在暗網/黑暗網路(Dark Web)網上被發現有網路犯罪分子出售超過3,000萬筆的信用卡資料,據推測來源是去年一家美國連鎖加油站和便利商店發生的資料外洩事件。
這起資安事件被披露後,有人用BIGBADABOOM-III這名稱在黑市Joker’s Stash上宣傳及販賣這份資料。犯罪份子利用 PoS惡意軟體攻擊感染了 PoS 裝置超過10個月的時間,直到去年12月才被發現。這起事件影響了860家便利店,其中有600家同時也是加油站。該公司已經通知發卡機構關於資料外洩和網路販賣的資訊。
根據Gemini Advisory的報告,其中約有3,000萬筆卡片記錄來自美國超過40個州,而有約100萬筆記錄來自100多個不同國家。大部分美國發行的信用卡資料都來自佛羅里達州和賓州。國際發行的卡片則包括了拉丁美洲、歐洲和幾個亞洲國家。研究人員推測是持卡者訪問美國並在當地加油站進行交易時被收集的。
2015 年第三季 (七至九月) 出現了不少重大資安威脅,例如:銷售櫃台系統 (PoS) 惡意程式、系統漏洞以及 Pawn Storm攻擊行動。我們在第三季資訊安全總評季報「危險迫在眉睫:今日的漏洞將為明日的攻擊揭開序幕」當中詳細說明了這些威脅。
在 PoS 惡意程式方面,我們看到這一季的攻擊數量明顯增加。不過,駭客卻已悄悄將目標移轉到中小企業 (SMB)。這一季,整體攻擊量較 2015 年第二季 (四至六月) 幾乎翻了一倍。本季,中小企業占全球所有 PoS 惡意程式偵測數量的 45%,其次是一般消費者,占 27%,大型企業則只占 19%。這現象反映出這類獲利導向的攻擊目前共通的局勢,那就是:中小企業已成為駭客的「理想目標」,一方面中小企業可提供比一般消費者更高的獲利,另一方面卻比大型企業相對缺乏資源,無法建置進階的安全防護措施。而在美國,2015 年 10 月 11 日的 EMV 信用卡設備建置期限,似乎也扮演了一項重要因素,因為大型機構大多擁有足夠的資源來升級設備以支援 EMV 技術,中小企業則不然。
第三季同樣也是系統漏洞情況嚴重的一季。本季出現了多個零時差漏洞,主要原因是 Hacking Team 駭客公司在七月發生資料外洩,導致該公司將近 400GB 的內部資料外流。而這批資料當中即包含了多個 Hacking Team 資料外洩所發現的系統漏洞 (這些漏洞很可能也已用於他們所開發的間諜工具當中)。這批資料外流之後,漏洞研究人員 (包括趨勢科技在內) 紛紛迅速投入研究,希望找出其中所包含的漏洞,並且盡快找出解決方法。全部加起來, Hacking Team 資料外洩 外流的資料總共被找到五個新的未修補漏洞,其中三個是由趨勢科技研究人員所發現。它們主要是Adobe Flash 的漏洞,但 Microsoft Windows 也無法倖免。不幸的是,駭客們也掌握了這批資料,同時也很快就將某些漏洞收錄至漏洞攻擊套件當中,其中最知名的就是 Angler 漏洞攻擊套件,該套件在這起資料外洩發生幾天之後就收錄了其中一個 Adobe Flash 漏洞。
繼續閱讀
趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式,就目前看到的情況,它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統,竊取其中的資料,此PoS平台是飯店、餐飲及零售業廣泛使用的系統。
Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台,他們大多集中在美國,一旦此 PoS 記憶體擷取程式成功入侵他們的系統,這些知名的美國企業和其顧客都將陷入危險當中。
MalumPoS 這類 PoS 記憶體擷取程式,一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時,惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後,惡意程式會傳回給幕後犯罪集團,犯罪集團再用來製作偽卡,或用於線上購物詐騙。
MalumPoS 在設計上已內建設定彈性,也就是說,未來還能隨時修改或新增其他攻擊程序和攻擊目標,例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序,到那時,使用這類系統的企業都將陷入危險。
其他重要特點
MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比,有幾項有趣的特點:
圖 1:MalumPOS 偽裝成系統服務 繼續閱讀
到目前為止,今年都是讓企業IT人員特別緊張的一年。年初的時候,關於資料外洩的擔憂和端點銷售系統POS惡意軟體讓零售業者大操其心。
Windows XP系統轉移這長久以來的頭痛問題也到達了臨界點,因為四月就要結束對這古早操作系統的支援。通常每個月都會有個關於資安的頭條新聞,但是一個被稱為Heartbleed心淌血漏洞OpenSSL卻是絕對的不受歡迎。
因為這發生的一切,所以如果IT安全人員累了,或是疲於修補漏洞是有點說得過去的。希望這些團隊可以在這些緊張的時刻得到適當的休息,因為訓練有素且有能力安全人員的重要性是不可低估的。
雖然技術解決方案所扮演的角色得到更多的關注(較頻繁也更多資金),這些解決方案如果沒有知道該如何用的專家就會變得毫無價值。面對今日的攻擊環境,並不只是需要更加複雜的工具;還需要訓練有素的IT安全人員來做決策,利用工具所提供的最佳資訊以及威脅情報來進行處理。
不幸的是在許多組織中,這些團隊都被冷落和視為成本中心。這聽起來不錯,直到發生了重大的外洩事件或其他安全問題 – 結果讓組織付出了更多的成本。
那麼究竟組織要如何對待他們的資訊安全人員?有四個地方是組織可以加以協助的。
給予他們所需的工具 – 並且讓他們試驗。
首先,資訊安全團隊必須有他們所需要的資源。這可能包括硬體、軟體以及人員。團隊應該要專心做好自己的工作,而不必擔心沒有足夠資源來做到這一點。是的,這可能要花錢,但是攻擊和資料外洩會更花錢。
此外,企業應該讓團隊有一定空間來進行試驗。如果他們想嘗試新的工具或使用新的方法來收集和分析威脅資訊 – 讓他們進行實驗。這些想法不一定會馬上產出有用的東西,所需要的只是進行概念證明,以確認想法會奏效。
讓他們學習和犯錯。
新的威脅和問題總是不斷地出現。正如我們今年剛剛聽到的驚人消息,有些我們認為安全的事物,可能並不是。學習已成為團隊目標的重要部分。好在威脅前線完成每日的工作。
有關威脅的資訊並不總是精確;看來似乎是威脅的事情可能結果是完全無害,反之亦然。總是會有錯誤發生;試圖減少絕對是正確的,但不應該讓你的安全團隊變得過於畏縮,而不敢去指出一個明顯的攻擊。
確保資料可以被自由存取
這和我們的第一條相呼應。如果組織真的希望自己的團隊進行試驗,就應該確保日誌和資料庫方便存取和使用開放格式。被歸檔的所有檔案都該被儲存成純文字檔,像是CSV檔,而非專有的二進位格式。純文字檔可以被許多檢視器和腳本語言輕易地加以處理。
為什麼這很重要?這讓搜尋可以用相對快速和有效的方式進行。提供組織內的安全專家最佳方式去存取潛在威脅資訊。根據組織所記錄和歸檔的資訊,它也提供了進行資料關聯的可能性。可用的威脅情報最終能夠改善組織防禦。 繼續閱讀