ANALIZA: Cum esti furat prin POS

ANALIZA: Cum esti furat prin POS symantecanalizainfractoriciberneticiposfurt de date

Ciber-infractorii devin tot mai interesati de datele confidentiale stocate pe cardurile de credit. Si chiar daca exista o serie de modalitati prin care sa poata fura informatii confidentiale in mediul online, echipamentele POS (cititoare magnetice, calculatoare POS, terminale PDA) sunt in continuare tinte preferate, se arata intr-un studiu Symantec.
Aproximativ 60% dintre achizitiile din magazine dotate cu echipamente POS sunt platite prin intermediul unui card de credit sau de debit.
 
Avand in vedere faptul ca lanturile mari de magazine proceseaza zilnic mii de tranzactii cu ajutorul unui POS, aceste dispozitive se afla in raza de actiune a infractorilor informatici care cauta volume mari de date informatice stocate pe cardurile de credit.
 
Milioane de posibile victime
 
Exista, in present, un numar impresionant de forumuri online care vand datele cardurilor de credit si de debit intr-o varietate de formate.
 
Cel mai comun format este “CVV2”, unde vanzatorul furnizeaza numarul cardului de credit, alaturi de codul aditional de securitate CVV2, notat in mod uzual pe verso-ul cardului.
 
Aceste doua informatii sunt indeajuns pentru a facilita achizitii online frauduloase. In acelasi timp, exista anumiti vanzatori care ofera date confidentiale (mai) lucrative de tip “Track 2”. Aceasta prescurtare se refera la datele salvate pe banda magnetica a unui card de credit sau debit.
 
Valoarea acestui tip de informatie este superioara si permite infractorilor clonarea de carduri, fapt care faciliteaza folosirea cardurilor-clona in magazine mixte de cartier sau chiar si la bancomate (ATM-uri), in functie de disponibilitatea codului PIN.
 
Valoarea acestor date confidentiale de carduri este normata de pretul online de vanzare, iar preturile variaza in functie de anumiti factori. Datele tip CVV2 se vand cu valori intre 0.1 dolari si 5 dolari per card, iar datele tip Track 2 pot costa pana la 100 de dolari per card.   
 
 
Cum obtin infractorii informatici aceste date?
 
Metoda Skimming (care este cea mai populara) implica instalarea unui dispozitiv hardware aditional intr-un terminal POS pentru a “citi” datele tip Track 2 de pe carduri. Aceasta procedura necesita acces fizic la sistemul POS, echipament suplimentar costisitor, fiind dificila de operat la o scara mai mare.
 
Problema a fost inlaturata de infractorii informatici prin folosirea unor solutii software sub forma programelor Malware instalate pe sistemele POS.
 
Indreptatea eforturilor de colectare a datelor informatice de pe carduri se adreseaza adesea lanturilor mari de magazine, acest lucru permite infractorilor folosirea unui program Malware pentru a colecta datele unor milioane de carduri intr-o singura campanie de atac.
 
Programele malware pentru POS exploateaza o bresa de securitate din circuitul procesarii datelor de card in tranzactii standard. In decursul trimiterii datelor de card pentru autorizarea platii, aceste date sunt incriptate, dar in timpul procesarii unei plati, de exemplu – momentul in care glisezi cardul prin dispozitivul POS pentru plata unor bunuri –, aceste date nu sunt incriptate.
 
Infractorii informatici au exploatat aceasta bresa de securitate in 2005 – o campanie orchestrata de Albert Gonzalez a permis furtul de date de pe 170 de milioane de carduri. 
 
POS-urile sub platform Windows
 
Odata cu acest precedent, infractorii dezvolta o piata a ofertelor de furnizare si vanzare a programelor Malware care citesc date tip Track 2 din memoria terminalelor POS.
 
“Majoritatea sistemelor POS opereaza sub platforma Windows, dezvoltarea de programe Malware care functioneaza pe aceasta platforma este relativ facila (pentru cei experimentati). Programele Malware dedicate furtului de informatii de pe carduri sunt cunoscute drept programe Malware de “razuire” a memoriei (memory-scraping malware), acestea “extrag” din memoria sistemului POS informatiile care se potrivesc tiparului de date tip Track 2”, spun specialistii de la Symantec.
 
In momentul glisarii cardului prin sistemul POS, un program Malware va crea un duplicat al datelor tip Track 2 in memoria aparatului POS, aceste date fiind recuperate ulterior de infractorul informatic.
 
Malware-ul BlackPOS
 
BlackPOS este un celebru program Malware de colectare a datelor, acesta este vandut pe forumuri online dedicate cyber-infractiunilor. Symantec detecteaza acest program Malware sub titulatura de Infostealer Reedum B.  
 
“Inarmati” cu programe Malware pentru sisteme POS, urmatoarea provocare a infractorilor este infiltrarea programelor in interiorul terminalelor POS.
 
Sistemele POS nu sunt in mod necesar conectate la Internet, dar o anumita conectivitate cu reteaua corporate este prezenta. In prima faza, atacatorii vor incerca sa infiltreze reteaua corporate. Ei reusesc acest lucru prin exploatarea unor vulnerabilitati in sistemele externe (de fatada), folosind o “injectie” de cod SQL (interpelare SQL) in interiorul unui server Web, sau gasind un dispozitiv periferic care opereaza cu parola standard oferita de producator.
 
Odata obtinut accesul in retea, infractorii vor folosi diferite instrumente de hacking pentru accesarea segmentului de retea care gazduieste sistemele POS.
 
In urma instalarii unui program Malware pe un POS, infractorii isi vor “ascunde” pasii de acces si activitatea. Pasii de mascare a activitatii includ operatiuni de “curatare” (scrubbing) a fisierelor de log (fisiere jurnal de activitate), sau manipularea software-ului de securitate, operatiuni care permit infractorilor manipulari informatice in regim continuu si colectare nelimitata de date. 
 
Furtul de date de pe carduri de credit - rentabil sau nu?
 
Din pacate pentru infractorii informatici, furtul de date de pe cardurile de credit nu este rentabil, aceste date au o perioada de valabilitate limitata.
 
Companiile care emit carduri de credit depisteaza cu promptitudine anomalii in tiparele de achizitii ale utilizatorilor, iar unii utilizatori sunt foarte atenti in legatura cu extrasele de cont, fapt care impune infractorilor aprovizionarea cu noi date de card.
 
Vestea cea buna este faptul ca operatorii lanturilor de magazine pot preveni recidivele acestor tipuri de atacuri. Tehnologia de plata va inregistra o innoire. Multi dintre operatorii de lanturi de magazine din Statele Unite grabesc procesele de tranzitie la tehnologia EMV, plata prin tehnologie tip “Chip and Pin”. Cardurile tip “Chip and Pin” sunt mult mai dificil de clonat, atractivitatea lor pentru infractori fiind diminuata.
 
Noi modele de plata tehnologica vor vedea lumina zilei. Dispozitivele smartphone vor actiona drept carduri de credit, tehnologia mobila NFC (Near Field Communication – Comunicare cu Dispozitive de Proximitate) este adoptata gradual si sigur.
 
In mod clar, infractorii informatici vor raspunde chiar si acestor noi tehnologii, dar faptul ca operatorii mari de lanturi de magazine isi concentreaza eforturile asupra adoptarii acestor inovatii, iar companiile de securitate isi intensifica monitorizarea, furtul la scara mare de date prin intermediul dispozitivelor POS va deveni din ce in ce mai dificil si mai putin profitabil.