在暗網/黑暗網路(Dark Web)網上被發現有網路犯罪分子出售超過3,000萬筆的信用卡資料,據推測來源是去年一家美國連鎖加油站和便利商店發生的資料外洩事件。
這起資安事件被披露後,有人用BIGBADABOOM-III這名稱在黑市Joker’s Stash上宣傳及販賣這份資料。犯罪份子利用 PoS惡意軟體攻擊感染了 PoS 裝置超過10個月的時間,直到去年12月才被發現。這起事件影響了860家便利店,其中有600家同時也是加油站。該公司已經通知發卡機構關於資料外洩和網路販賣的資訊。
根據Gemini Advisory的報告,其中約有3,000萬筆卡片記錄來自美國超過40個州,而有約100萬筆記錄來自100多個不同國家。大部分美國發行的信用卡資料都來自佛羅里達州和賓州。國際發行的卡片則包括了拉丁美洲、歐洲和幾個亞洲國家。研究人員推測是持卡者訪問美國並在當地加油站進行交易時被收集的。
由於大多數的 PoS 裝置和系統皆使用嵌入式 Windows 7 版本,且很可能未定期更新修補或安裝防毒軟體,因此,即使是像 FIN8 這種不太複雜的惡意程式攻擊也能輕鬆得逞。
根據資安研究人員發現,駭客團體 FIN8 在沉寂了兩年之後又再度重現江湖,推出了一個新的銷售櫃台系統 (PoS) 惡意程式,名叫「Badhatch」,專門竊取信用卡資訊。研究人員在分析了 Badhatch 的樣本之後發現,它與 PowerSniff 有諸多相似之處,只不過 Badhatch 多了一些新的功能,包括:掃描受害者網路、讓駭客從遠端遙控、安裝後門程式,以及散布其他修改過的惡意程式 (如 PoSlurp 和 ShellTea) 等等。
Badhatch的感染手法一開始與其前輩 PowerSniff 類似,都是透過精心製作的網路釣魚(Phishing)郵件並夾帶惡意 Word 文件。受害者一旦啟用了巨集功能,該文件就會啟動 PowerShell 並執行 PowerSniff 的 shellcode 腳本,過程當中還會安裝一個後門程式。它的網路掃描功能有別於 PowerSniff,無法判斷其感染的系統是否位於教育或醫療產業。此外,研究人員也指出它缺乏偵測沙盒模擬環境的能力,亦缺乏躲避防毒產品的能力,更不像其前輩具備長期躲藏的機制。不過,研究人員表示,這反倒是它的一項優勢,因為駭客可以在感染之後立即執行惡意行為,並且更能掌控惡意程式的使用方式,進而避開一些自動化沙盒模擬分析功能。
繼續閱讀擁有超過160家Applebee’s餐廳的RMH Franchise Holdings (RMH)在3月2日披露其端點銷售(PoS)系統出現惡意軟體。PoS惡意軟體感染系統的這段時間可能導致客戶姓名、信用卡或借記卡號及卡片驗證碼的外流。
RMH表示”它的端點銷售系統與大部分的Applebee’s網路是隔離開來的”,而且”此通知僅適用於RMH所擁有的Applebee’s餐廳”。線上或桌上付款設備沒有受到影響。他們的報告還列出受影響Applebee’s餐廳的位置,包括了阿拉巴馬州、亞利桑那州、德州、佛羅里達州、伊利諾州、印第安納州、堪薩斯州、肯塔基州、俄亥俄州、密西西比州、密蘇里州、內布拉斯加州、奧克拉荷馬州、賓州和懷俄明州的餐廳。
RMH建議可能受到影響的客戶要定期檢查金融報表,並向執法機構通報任何詐騙活動。RMH還設置專門的熱線(888-764-7357)來提供協助。
[相關新聞:Forever 21報告PoS惡意軟體造成資料外洩]
RMH在其聲明中說明:”在2018年2月13日發現入侵事件後,RMH立即採取行動來確保情況受到控制。除了聘請第三方網路安全專家協助調查外,RMH還將相關事件通知執法部門,並將會繼續合作調查。在之後,RMH將會繼續密切監控系統並審查安全措施來防止類似情況再次發生”。
服飾品牌Forever 21發布其在2017年11月時回報的資料外洩事件調查結果,揭示出現端點銷售(PoS)惡意軟體及對受影響PoS設備進行未經授權存取的跡象,這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。
在聲明中:“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下,惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼,但偶爾還是會找到持卡人姓名”。
Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統,但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。
[延伸閱讀:2017年的知名資料外洩事件時間表]
PoS惡意軟體(以AbaddonPOS、RawPOS和MajikPOS為代表)經常結合其他威脅來最大化能夠竊取的資料,像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊(PII)。
被竊的資料最終通常都會放在地下網路犯罪市場販賣,最高可達700美元。像是中國地下市場也會提供相關的產品,如可以從PoS設備和自動提款機(ATM)取得資料的硬體側錄器。
被竊的PII也可以用來進行其他網路攻擊,就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業,從大型跨國公司到中小型企業(SMB)都有。
[延伸閱讀:駭客可以用你被竊的身份資料做什麼?]
企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範(GDPR)將對未能保護客戶資料處以罰款2,000萬歐元(2400萬美元)。
以下是企業可以用來減輕這類威脅的五個做法:
