美國連鎖餐廳Applebee’s收銀系統感染 POS端點銷售病毒 消費者姓名、信用卡資訊可能外洩

擁有超過160家Applebee’s餐廳的RMH Franchise Holdings (RMH)在3月2日披露其端點銷售(PoS)系統出現惡意軟體。PoS惡意軟體感染系統的這段時間可能導致客戶姓名、信用卡或借記卡號及卡片驗證碼的外流。

美國連鎖餐廳Applebee’s收銀系統感染 POS端點銷售病毒 消費者姓名、信用卡資訊可能外洩

RMH表示”它的端點銷售系統與大部分的Applebee’s網路是隔離開來的”,而且”此通知僅適用於RMH所擁有的Applebee’s餐廳”。線上或桌上付款設備沒有受到影響。他們的報告還列出受影響Applebee’s餐廳的位置,包括了阿拉巴馬州、亞利桑那州、德州、佛羅里達州、伊利諾州、印第安納州、堪薩斯州、肯塔基州、俄亥俄州、密西西比州、密蘇里州、內布拉斯加州、奧克拉荷馬州、賓州和懷俄明州的餐廳。

RMH建議可能受到影響的客戶要定期檢查金融報表,並向執法機構通報任何詐騙活動。RMH還設置專門的熱線(888-764-7357)來提供協助。

 

[相關新聞:Forever 21報告PoS惡意軟體造成資料外洩]

RMH在其聲明中說明:”在2018年2月13日發現入侵事件後,RMH立即採取行動來確保情況受到控制。除了聘請第三方網路安全專家協助調查外,RMH還將相關事件通知執法部門,並將會繼續合作調查。在之後,RMH將會繼續密切監控系統並審查安全措施來防止類似情況再次發生”。

Continue reading “美國連鎖餐廳Applebee’s收銀系統感染 POS端點銷售病毒 消費者姓名、信用卡資訊可能外洩”

服飾品牌Forever 21 承認支付系統遭駭

服飾品牌Forever 21發布其在2017年11月時回報資料外洩事件調查結果,揭示出現端點銷售(PoS)惡意軟體及對受影響PoS設備進行未經授權存取的跡象,這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。

在聲明中:“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下,惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼,但偶爾還是會找到持卡人姓名”。

Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統,但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。

服飾品牌Forever 21 承認支付系統遭駭

[延伸閱讀:2017年的知名資料外洩事件時間表]

PoS惡意軟體(以AbaddonPOSRawPOSMajikPOS為代表)經常結合其他威脅來最大化能夠竊取的資料,像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊(PII)。

被竊的資料最終通常都會放在地下網路犯罪市場販賣,最高可達700美元。像是中國地下市場也會提供相關的產品,如可以從PoS設備和自動提款機(ATM)取得資料的硬體側錄器。

被竊的PII也可以用來進行其他網路攻擊,就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業,從大型跨國公司到中小型企業(SMB)都有。

[延伸閱讀:駭客可以用你被竊的身份資料做什麼?]

企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範(GDPR)將對未能保護客戶資料處以罰款2,000萬歐元(2400萬美元)。

以下是企業可以用來減輕這類威脅的五個做法:

  1. 確保所有商店都符合最新的支付卡產業資料安全標準(PCI-DSS
  2. 部署使用點對點加密的晶片密碼卡(EMV),這比磁條卡要來得安全
  3. 保護好其他可能的進入點,例如遠端桌面和端點 Continue reading “服飾品牌Forever 21 承認支付系統遭駭”

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

 

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

儘管屬於最古老端點銷售(PoS)記憶體擷取惡意軟體家族之一,RawPOS(趨勢科技偵測為TSPY_RAWPOS)在今天仍然相當活躍,幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣,但這惡意軟體加進了身分竊盜的新行為,讓受害者面臨更大的風險。具體地說,這新行為是關於RawPOS會竊取使用者的駕照資訊,可以用在駭客集團的其他惡意活動。

 

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

圖1:從2009至2014年的PoS記憶體擷取程式家族

 

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上,PoS威脅的目標是信用卡的磁條資料,並且使用其他元件(如鍵盤側錄程式和後門程式)來取得其他有價值的資料。RawPOS企圖兩者通知,巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一,RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例: Continue reading “為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?”

