我最喜歡的電影之一是80年代由Steve Martin主演的喜劇 – 「飛機、火車與汽車」。這篇文章跟那部電影無關,不過的確借用了它的標題。
PoS惡意軟體,目前的主流
我們都應該記得,大約在去年的這個時候,美國零售商Target發生了有史以來最大的資料外洩事件,一起使用BlackPOS惡意軟體的針對性攻擊。自從那時開始,銷售終端或稱PoS惡意軟體開始成為主流,攻擊了大大小小的店家。2014也是我們看到PoS惡意軟體變為成熟威脅的一年。新PoS威脅出現在今年的假日購物季節,我們甚至想辦法去了解一下PoS詐騙者的工具箱。
PoS惡意軟體大多數侷限於零售業者和商家,但現在看來,PoS惡意軟體已經從購物中心分支到機場、地鐵站和停車場。
飛機
來自資安公司Census的研究人員在八月的DEFCON2014提出一篇關於PoS攻擊將目標放在旅客的有趣報告。Census延伸了PoS在機場內的定義去包含了自助報到機、無線上網服務機、行李定位服務機等。他們在希臘機場內進行調查。目標放在位於航站公共空間內的自助服務機。這個自助服務機可以讓乘客購買無線上網點數,打VoIP電話以及掃描機票以確認航班時間。他們發現該自助服務機有網路連線,外露USB孔、缺乏鍵盤輸入過濾功能、沒有安裝防毒軟體並具備管理者權限。
研究人員客製化了惡意軟體,並用一個簡單的網頁攻擊來感染自助服務機。航空公司在機票上使用登機證條碼化(BCBP),包含了乘客資訊;BCBP規格可以輕易地在Google上搜尋到。被掃描的BCBP資料 – 不管是印出的機票或是手機上的QR碼 – 都可以在自助服務機的記憶體中解出。知道BCBP格式讓研究人員可以從自助服務機的記憶體擷取資料,只要使用跟竊取支付卡資料的PoS記憶體擷取程式一樣的技術即可。他們的實驗結果顯示,攻擊者可以輕易地利用支付卡竊取PoS惡意軟體來感染自助服務機。
火車
資安公司IntelCrawler最近在部落格發表一篇關於「d4re|dev1|」(daredevil)PoS惡意軟體的文章,它會針對大眾運輸系統(MTS)。這個惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤記錄功能。IntelCrawler秀出義大利薩丁島一個被入侵ARST自動售票機的照片。攻擊者透過VNC來存取自動售票機。客戶在這些自動售票機購買公車票和火車票,讓他們成為被竊取支付卡資料的賺錢目標。一個最近發現的PoS記憶體擷取程式家族 – NewPosThings會試圖從被入侵系統取得VNC密碼。其他像是BrutPOS和Backoff等PoS記憶體擷取程式會使用RDP來存取被入侵的系統。 繼續閱讀
