2014年是PoS(銷售終端)威脅倍受矚目的一年。沒錯,PoS威脅已經存在多年了。但去年一月的Target資料外洩事件讓普羅大眾注意到此種威脅。
2014:PoS惡意軟體的一年
雖然Target資料外洩事件可能是2014年第一起和銷售終端有關的攻擊,但很快地我們就清楚地知道這並非最後一起。到去年第三季為止,出現了六個PoS記憶體擷取惡意軟體,這跟2011年到2013年間所發現的變種總數一樣。
更讓人感興趣的是,這些新變種不是借用早期版本的功能,就是直接從舊版PoS記憶體擷取惡意軟體家族演進而來。例如,BackOff是Alina的前身。BackOff據報導曾被用在針對Dairy Queen和UPS的攻擊中。
但它們並非唯一在2014年活躍的變種。備受矚目的Home Depot外洩事件跟一個被稱為BlackPoS的知名PoS惡意軟體家族有關。這也是用在Target資料外洩事件中的惡意軟體家族。PoS惡意軟體還出沒在美國的感恩節周末,這是有名的購物假期。另一個被稱為LusyPoS的銷售終端惡意軟體則出現在俄羅斯地下論壇。
在地下世界的PoS相關活動
由於PoS記憶體擷取程式漸漸地被大量做為快速賺錢的工具,開發套件也開始在網路犯罪地下世界浮出檯面。其中一個是VSkimmer,在2013年出現用來打造PoS記憶體擷取程式的工具。
透過記憶體擷取程式竊取信用卡資料後,多數詐騙份子接著會在論壇上批次出售偷來的信用卡資料。交易都是使用比特幣、西聯匯款、MoneyGram、Ukash或WebMoney等完成,因為這些方式提供買賣雙方便利性和匿名性。
就跟一般產業一樣,供需問題會大大的影響地下世界。不同的信用卡根據需求和供給狀況而在地下卡片市場有著不同的單位價格。一次性大量購買信用卡資料通常都有折扣,在某些例子中甚至可以拿到高達66%的折價。
一個有意思的發現是Discover和美國運通(AMEX)卡的單價比Visa和MasterCard卡高。這是因為AMEX和Discover卡的資料跟較通用的Visa和MasterCard卡比起來更難看到;少見的資料價格較高。不過並沒有明確原因顯示出AMEX和Discover卡資料會比Visa和MasterCard卡資料來的更有利可圖。
擴大目標
PoS攻擊也在2014年擴大其目標範圍。詐騙份子走出了購物中心,開始攻擊像機場、地鐵站和停車場等新目標。
資安公司Census的研究人員展示關於針對機場旅客的PoS攻擊資料。Census將PoS的定義延伸到機場的自助登機服務站、無線網路服務站、行李定位服務站等。研究人員可以發動簡易的攻擊以從這些自助服務機台擷取旅客的資料。資安公司IntelCrawler談論到一個稱為「d4re| DEV1|」(daredevil)的PoS惡意軟體,它的目標是大眾運輸系統的車站。該惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤側錄等功能。
停車場也成為詐騙份子竊取付費資訊的熱門目標。一家美國的停車場管理廠商有17座停車場的付費處理系統受到入侵。另一家泊車服務公司Park’N Fly也發生資料外洩事件,被竊走的資料出現詐騙事件裡。另一家服務onestopparking.com也成為Target和Home Depot資料外洩事件幕後網路犯罪集團的受害者。
PoS攻擊的未來
那PoS攻擊的未來會是什麼?
隨著PoS記憶體擷取程式成為顯著的威脅,大企業將會投入巨資在網路安全上以防範這類針對性攻擊。因此,網路犯罪分子會將目標集中在中小型企業上,因為這些公司不一定有辦法具備跟大企業一樣的網路安全預算來防止PoS資料外洩事件。我們可能會看到有大量的中小企業受到攻擊,結果所造成的總傷害會比攻擊大企業還要大。
實施像新Europay、MasterCard和Visa(EMV)標準和PCI DSS v3.0安全標準可以顯著地改變網路犯罪份子在PoS領域的遊戲規則。這兩項措施將在2015年10月完全生效 – 預期可以看到PoS資料外洩事件的下降,雖然網路犯罪分子也會試圖找出新方法來有效地駭入升級後的系統和環境。可能會花上好幾個月,或許要到2016年中期才可以再次完全入侵銷售終端環境。
鑑於上述內容,犯罪分子肯定也會找到新方法去透過能存取企業網路的第三方廠商來進行資料外洩攻擊。這仍是最弱的一環,所以最可能被攻擊,因為其並不具備和大型企業同等的安全等級。
目前已經有許多執法單位在重點調查這些資料外洩事件,但到目前為止,還沒有大型逮捕行動出現。某些單位即將要結束調查和進行逮捕,而這也將會成為頭條新聞。
@原文出處:Looking Back (and Forward) at PoS Malware作者:Numaan Huq(資深威脅研究員)