Заражение POS-терминала

Заражение POS-терминалов (Point Of Sale — точка продажи), программно-аппаратных комплексов для торговли или автоматизированных рабочих мест кассира, - это деятельность киберпреступника нацеленная на кражу данных банковских карт и дальнейшем выводом с них денежных средств.  

Классификация способов заражения POS-терминалов

Вредоносные программы для программно-аппаратных комплексов для торговли (POS-терминалов) можно разделить по объему выполняемых задач и характеру похищаемой информации.

RAM-скрапперы

Программы, записывающие содержимое оперативной памяти – обязательная часть практически любых программ для заражения POS-терминалов, поскольку при транзакции все данные с банковской карты обрабатываются именно в оперативной памяти. RAM-скрапперы в свою очередь можно подразделить на те, которые записывают информацию из памяти и пересылают их на сервер хакера для дальнейшего оффлайн-анализа, и более продвинутые варианты, способные самостоятельно выделять из потока данные с track1/track2 магнитных полос банковских картах.

RAM-скраппер+кейлоггер

Помимо анализа оперативной памяти для выделения данных track1/track2 такие программы записывают и все нажатия клавиш, фиксируя PIN-коды и другую вводимую информацию.

Поскольку все транзакции проводятся через компьютер или мобильное устройство, разработка зараженного ПО зачастую происходит не с нуля, а модифицируют уже созданные троянцы и вирусы, добавляя  RAM-скрапперы для хищения данных с банковских карт. Соответственно, такие вредоносные программы могут содержать руткиты для сокрытия следов работы программы, бэкдоры для удаленного доступа, похищать другую информацию. Так, известный POS-malware vSkimmer собирает информацию об используемой ОС, пользователях, GUID идентификаторе.

Объект воздействия

Когда речь идет о заражении POS-терминалов, вредоносные программы внедряется не в считыватель карты, с которым имеет дело хозяин карты, а в компьютер или мобильное устройство, им управляющие. Хотя все передаваемые данные о транзакциях шифруются, с магнитной полосы карты они поступают в незашифрованном виде, и кодируются уже на компьютере.

Эволюция вирусов для POS-терминалов

Заражение POS-терминала

Этой уязвимостью и пользуются преступники. Внедренные в систему программы сканирования оперативной памяти постоянно анализируют ее содержимое и считывают данные карт памяти. Записанные на магнитной ленте номер, срок действия, имя владельца, PIN-код, CVV и CVC достаточны для изготовления клона, с которым можно снимать деньги и расплачиваться за покупки. Наконец, зная эти данные, даже без карты можно оплачивать онлайн-заказы.

Чипованные карты защищены несколько лучше, в них платежная информация шифруется чипом до отправки POS-терминалу, и ее перехват бесполезен. Однако магнитная полоса там также есть, и ее данные можно скопировать. В таком случае преступник не сможет снять деньги в банкомате (нет чипа), но все равно может использовать ее как средство оплаты там, где считывается лишь магнитная полоса. Правда, в таком случае остаются следы для правоохранительных органов, а потому преступники предпочитают копировать карты лишь с магнитной полосой.

Источники угрозы

Заражение POS-терминала вредоносными программами может произойти несколькими способами. Через интернет с помощью эксплойтов, используя USB интерфейс к которому подключается зараженный носитель, путем подмены безопасного POS-терминала на зараженный, рассылая спам с трояном-загрузчиком.

Крадущая пароли программа может быть занесена в систему и умышленно. Банковские данные – огромная ценность, а нечистоплотный или обиженный сотрудник, договорившись с хакером, легко занесет нужную программу на компьютер. Надо лишь подключить внешний носитель – и троянец легко внедрится в систему.

Третий важный источник угрозы – компании, устанавливающие и дистанционно обслуживающие POS-терминалы. Теоретически в таких фирмах система безопасности должна быть организована на высочайшем уровне, но на практике  это не всегда верно. Известны случаи, когда, взломав пароль удаленного администратора POS-терминалов, злоумышленники разом получали доступ к банковским данным миллионов пользователей.

Анализ угрозы

Для простого держателя банковской карты главная опасность заражения POS-терминала в том, что он попросту не способен это предотвратить. Человек вставляет карту, предполагая нормальную работу систему, но если она вместе с указанным переводом денег перешлет куда-то и его данные, их хозяин ничего не узнает.

Для снижения риска можно перейти от карты на которой размещена только магнитная полоса к более защищенной чипированной и регулярно контролировать состояние своих счетов, отслеживать все операции, чтобы при любых подозрениях сразу принять меры.

Что же до владельцев POS-терминалов, то для них нет прямых убытков, ведь крадутся данные не компании, а обладателей карт. Однако репутационные потери и отток клиентуры способен вылиться в миллионный ущерб, а потому любая фирма должна принимать необходимые меры к защите банковских данных своих клиентов.

Все управляющие POS-терминалами компьютеры должны оснащаться эффективными антивирусными программами, а системное ПО своевременно обновляться. Сам список установленных программ должен ограничиваться, а компьютер не использоваться для иных задач, не связанных с транзакциями. То же касается и владельцев мобильных POS-терминалов. Для таких целей лучше приобрести второй смартфон или мобильник, используя его лишь для перечисления денег, а общаться, делать селфи и другие фото, запускать медиа-файлы на другом аппарате.

Доступ к POS-терминалам, авторизация на них должна разрешаться только тем сотрудникам, которые непосредственно с ними работает. Внутри системы необходимо четкое разграничение прав с запретом для обычных пользователей устанавливать или модифицировать программное обеспечение компьютера. Для каждого пользователя должен быть свой сложный пароль.

Наконец, кассиров и других операционистов помимо работы с терминалом обучать и правилам информационной безопасности. Как уже говорилось, методы распространения зараженного ПО не отличаются от способов инфицирования других компьютеров, и зачастую проникновение троянцев и вирусов обусловлено небрежностью и легкомыслием пользователей, соблюдение же кибер-гигиены задачу злоумышленников сильно усложняет.