2014年是PoS(銷售終端)威脅倍受矚目的一年。沒錯,PoS威脅已經存在多年了。但去年一月的Target資料外洩事件讓普羅大眾注意到此種威脅。
2014:PoS惡意軟體的一年
雖然Target資料外洩事件可能是2014年第一起和銷售終端有關的攻擊,但很快地我們就清楚地知道這並非最後一起。到去年第三季為止,出現了六個PoS記憶體擷取惡意軟體,這跟2011年到2013年間所發現的變種總數一樣。
更讓人感興趣的是,這些新變種不是借用早期版本的功能,就是直接從舊版PoS記憶體擷取惡意軟體家族演進而來。例如,BackOff是Alina的前身。BackOff據報導曾被用在針對Dairy Queen和UPS的攻擊中。
但它們並非唯一在2014年活躍的變種。備受矚目的Home Depot外洩事件跟一個被稱為BlackPoS的知名PoS惡意軟體家族有關。這也是用在Target資料外洩事件中的惡意軟體家族。PoS惡意軟體還出沒在美國的感恩節周末,這是有名的購物假期。另一個被稱為LusyPoS的銷售終端惡意軟體則出現在俄羅斯地下論壇。
在地下世界的PoS相關活動
由於PoS記憶體擷取程式漸漸地被大量做為快速賺錢的工具,開發套件也開始在網路犯罪地下世界浮出檯面。其中一個是VSkimmer,在2013年出現用來打造PoS記憶體擷取程式的工具。
透過記憶體擷取程式竊取信用卡資料後,多數詐騙份子接著會在論壇上批次出售偷來的信用卡資料。交易都是使用比特幣、西聯匯款、MoneyGram、Ukash或WebMoney等完成,因為這些方式提供買賣雙方便利性和匿名性。
就跟一般產業一樣,供需問題會大大的影響地下世界。不同的信用卡根據需求和供給狀況而在地下卡片市場有著不同的單位價格。一次性大量購買信用卡資料通常都有折扣,在某些例子中甚至可以拿到高達66%的折價。
一個有意思的發現是Discover和美國運通(AMEX)卡的單價比Visa和MasterCard卡高。這是因為AMEX和Discover卡的資料跟較通用的Visa和MasterCard卡比起來更難看到;少見的資料價格較高。不過並沒有明確原因顯示出AMEX和Discover卡資料會比Visa和MasterCard卡資料來的更有利可圖。
擴大目標
PoS攻擊也在2014年擴大其目標範圍。詐騙份子走出了購物中心,開始攻擊像機場、地鐵站和停車場等新目標。
資安公司Census的研究人員展示關於針對機場旅客的PoS攻擊資料。Census將PoS的定義延伸到機場的自助登機服務站、無線網路服務站、行李定位服務站等。研究人員可以發動簡易的攻擊以從這些自助服務機台擷取旅客的資料。資安公司IntelCrawler談論到一個稱為「d4re| DEV1|」(daredevil)的PoS惡意軟體,它的目標是大眾運輸系統的車站。該惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤側錄等功能。
停車場也成為詐騙份子竊取付費資訊的熱門目標。一家美國的停車場管理廠商有17座停車場的付費處理系統受到入侵。另一家泊車服務公司Park’N Fly也發生資料外洩事件,被竊走的資料出現詐騙事件裡。另一家服務onestopparking.com也成為Target和Home Depot資料外洩事件幕後網路犯罪集團的受害者。
PoS攻擊的未來
那PoS攻擊的未來會是什麼? 繼續閱讀
