cardul prin dispozitivul POS pentru plata unor bunuri –, aceste date nu sunt încriptate. Infractorii informatici au exploatat această bresă de securitate în 2005 – o campanie orchestrată de Albert Gonzalez a permis furtul de date de pe 170 de milioane de carduri. 
   
Odată cu acest precedent, infractorii dezvoltă o piată a ofertelor de furnizare si vânzare a programelor Malware care citesc date tip Track 2 din memoria terminalelor POS. Majoritatea sistemelor POS operează sub platforma Windows, dezvoltarea de programe Malware care functionează pe această platformă este relativ facilă (pentru cei experimentati). Programele Malware dedicate furtului de informatii de pe carduri sunt cunoscute drept programe Malware de “răzuire” a memoriei (memory-scraping malware), acestea “extrag” din memoria sistemului POS informatiile care se potrivesc tiparului de date tip Track 2. În momentul glisării cardului prin sistemul POS, un program Malware va crea un duplicat al datelor tip Track 2 în memoria aparatului POS, aceste date fiind recuperate ulterior de infractorul informatic. BlackPOS este un celebru program Malware de colectare a datelor, acesta este vândut pe forumuri online dedicate cyber-infractiunilor. Symantec detectează acest program Malware sub titulatura de Infostealer Reedum B.  

“Înarmati” cu programe Malware pentru sisteme POS, următoarea provocare a infractorilor este infiltrarea programelor în interiorul terminalelor POS. Sistemele POS nu sunt în mod necesar conectate la Internet, dar o anumită conectivitate cu reteaua corporate este prezentă. În primă fază, atacatorii vor încerca să infiltreze reteaua corporate. Ei reusesc acest lucru prin exploatarea unor vulnerabilităti în sistemele externe (de fatadă), folosind o “injectie” de cod SQL (interpelare SQL) în interiorul unui server Web, sau găsind un dispozitiv periferic care operează cu parolă standard oferită de producător. Odată obtinut accesul în retea, infractorii vor folosi diferite instrumente de hacking pentru accesarea segmentului de retea care găzduieste sistemele POS. În urma instalării unui program Malware pe un POS, infractorii îsi vor “ascunde” pasii de acces si activitatea. Pasii de mascare a activitătii includ operatiuni de “curătare” (scrubbing) a fisierelor de log (fisiere jurnal de activitate), sau manipularea software-ului de securitate, operatiuni care permit infractorilor manipulări informatice în regim continuu si colectare nelimitată de date. 

Din păcate pentru infractorii informatici, furtul de date de pe cardurile de credit nu este rentabil, aceste date au o perioadă de valabilitate limitată. Companiile care emit carduri de credit depistează cu promptitudine anomalii în tiparele de achizitii ale utilizatorilor, iar unii utilizatori sunt foarte atenti în legătură cu extrasele de cont, fapt care impune infractorilor aprovizionarea cu noi date de card.

Vestea cea bună este faptul că operatorii lanturilor de magazine pot preveni recidivele acestor tipuri de atacuri. Tehnologia de plată va înregistra o înnoire. Multi dintre operatorii de lanturi de magazine din Statele Unite grăbesc procesele de tranzitie la tehnologia EMV, plata prin tehnologie tip “Chip and Pin”. Cardurile tip “Chip and Pin” sunt mult mai dificil de clonat, atractivitatea lor pentru infractori fiind diminuată. Noi modele de plată tehnologică vor vedea lumina zilei. Dispozitivele smartphone vor actiona drept carduri de credit, tehnologia mobilă NFC (Near Field Communication – Comunicare cu Dispozitive de Proximitate) este adoptată gradual si sigur.

În mod clar, infractorii informatici vor răspunde chiar si acestor noi tehnologii, dar faptul că operatorii mari de lanturi de magazine îsi concentrează eforturile asupra adoptării acestor inovatii, iar companiile de securitate îsi intensifică monitorizarea, furtul la scară mare de date prin intermediul dispozitivelor POS va deveni din ce în ce mai dificil si mai putin profitabil.

Symantec Corporation (NASDAQ: SYMC) este expert în protectia informatiilor; compania ajută oameni, afaceri, guverne a-si dezvălui si potenta oportunitătile oferite de tehnologie, pretutindeni în lume. Fondată în aprilie 1982, compania Symantec este inclusă în topul companiilor Fortune 500; aceasta instrumentează una dintre cele mai vaste retele de inteligentă a datelor, oferă solutii performante de securitate, backup si disponibilitate a datelor stocate în vederea accesării si partajării acestora. Compania numără peste 21,500 de angajati cu rezidente în peste 50 de tări. 90% dintre companiile din Topul Fortune 500 fac parte din portofoliul de clienti Symantec. În anul fiscal 2013, Symantec înregistrează venituri de 6.9 miliarde dolari SUA.