服飾品牌Forever 21 承認支付系統遭駭

服飾品牌Forever 21發布其在2017年11月時回報資料外洩事件調查結果,揭示出現端點銷售(PoS)惡意軟體及對受影響PoS設備進行未經授權存取的跡象,這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。

在聲明中:“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下,惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼,但偶爾還是會找到持卡人姓名”。

Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統,但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。

[延伸閱讀:2017年的知名資料外洩事件時間表]

PoS惡意軟體(以AbaddonPOSRawPOSMajikPOS為代表)經常結合其他威脅來最大化能夠竊取的資料,像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊(PII)。

被竊的資料最終通常都會放在地下網路犯罪市場販賣,最高可達700美元。像是中國地下市場也會提供相關的產品,如可以從PoS設備和自動提款機(ATM)取得資料的硬體側錄器。

被竊的PII也可以用來進行其他網路攻擊,就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業,從大型跨國公司到中小型企業(SMB)都有。

[延伸閱讀:駭客可以用你被竊的身份資料做什麼?]

企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範(GDPR)將對未能保護客戶資料處以罰款2,000萬歐元(2400萬美元)。

以下是企業可以用來減輕這類威脅的五個做法:

  1. 確保所有商店都符合最新的支付卡產業資料安全標準(PCI-DSS
  2. 部署使用點對點加密的晶片密碼卡(EMV),這比磁條卡要來得安全
  3. 保護好其他可能的進入點,例如遠端桌面和端點
  4. 部署應用程式控制/白名單和行為監控等技術,這可以偵測和封鎖未知檔案,防止出現異常修改或惡意行為
  5. 主動監控網路出現的任何警訊,如可疑的資料外流

 

Forever 21在聲明中表示自己正在與支付處理廠商、PoS設備商和第三方網路鑑識專家合作來改善其安全狀態。Forever 21還提供免費的信用卡監控服務給可能受到影響的客戶,並建議客戶遇到詐騙行為要向當局回報。

 

趨勢科技解決方案

趨勢科技的XGen安全防護提供跨世代的混合威脅防禦技術,可抵禦資料中心雲端環境網路端點所會遇到的各類威脅。它具備高保真機器學習功能來保護閘道端點資料及應用程式,並保護實體、虛擬和雲端的工作機。使用網頁/網址過濾、行為分析和客製化沙盒等功能,讓XGen能夠抵禦今日特製來繞過傳統安全防護的惡意威脅,針對已知、未知或未披露的漏洞攻擊或是竊取/加密個人身份資料。智慧化、最佳化和保持連線,XGen技術驅動趨勢科技一系列的安全解決方案:Hybrid Cloud Security,User Protection和Network Defense。

 

@原文出處:Forever 21 Reports Point-of-Sale Malware Linked to Data Breach