Terminale POS atakowane przez POSeidona

Przeczytaj także: Czeski robak kradnie dane w Internecie

Rodzina złośliwego oprogramowania nazwana „POSeidon” infekuje urządzenia terminali POS, ściągając z ich pamięci RAM dane numerów kart kredytowych i innych ważnych informacji w celu „pozyskiwania i dalszej ich odsprzedaży”.

Pozyskiwanie danych z pamięci RAM jest dość starą techniką ataku, która w ostatnich latach została na nowo wykorzystana przy próbach kradzieży informacji z urządzeń pośredniczących przy płatnościach. Złośliwe oprogramowanie, początkowo dość proste, z czasem przekształciło się w bardziej złożone i skomplikowane twory. Podszywają się one pod zwyczajne pliki systemowe lub usługi sieci. Oferują ulepszone możliwości eksfiltracji danych, czyli wyszukania ich określonych ciągów, wyglądających jak numery kart kredytowych i pozwalających na zapisanie ich w pliku tekstowym. Celem takiego działania jest oczywiście kradzież owych danych.

Co interesujące, złośliwe oprogramowanie może oprzeć się takim zabiegom, jak ponowny rozruch urządzenia, i uruchomić się w jego pamięci nawet w momencie, gdy użytkownik nie jest zalogowany. To jednak nie wszystko – na zainfekowanym urządzeniu jest instalowany także keylogger, który przeszukuje pamięć terminala w celu odnalezienia ciągu liczb, które mogłyby się okazać numerami kart kredytowych. Po ich weryfikacji przy użyciu odpowiedniego algorytmu (Luhn), numery kart kredytowych są szyfrowane i wysyłane do rosyjskiej domeny (.ru)

Napastnicy w dalszym ciągu będą celowali w terminale PoS i planują angażować coraz bardziej przemyślane techniki w celu ominięcia wykrycia swoich działań. Tak długo, jak ataki tego typu będą możliwe i będą dostarczały zyski, tak długo hackerzy będą inwestowali w nie swój trud, wymyślając nowe metody przechwytywania informacji.

Aby natychmiast wykryć i zabezpieczyć dowody włamania POS, detaliści muszą regularnie badać swoje możliwości wykrywania i ściśle obserwować ruch wychodzący w poszukiwaniu wszelkich nieprawidłowości. Na przykład czy ruch nie odbywa się w poza godzinami użytkowania i nie jest wysyłany w konkretną lokalizację.

Już we wrześniu zeszłego roku informowaliśmy o próbach wyłudzeń poprzez terminale PoS, przypominamy kilka porad, które przygotował Catalin Cosoi, Dyrektor Strategii Bezpieczeństwa w firmie Bitdefender:

• Ataki przekaźnikowe: technika polega na podstawionym, spreparowanym terminalu, który przekazuje dane ofiary do wspólnika oszusta, który niemal równolegle może wykorzystać dane do wykonania kolejnej transakcji.
  
  Porada: Tak jak w przypadku zhakowanego terminala, wykrycie takiego oszustwa jest niemal niemożliwe – należy być czujnym i zwracać uwagę na podejrzane szczegóły odbiegające od przyjętych norm.
• Zdublowana karta: atakujący wykorzystuje różne niestandardowe techniki, aby poznać dane ofiary, w tym jej adres i numer PESEL. Następnie próbuje nakłonić bank do wydania nowej karty w imieniu ofiary. Karta może następnie posłużyć np. do zakupów online.
  
  Porada: powiadom swój bank o każdej podejrzanej działalności dotyczącej Twojego konta.

Oprócz powyższych wskazówek, Catalin Cosoi z firmy Bitdefender przypomina, aby nigdy nie pozwalać nikomu odejść ze swoją kartą płatniczą – nawet, gdy miły personel oferuje pomoc lub – przykładowo − informuje o nieudanej próbie płatności z danego terminala i chęci ponowienia transakcji z innego urządzenia, znajdującego się na zapleczu.