< IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?

 端點銷售:端點受駭

IOE-POS作者: Rik Ferguson(趨勢科技資安研究副總)

2014年的端點銷售(PoS)惡意軟體攻擊呈現巨大的跳躍,不管是數量上、素質上或危害的範圍。這些惡意作品通常是指PoS記憶體擷取程式,設計用來入侵進行銷售交易的業務用終端機。

經常有著數以千萬計的支付用卡片資料被竊,有時是一次攻擊行動就能造成。這些卡片資料接著會賣往地下世界的卡片論壇,它們在那被用來進行詐騙性購物、轉帳或提款。這些大規模的搶案已經成為分布全球地下卡片經濟的供應鏈骨幹。

它們如何運作?

當付款終端機在交易中處理你的信用卡資料時,在多數情況下它都是安全的加密、儲存和傳輸。然而,當資料在終端機內使用,交易發生的當下,它在終端機記憶體內以明碼的形式處理。PoS記憶體擷取程式是攻擊者設計用來檢查終端機內執行程序用記憶體及提取支付卡資料以供將來批量取回。也因為如此,PoS終端機變成了更具吸引力的犯罪對象;一次得逞的攻擊可以讓惡意份子賺到遠比傳統攻擊個別消費者要更多的錢。

為什麼 2014是指標性的一年?

如同2014年度安全綜合報告內所述,「損失的增加,也擴大了為網路攻擊作好準備的需求」,很簡單,在2014年看到了犯罪重心放到這領域呈現顯著地上升。在2009到2013年間,總共看到7種不同的PoS惡意軟體家族;即RawPOS、Rdasrv、Alina、Dexter、BlackPOS、Chewbacca和VSkimmer。

在2014年底,光是最上層的PoS記憶體擷取程式家族就成長了129%,還沒有算上個別的變種。2014年看到了Soraya、LusyPOS、JackPOS、Backoff、NewPoSThings、Decebal、BlackPOS 2、BrutPOS和GetMyPass的出現。

在真正網路犯罪的「涓滴(trickle down)」型式,舊工具BlackPOS涵蓋了剛剛好超過50%的感染數量,而新工具在使用上非常成功,散布範圍卻更加有限。

而這不只是出現在單一產業的現象而已,在這整年中,攻擊涵蓋了零售業(當然)、郵政、停車場、餐廳、旅館和美容產業。我們不要忘了,這些還都只是公開通報的入侵外洩事件。攻擊者非常快的就知道了PoS終端機代表著可供開採的潛在豐厚礦產。

 

我們該往哪裡走?

大規模的外洩事件讓許多人開始討論美國零售商是否最終要推出EMV或非接觸式終端機。不過最重要的是要記住,EMV終端機也一樣容易遭受PoS記憶體擷取程式的攻擊。卡片資料在交易間還是以明碼處理。EMV技術在歐洲的確看到「個人詐騙」的減少,但隨之上升的是「無卡詐騙」。這項技術並沒有導致詐騙性交易變少,只是將詐騙從店面推移到網路交易。

最近對PoS記憶體擷取程式的解決方案是利用新技術,如ApplePayVisa Token Service,當實際的卡片資料不會傳送給PoS終端機時,也就不可能被截取。

在此同時,接受信用卡付款都會成為大規模竊盜的潛在目標,應該更加小心確保這些設備安全。只要可以的話就該佈署端點安全解決方案,而網路監控技術應該要部署在重要網段來識別未經授權的存取、系統入侵和可能對敏感資料的竊取。這份白皮書提供數個重點來設計有效的安全PoS環境。

 

@原文出處:Point-of-Sale. Point-of-Compromise
更多文章,請至萬物聯網(IoE ,Internet of Everything)中文入網站