Зараження POS-терміналу

Зараження POS-терміналів (Point Of Sale - точка продажу), програмно-апаратних комплексів для торгівлі або автоматизованих робочих місць касира, - це діяльність кіберзлочинця націлена на крадіжку даних банківських карток і подальшим виведенням з них коштів.

Класифікація способів зараження POS-терміналів

Шкідливі програми для програмно-апаратних комплексів для торгівлі (POS-терміналів) можна розділити за обсягом виконуваних завдань і характером інформації, що викрадається.

Програми, що записують вміст оперативної пам'яті – обов'язкова частина будь-яких програм для зараження POS-терміналів, оскільки при транзакції всі дані з банківської картки обробляються саме в оперативній пам'яті. RAM-скраппери в свою чергу можна поділити на ті, які записують інформацію з пам'яті і пересилають їх на сервер хакера для подальшого офлайн-аналізу, і більш просунуті варіанти, здатні самостійно виділяти з потоку дані з track1/track2 магнітних смуг банківських карток.

Крім аналізу оперативної пам'яті для виділення даних track1/track2 такі програми записують і всі натискання клавіш, фіксуючи PIN-коди та іншу інформацію, що вводиться.

Оскільки всі транзакції проводяться через комп'ютер або мобільний пристрій, розробка зараженого програмного забезпечення часто відбувається не з нуля, а модифікують вже створені троянці та віруси, додаючи RAM-скраппери для розкрадання даних з банківських карток. Відповідно такі шкідливі програми можуть містити руткіти для приховування слідів роботи програми, бекдори для віддаленого доступу, викрадати іншу інформацію. Так, відомий POS-malware vSkimmer збирає інформацію про використовувану ОС, користувачів, GUID ідентифікатор.

Об'єкт впливу

Коли мовайдеться про зараження POS-терміналів, шкідливі програми впроваджується не в зчитувач картки, з яким має справу господар карти, а в комп'ютер або мобільний пристрій, що ним управляють. Хоча всі дані про транзакції, що передаються, шифруються, з магнітної смуги карти вони надходять у незашифрованому вигляді, і кодуються вже на комп'ютері.

Еволюція вірусів для POS-терміналів

дані

Цією вразливістю користуються злочинці. Впроваджені в систему програми сканування оперативної пам'яті постійно аналізують її вміст та зчитують дані карток пам'яті. Записані на магнітній стрічці номер, термін дії, ім'я власника, PIN-код, CVV та CVC достатні для виготовлення клону, з яким можна знімати гроші та розплачуватися за покупки. Зрештою, знаючи ці дані, навіть без картки можна оплачувати онлайн-замовлення.

Чіповані карти захищені дещо краще, у них платіжна інформація шифрується чіпом до відправки POS-терміналу, і її перехоплення є марним. Однак магнітна смуга там також є і її дані можна скопіювати. У такому разі злочинець не зможе зняти гроші в банкоматі (немає чіпа), але все одно може використовувати її як засіб оплати там, де зчитується лише магнітна смуга. Щоправда, у такому разі залишаються сліди для правоохоронних органів, а тому злочинці вважають за краще копіювати карти лише з магнітною смугою.

Джерела загрози

Зараження POS-терміналу шкідливими програмами може статися кількома способами. Через інтернет за допомогою експлойтів, використовуючи USB інтерфейс до якого підключається заражений носій шляхом заміни безпечного POS-терміналу на заражений, розсилаючи спам із трояном-завантажувачем.

Програма, що краде паролі, може бути занесена в систему і навмисне. Банківські дані - величезна цінність,а неохайний чи скривджений співробітник, домовившись із хакером, легко занесе потрібну програму на комп'ютер. Потрібно лише підключити зовнішній носій – і троянець легко впровадиться у систему.

Третє важливе джерело загрози – компанії, які встановлюють та дистанційно обслуговують POS-термінали. Теоретично в таких фірмах система безпеки повинна бути організована на найвищому рівні, але на практиці це не завжди є вірним. Відомі випадки, коли, зламавши пароль віддаленого адміністратора POS-терміналів, зловмисники отримували доступ до банківських даних мільйонів користувачів.

Аналіз загрози

Для простого власника банківської карти головна небезпека зараження POS-терміналу в тому, що він просто не здатний це запобігти. Людина вставляє карту, припускаючи нормальну роботу системи, але якщо вона разом із зазначеним переказом грошей перешле кудись і її дані, їхній господар нічого не впізнає.

Для зниження ризику можна перейти від карти на якій розміщена тільки магнітна смуга до більш захищеної чипованої та регулярно контролювати стан своїх рахунків, відстежувати всі операції, щоб за будь-яких підозр одразу вжити заходів.

Що ж до власників POS-терміналів, то для них немає прямих збитків, адже крадуться дані не компанії, а власників карток. Однак репутаційні втрати та відтік клієнтури здатний вилитися на мільйонні збитки, а тому будь-яка фірма повинна вживати необхідних заходів для захисту банківських даних своїх клієнтів.

Нарешті, касирів та інших операціоністів крім роботи з терміналом навчатимуть і правилам інформаційної безпеки. Як мовилося раніше, методи поширення зараженого ПЗ не від способів інфікування інших комп'ютерів, і найчастіше проникнення троянців і вірусів обумовленонедбалістю та легковажністю користувачів, дотримання ж кібер-гігієни завдання зловмисників сильно ускладнює.