Кража данных кредиток и атаки на POS-системы

Корпорация Symantec публикует исследование, посвященное атакам на POS-системы (Point of Sale) с целью кражи данных кредитных карт. Данные, которые хранятся на магнитной ленте карты (Track 2), дают возможность злоумышленникам клонировать карты и пользоваться ими в обычных магазинах и даже снимать деньги через банкомат, а стоимость данных одной карты в Интернете может достигать $100.

Кражи данных в крупных сетях розничной торговли при помощи дополнительного устройства, устанавливающегося на POS-систему, или вредоносной программы, считывающей данные Track 2 из памяти кассы, позволяют злоумышленникам собрать данные миллионов кредитных карт.

Существует множество способов кражи данных кредитных карт по Интернету, однако самым привлекательным объектом атаки являются так называемые POS-системы – устройства приема платежей, в том числе и с помощью кредитных карт, установленные в магазинах и других точках розничной продажи. По приблизительным оценкам, около 60% всех покупок, совершаемых в точках розничной продажи, оплачиваются при помощи кредитных или дебетовых карт. Крупные точки розничной продажи могут обрабатывать тысячи таких транзакций в день, поэтому POS-системы попали под прицел злоумышленников, стремящихся заполучить большие объемы данных кредитных карточек.

Существует множество различных интернет-форумов, где открыто, в различных форматах продаются данные кредитных и дебетовых карт. Самый распространенный из них – CVV2, когда продавец предоставляет номер карты вместе с кодом CVV2, который, как правило, напечатан на оборотной стороне карты. Этих данных достаточно для осуществления по карте онлайн-покупок. Однако некоторые продавцы предлагают и более прибыльный формат - Track 2. Этим термином обозначаются данные, хранящиеся на магнитной ленте карты. Эти данные являются более ценными, так как дают возможность злоумышленникам клонировать карты и пользоваться ими в обычных магазинах, а при наличии пин-кода – даже снимать деньги через банкомат. Ценность такой информации отражается в ее стоимости в Интернете, и разброс цен здесь велик: цена одной карты в формате CVV2 находится в диапазоне от 5 центов до 10 долларов, а стоимость данных Track2 может достигать $100 за одну карту.

Каким же образом злоумышленники получают эти данные? Одним из самых распространенных способов является скимминг (от англ. skim — снимать сливки), когда на POS-систему устанавливается дополнительное устройство, считывающее данные Track2. Однако этот метод требует физического доступа к устройству и дорогого оборудования, что делает реализацию такой схемы в крупных масштабах затруднительной. Чтобы обойти эти трудности, злоумышленники обратились к программным решениям в виде вредоносного кода для POS-систем. Атакуя главные сети розничной торговли, за одну кампанию злоумышленники могут собрать данные миллионов кредитных карт.

Вредоносный код для POS-систем работает за счет использования бреши в системе обработки данных кредитных карт: хотя при запросе на авторизацию данные отправляются в зашифрованном виде, они совершенно открыты в сам момент обработки платежа, т. е. в тот момент, когда вы проводите карточкой по терминалу при оплате покупки. Первый раз злоумышленники воспользовались этой уязвимостью в 2005 году, когда в результате кампании, проведенной хакером по имени Альберт Гонсалес, были украдены данные 170 миллионов кредитных карт.

С того времени рынок вредоносных программ, считывающих данные Track2 из памяти POS-систем, только вырос. Большинство электронных кассовых систем основано на ОС Windows, что делает простым создание для них вредоносных программ. Такие программы работают по схеме memory scraping (букв. «соскребывание памяти»), сканируя память POS-системы на предмет данных, по структуре напоминающих Track2-данные. Когда карточкой проводят по терминалу, программа находит эти данные и сохраняет их в памяти системы, чтобы позже злоумышленник мог осуществить к ней доступ. Самый известный вирус подобного типа – программа под названием BlackPOS, и она продается на форумах для киберпреступников. Антивирусные продукты Symantec определяют этот вредоносный код как Infostealer.Reedum.B.

Вооружившись вредоносной программой, хакер должен решить следующую задачу – установить эту программу на POS-систему. POS-системы, как правило, не имеют прямого доступа в Интернет, однако тем или иным способом подключены к корпоративной сети. Так что первым делом злоумышленники пытаются взломать ее. Это можно сделать путем внедрения SQL-кода или найдя подключенное к сети внешнее устройство, на котором все еще стоит стандартный заводской пароль. Получив доступ к сети, злоумышленники при помощи различных инструментов взлома пытаются получить доступ к сегменту сети, отвечающему за работу POS-систем. После установки вредоносного кода хакеры предпринимают ряд шагов, направленных на заметание следов. Такие шаги могут включать в себя очистку log-файлов или манипуляции с системой безопасности таким образом, чтобы злоумышленники могли и дальше незаметно осуществлять перехват. Для более детального обзора атак подобного рода ознакомьтесь с отчетом Symantec: Attacks on Point of Sales Systems

К сожалению, в ближайшем будущем такие кражи, скорее всего, продолжатся. Краденые данные кредитных карт имеют ограниченный срок годности: банки, так же как и наблюдательные владельцы карт, быстро замечают подозрительные транзакции и блокируют карту. Это значит, что киберпреступникам необходим постоянный источник «свежих» кредиток.

Хорошая новость состоит в том, что в будущем продавцы усвоят урок и предпримут шаги по предотвращению подобного рода атак. Также изменится и технология оплаты. В США сейчас идет активное внедрение карт типа Chip and Pin. Данная технология «карт с чипами» существует и функционирует в Европе и России, однако в США она только внедряется. Такие карты намного труднее клонировать, что делает их менее привлекательной добычей для злоумышленников. Кроме того, набирают популярность новые модели оплаты: распространение метода оплаты при помощи устройств, поддерживающих технологию NFC, может привести к тому, что наши смартфоны заменят нам кредитные карты.

Нет никакого сомнения в том, что злоумышленники среагируют на эти изменения и будут адаптироваться. Однако, по мере того как новые технологии набирают популярность, а компании, занимающиеся безопасностью, продолжают следить за активностью злоумышленников, осуществление крупномасштабных атак на POS-системы будет становиться все более трудным и определенно менее прибыльным делом.