《資安新聞週報》勒索軟體在臺猖獗,上半年13萬個裝置中標/銀行惡意程式持續肆虐 台灣也成受駭國家之一

FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客

今日企業總是以能夠快速因應外在環境變化而自豪,不幸的是,網路犯罪集團何嘗不是如此。最近出現了一個專門攻擊個專門攻擊銷售櫃台系統 (PoS) 的新惡意程式家族,此惡意程式家族的特點是竊取到資料之後會馬上回傳給遠端的駭客。趨勢科技根據這項特性,將它命名為 FastPOS。

FastPOS 的設計是會立即將竊取到的信用卡資料外傳,而非先儲存在本機上的一個檔案,然後再定期傳送給駭客。這表示它或許是專門針對小型網路環境而設計,例如只有一台 DSL 數據機連接一台 POS 系統的環境。

攻擊管道和目標

FastPOS (趨勢科技的偵測名稱為: TSPY_FASTPOS.SMZTDA)  可經由三種管道進入其攻擊目標:

  • 指向某個已遭駭客入侵網站的連結 (該網站專門討論外科雷射技巧)
  • 即時檔案分享服務
  • 透過 VNC 直接傳輸檔案

前兩種方法還需透過社交工程social engineering技巧來誘騙使用者執行惡意程式,最後一種方法則需要經由某種管道取得公司的登入帳號密碼,或者透過暴力破解的方式取得目標使用者的帳號密碼。

這項威脅的受害者分布非常廣:我們在全球各地都有發現受害者。主要分布於下列地區:

  • 美洲:巴西和美國
  • 亞洲:香港、日本、台灣
  • 歐洲:法國
圖 1:FastPOS 受害者分布的國家和產業。
圖 1:FastPOS 受害者分布的國家和產業。

此外,其產業分布也很廣。美國的受害機構還包括獸醫診所,其他地區的受害機構則包括食品業和物流業;另有某些案例的受害機構為開放 VNC 連線的遠端辦公室。

資訊竊盜

FastPOS 會將偷取到的資訊「立即」傳送給遠端駭客,而非先儲存在本機,等到固定時間再上傳。雖然這可能造成一些不正常的網路流量,但由於今日的裝置隨時都連上網路,因此這樣的流量相對上很容易隱藏。其竊取的資訊方式有兩種:鍵盤側錄和記憶體擷取。 Continue reading “FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客”

PoS攻擊的演進 – 更加複雜也更具針對性

 

ransomware-business 一般 通用 上網

根據趨勢科技2015年第三季資安綜合報告 – 「危險當前:現今的弱點引發即將到來的攻擊」,針對中小企業(SMB)的銷售端點(PoS)記憶體惡意軟體正在崛起。現在出現惡意份子會利用傳統的大規模感染工具(如垃圾郵件、「Botnet傀儡殭屍網路」和漏洞攻擊包)來大量散播PoS記憶體惡意軟體。我們相信在可預見的未來會對中小企業產生相當大的威脅。

PoS記憶體惡意軟體只是中小企業所面臨威脅的最新一個。事實上,他們成為犯罪集團潛在目標已經數十年了。從歷史上看,中小企業曾經是以現金為主的企業(現在已經大幅減低),遭受到大量的商品、服務、現金和支票被竊事件。直到1980年代開始根本性的轉換並依賴於非現金支付系統,包括通用和專用卡片系統、自動化票據交換所(ACH)和支票。非現金支付系統的詐騙損失從1980年的大約1.1億美元成長到2015年的超過160億美元。

1990年代的中小企業所面臨的大規模支付卡資料竊盜集中在實體的資料外洩。卡片資料甚至是銀行帳戶資料經由側錄(拷貝磁條資料)造成實際上的損害。即使有新而更加複雜的支付系統出現,犯罪集團仍然將目標放在地方的中小企業。他們在今日繼續的針對金融、旅館和零售業來進行側錄活動。

Continue reading “PoS攻擊的演進 – 更加複雜也更具針對性”

 MalumPoS 惡意程式,可針對任何POS系統發動攻擊

趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式,就目前看到的情況,它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統,竊取其中的資料,此PoS平台是飯店、餐飲及零售業廣泛使用的系統。

IOE-POS

Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台,他們大多集中在美國,一旦此 PoS 記憶體擷取程式成功入侵他們的系統,這些知名的美國企業和其顧客都將陷入危險當中。

MalumPoS 這類 PoS 記憶體擷取程式,一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時,惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後,惡意程式會傳回給幕後犯罪集團,犯罪集團再用來製作偽卡,或用於線上購物詐騙。

MalumPoS 在設計上已內建設定彈性,也就是說,未來還能隨時修改或新增其他攻擊程序和攻擊目標,例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序,到那時,使用這類系統的企業都將陷入危險。

其他重要特點

MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比,有幾項有趣的特點:

  • 偽裝成 NVIDIA 顯示卡驅動程式:當植入系統當中時,MalumPoS 會使用「NVIDIA Display Driver」或「NVIDIA Display Driv3r」的名稱來偽裝成顯示卡驅動程式。雖然一般的 PoS 系統並不需要安裝 NVIDIA 顯示卡驅動程式,但 NVIDIA 在使用者之間的知名度很可能讓使用者不疑有他。

 MalumPoS 惡意程式,可針對任何POS系統發動攻擊

圖 1:MalumPOS 偽裝成系統服務 Continue reading ” MalumPoS 惡意程式,可針對任何POS系統發動攻擊”