Найден способ взлома устройств для ввода pin-кода

Найден способ взлома устройств для ввода pin-кода

Бразильские СМИ постоянно показывают видеосюжеты о «плохих парнях», устанавливающих чупакабру в очередной банкомат. Одни мошенники делают это не достаточно умело, другим просто не везет, но в результате многие попадают в зону камер видеонаблюдения, а затем и в руки полиции.



Получается, что установка скиммеров на банкоматы – рискованное занятие, и поэтому бразильские кардеры объединили усилия с местными хакерами, чтобы разработать более легкий и безопасный способ кражи и копирования информации с кредитных карт. В таком далеко не священном союзе и родилась чупакабра.

Идея, лежащая в основе зловреда, проста: вместо того чтобы рисковать быть пойманными с поличным со скиммером в руках, эти ребята разрабатывают и внедряют вредоносный код в компьютеры на базе Windows. Их целью является перехват данных, вводимых с помощью пинпадов – цифровых клавиатур, которые вы используете в супермаркетах, на заправках – везде, где принимают оплату банковской картой, сообщает securelist.

Впервые зловред был зафиксирован в Бразилии в конце декабря 2010 года под именем Trojan-Spy.Win32.SPSniffer в четырех модификациях (A, B, C и D). Эти троянцы имеют узкую направленность и распространяются с определенной целью. Нам точно известны случаи таких атак в США, и мы предполагаем, что в других странах они тоже случались.

Разумеется, на пинпадах установлена защита. Пинпад защищается и аппаратно, и программно, чтобы секретный код был стерт, если кто-либо попытается подобраться к устройству. Шифрование пин-кода производится непосредственно при введении его в устройство на основе ряда схем шифрования и симметричных ключей. Чаще всего используется тройной DES-шифратор, что серьезно усложняет взлом пинпада.

Правда, существует одна проблема: устройство подсоединено к компьютеру через USB или последовательный порт для сообщения с программным обеспечением EFT (Electronic Funds Transfer), осуществляющим денежные транзакции. Выпущенные давно и морально устаревшие пинпады, все еще используемые в Бразилии, очень уязвимы с этой точки зрения.

На этих старых устройствах данные 1-й дорожки и открытые данные, хранящиеся на чипе карты, не зашифровываются – а это и номер карты, и срок ее действия, и сервис-код, а также блок данных, где хранится CVV – короче говоря, почти все, что нужно мошеннику, чтобы начать тратить ваши деньги. Поскольку эта информация не шифруется, в компьютер она поступает в текстовом формате. Этих данных достаточно, чтобы сделать копию вашей кредитной карты.

Зловред устанавливает простой драйвер для прослушивания USB-порта или последовательного порта, переделанный по сути из коммерческих решений, таких как Eltima или TVicPort, и перехватывающий передачу данных между компьютером и пинпадом. Первые версии чупакабры устанавливали еще и модуль DLL, позволяющий собирать информацию о сетевом трафике, исходящем из всех устройств, подключенных ко всем последовательным портам.

Вдобавок вредоносный DLL-модуль (кейлогер) перехватывает каждое нажатие клавиш. Вся информация, украденная с 1-й дорожки, сохраняется в файл, содержащий, наряду с информацией о компьютере жертвы, все перехваченные данные, и пересылается киберпреступникам – как правило, по электронной почте.

Для обеспечения «защищенной» передачи данных злоумышленникам зловред использует алгоритм симметричного шифрования с ключом, который имеет интересное Unicode-имя.

Как только проблема стала очевидной, бразильские компании, занимающиеся кредитными картами, стали заменять эти старые пинпады на новые, устойчивые к этой угрозе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Поведенческие атаки на медсектор в августе выросли почти на треть

В августе сектор здравоохранения столкнулся с заметным ростом кибератак: количество поведенческих веб-атак увеличилось почти на треть, подсчитали в компании «Вебмониторэкс». В отличие от классических эксплойтов уязвимостей, такие атаки маскируются под обычные действия пользователя — используют легитимные функции, но в злонамеренных целях.

Из-за отсутствия «вредоносных следов» заметить их значительно сложнее.

С начала года каждая организация в отрасли (от аптечных сетей до медицинских клиник) в среднем пережила около 3 миллионов попыток взлома онлайн-сервисов. Пик активности пришёлся на апрель, затем в июле был традиционный спад, но уже в августе число атак снова резко пошло вверх — на 60% больше, чем месяцем ранее.

Поведенческие атаки имитируют реальных пользователей и не требуют внедрения кода в запросы. Поэтому обычные методы обнаружения здесь не работают. Примеры таких атак: массовый перебор паролей для входа в личные кабинеты или BOLA — доступ к чужим данным через хитрые манипуляции с API. При этом всё чаще хакеры применяют ботов и сканеры, способные за секунды генерировать тысячи запросов с разных IP-адресов.

Но проблема не ограничивается только «поведенкой». В августе вдвое выросло число атак типа Path Traversal — когда злоумышленники получают доступ к закрытым файлам и конфигурациям приложений. А классические XSS по-прежнему остаются актуальными: через внедрение кода на страницу можно красть пользовательские сессии или подменять контент сайта.

«Мы видим, что интерес к здравоохранению у киберпреступников растёт. Это подтверждает и статистика атак, и недавние сбои в работе аптечных сетей и клиник. Медицинские веб-сервисы содержат огромные массивы чувствительных данных, и успешная атака может привести не только к утечкам, но и к сбоям всей инфраструктуры», — подчеркнула гендиректор «Вебмониторэкс» Анастасия Афонина.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru