根據趨勢科技2015年第三季資安綜合報告 – 「危險當前:現今的弱點引發即將到來的攻擊」,針對中小企業(SMB)的銷售端點(PoS)記憶體惡意軟體正在崛起。現在出現惡意份子會利用傳統的大規模感染工具(如垃圾郵件、「Botnet傀儡殭屍網路」和漏洞攻擊包)來大量散播PoS記憶體惡意軟體。我們相信在可預見的未來會對中小企業產生相當大的威脅。
PoS記憶體惡意軟體只是中小企業所面臨威脅的最新一個。事實上,他們成為犯罪集團潛在目標已經數十年了。從歷史上看,中小企業曾經是以現金為主的企業(現在已經大幅減低),遭受到大量的商品、服務、現金和支票被竊事件。直到1980年代開始根本性的轉換並依賴於非現金支付系統,包括通用和專用卡片系統、自動化票據交換所(ACH)和支票。非現金支付系統的詐騙損失從1980年的大約1.1億美元成長到2015年的超過160億美元。
1990年代的中小企業所面臨的大規模支付卡資料竊盜集中在實體的資料外洩。卡片資料甚至是銀行帳戶資料經由側錄(拷貝磁條資料)造成實際上的損害。即使有新而更加複雜的支付系統出現,犯罪集團仍然將目標放在地方的中小企業。他們在今日繼續的針對金融、旅館和零售業來進行側錄活動。
網路上場
2000年代的網路全球化也帶來了全球化的網路犯罪集團。這新型態犯罪企業演化出背後支持的生態系統,深層網路。網路犯罪分子持續不停的成功進化,不僅對支付系統取得技術優勢,也對相關安全控制取得技術優勢。
在2000年代初,他們針對了處理、傳輸和儲存大量未加密支付卡資料的企業,證據就是大型零售業(如TJX)及處理系統(如Heartland支付系統)的資料外洩事件。也許是回應支付卡產業強制要求所有支付卡資料在儲存和傳輸中要使用強大的加密,在2000年代中期,網路犯罪分子已經開始進化去擷取記憶體內的卡片資料。
話雖如此,大多數人認為PoS 記憶體惡意軟體大約出現在2008年左右,一開始並沒有真正得到廣泛注意,直到2013年和2014年出現大規模的Target資料外洩事件,以及其他許多的零售業資料外洩事件。
是什麼讓PoS記憶體惡意軟體及其背後的網路犯罪集團如此成功?一切都因為惡意軟體及其背後惡意分子的演進。如今,PoS記憶體惡意軟體已經是高度專業化和客製化:
- 客製化成品通常是單一程式套件;包含了各種網路功能(例如,檔案傳輸協定FTP、Tor、HTTP等)來接收指揮和控制(C&C)伺服器來的指令
- 取回竊得卡片資料發送到遠端伺服器上
- 利用加密來保護經由多個管道的資料取回動作;
- 配備自毀功能來有效抹除入侵外洩的痕跡
- 整合開發套件用於進一步的客製化,以用在針對性攻擊/鎖定目標攻擊(Targeted attack)
這些網路犯罪集團也已經演變,成功地針對和感染成千上萬台大型零售商的PoS終端機來取得數以百萬計的信用卡帳號。最近,希爾頓和喜達屋飯店回報使用PoS惡意軟體的資料外洩事件,雖然還不知道是哪個惡意軟體家族造成。
中小企業遭受攻擊
在過去幾年間,中小企業也沒有倖免。它們同樣受到PoS惡意軟體的影響,但是它們沒有得到媒體相對應的關注。根據趨勢科技的資安綜合報告,PoS記憶體惡意軟體偵測增加了66%,其中有47%是針對中小企業。
感染率的增加可以歸因為惡意份子利用了大規模感染工具,包括Angler漏洞攻擊包、Andromeda殭屍網路和傳統夾帶惡意軟體的垃圾郵件。這種新感染策略加上中小企業原有的弱點 – 很少或根本沒有網路安全策略或計劃,最終導致中小企業會在未來一年面對最大的威脅問題。
建議和解決方案
- 安裝符合支付應用程式資料安全標準(Payment Application Data Security Standard)的支付應用程式
- 部署具備網頁、檔案和電子郵件信譽評比技術的防惡意軟體安全工具以防止惡意軟體攻擊。
- 使用網路、雲端和主機型IDS / IPS工具來防護未修補的漏洞。
- 使用可信任的防火牆來提供伺服器自訂的邊界控制。
- 對安全解決方案使用強密碼以防止應用程式被修改,盡可能採用雙因子認證(2FA)
- 使用校驗比較來確認任何來自第三方的自動更新
- 關閉非必要端口和服務、空連線、預設使用者和訪客帳號。
- 啟用事件日誌記錄,確保有程序來每天監控日誌
- 對系統上的使用者和應用程式實施最小權限和存取控制(ACL)
趨勢科技及其完整的安全解決方案已經在減少偵測時間和修補潛在威脅上相當的成功。但是,只有在組織內部署多層次的安全程式才能夠讓風險管理策略靈活地應對網路攻擊。
@原文出處:The Evolution of PoS Attacks – More sophisticated and Targeted than Ever作者:Ed Cabrera
▼ 歡迎加入趨勢科技社群網站▼
