2014年是POS机(销售终端)威胁倍受瞩目的一年。其实POS机威胁已经存在多年了,但去年一月的Target资料外泄事件让普罗大众注意到此种威胁。
2014:POS机恶意软件的一年
虽然Target资料外泄事件可能是2014年第一起和销售终端有关的攻击,但很快我们就清楚地知道这并非最后一起。到去年第三季为止,出现了六个POS机内存撷取恶意软件,这跟2011年到2013年间所发现的变种总数一样。
并且,这些新变种不是借用早期版本的功能,就是直接从旧版POS机内存撷取恶意软件家族演进而来。例如,BackOff是Alina的前身,BackOff据报道曾被用在针对Dairy Queen和UPS的攻击中。
但它们并非唯一在2014年活跃的变种。备受瞩目的Home Depot外泄事件跟一个被称为BlackPOS的知名POS机恶意软件家族有关,这也是用在Target资料外泄事件中的恶意软件家族。POS机恶意软件还出没在美国的感恩节周末,这是有名的购物假期;另一个被称为LusyPOS的销售终端恶意软件则出现在俄罗斯地下论坛。
在地下世界的POS机相关活动
由于POS机内存撷取程序渐渐地被大量作为快速赚钱的工具,开发工具包也开始在网络犯罪地下世界浮出台面。其中一个是VSkimmer,在2013年出现用来打造POS机内存撷取程序的工具。
通过内存撷取程序窃取信用卡数据后,多数诈骗分子接着会在论坛上批次出售偷来的信用卡资料。交易都是使用比特币、西联汇款、MoneyGram、Ukash或WebMoney等完成,因为这些方式提供了买卖双方便利性和匿名性。
就跟一般产业一样,供需问题会大大地影响地下世界。不同的信用卡根据需求和供给状况而在地下卡片市场有着不同的单位价格。一次性大量购买信用卡数据通常都有折扣,在某些例子中甚至可以拿到高达66%的折价。
一个有意思的发现是Discover和美国运通(AMEX)卡的单价比Visa和MasterCard卡高。这是因为AMEX和Discover卡的资料跟较通用的Visa和MasterCard卡比起来更难看到,少见的数据价格较高。不过并没有明确原因显示出AMEX和Discover卡资料会比Visa和MasterCard卡资料来的更有利可图。
扩大目标
POS机攻击也在2014年扩大其目标范围。诈骗分子走出了购物中心,开始攻击像机场、地铁站和停车场等新目标。
安全公司Census的研究人员展示关于针对机场旅客的POS机攻击资料。Census将POS机的定义延伸到机场的自助登机服务站、无线网络服务站、行李定位服务站等。研究人员可以发动简易的攻击以从这些自助服务机台撷取旅客的数据。安全公司IntelCrawler谈论到一个称为“d4re| DEV1|”(daredevil)的POS机恶意软件,它的目标是大众运输系统的车站。该恶意软件具备远程管理、远程更新、内存撷取和键盘侧录等功能。
停车场也成为诈骗分子窃取付费信息的热门目标。一家美国的停车场管理厂商有17座停车场的付费处理系统受到入侵,另一家泊车服务公司Park’N Fly也发生资料外泄事件,被窃走的资料出现诈骗事件里。另一家服务onestopparking.com也成为Target和Home Depot数据外泄事件幕后网络犯罪集团的受害者。
POS机攻击的未来
那POS机攻击的未来会是什么?
随着POS机内存撷取程序成为显著的威胁,大企业将会投入巨资在网络安全上以防范这类针对性攻击。因此,网络犯罪分子会将目标集中在中小型企业上,因为这些公司不一定有办法具备跟大企业一样的网络安全预算来防止POS机数据外泄事件。我们可能会看到有大量的中小企业受到攻击,结果所造成的总伤害会比攻击大企业还要大。
实施像新Europay、MasterCard和Visa(EMV)标准和PCI DSS v3.0安全标准可以显著地改变网络犯罪分子在POS机领域的游戏规则。这两项措施将在2015年10月完全生效——预期可以看到POS机资料外泄事件的下降,虽然网络犯罪分子也会试图找出新方法来有效地攻击升级后的系统和环境。可能会花上好几个月,或许要到2016年中期才可以再次完全入侵销售终端环境。
鉴于上述内容,犯罪分子肯定也会找到新方法以通过能存取企业网络的第三方厂商进行数据外泄攻击。这仍是最弱的一环,所以最可能被攻击,因为其并不具备和大型企业同等的安全等级。
目前已经有许多执法单位在重点调查这些资料外泄事件,但到目前为止,还没有大型逮捕行动出现。某些单位即将要结束调查和进行逮捕,而这也将会成为头条新闻。
转载请标明来源于趋势科技!