Заражение POS-терминала
Заражение POS-терминалов (Point Of Sale — точка продаж), программно-аппаратных комплексов для торговли или автоматизированных рабочих мест кассира, — это деятельность киберпреступника, нацеленная на кражу данных банковских карт и дальнейший вывод денежных средств.
Классификация способов заражения POS-терминалов
Вредоносные программы для POS-терминалов можно различать по объему решаемых задач и характеру похищаемой информации.
RAM-скраперы
Запись содержимого ОЗУ — обязательная часть почти всех программ для заражения POS-терминалов, поскольку при транзакции все данные с банковской карты обрабатываются именно в оперативной памяти. Базовые RAM-скраперы записывают информацию из памяти и пересылают ее на сервер злоумышленника для дальнейшего офлайн-анализа, а более совершенные варианты способны самостоятельно выделять из общего потока данные с магнитных полос банковских карт.
RAM-скрапер и кейлогер
Такие программы помимо анализа оперативной памяти записывают и все нажатия клавиш, фиксируя PIN-коды и другую вводимую информацию.
Поскольку все транзакции проводятся через компьютер или мобильное устройство, разработка вредоносного кода часто происходит не с нуля: киберпреступники модифицируют уже созданные троянские программы и вирусы, добавляя в них RAM-скраперы для хищения данных с банковских карт. Соответственно, такие экземпляры могут содержать руткиты для скрытия следов активности или бекдоры для удаленного доступа, похищать другую информацию. В частности, известный вредоносный агент vSkimmer собирает информацию об используемой ОС, пользователях, идентификаторе GUID.
Объект воздействия
Когда речь идет о заражении POS-терминалов, вредоносные программы внедряются не в считыватель карты, а в компьютер или мобильное устройство, им управляющие. Хотя все передаваемые данные о транзакциях шифруются, с магнитной полосы карты информация поступает в незашифрованном виде и кодируется уже на компьютере.
Рисунок 1. Эволюция вредоносных программ для POS-терминалов
Этой уязвимостью и пользуются преступники. Внедренные в систему программы сканирования оперативной памяти постоянно анализируют содержимое последней и считывают данные карт. Записанные на магнитной полосе номер, срок действия, имя владельца, PIN-код, CVV и CVC достаточны для изготовления клона, с которым можно снимать деньги и расплачиваться за покупки. Кроме того, эти данные позволяют оплачивать онлайн-заказы, где предъявление физических карт не предусмотрено.
Чипованные карты защищены лучше: в них платежная информация шифруется чипом до отправки POS-терминалу, и ее перехват бесполезен. Однако магнитная полоса там также есть, и ее данные по-прежнему можно скопировать. В таком случае преступник не сможет снять деньги в банкомате (нет чипа), но сумеет использовать клон как средство оплаты, если считыватель в магазине работает только с полосой. Правда, в таком случае остаются следы для правоохранительных органов, а потому преступники предпочитают копировать карты без чипов.
Источники угрозы
Заражение POS-терминала вредоносными программами может произойти несколькими способами: через интернет с помощью эксплойтов, посредством USB-интерфейса, к которому подключается зараженный носитель, путем подмены безопасного POS-терминала на зараженный, через спам с троянским загрузчиком.
Крадущая пароли программа может быть занесена в систему и умышленно. Банковские данные — огромная ценность, а нечистоплотный или обиженный сотрудник, договорившись с киберпреступником, легко внедрит в систему вредоносный агент.
Третий важный источник угрозы — компании, устанавливающие и дистанционно обслуживающие POS-терминалы. Теоретически в таких фирмах система безопасности должна быть организована на высочайшем уровне, но на практике это не всегда верно. Известны случаи, когда, взломав пароль удаленного администратора POS-терминалов, злоумышленники разом получали доступ к банковским данным миллионов пользователей.
Анализ угрозы
Для простого держателя банковской карты главная опасность заражения POS-терминалов состоит в том, что он не способен это предотвратить. Человек использует карту, предполагая нормальную работу системы, но если она совершит несанкционированные операции, то пользователь никак не сможет узнать об этом.
Для снижения риска можно отказаться от карты, на которой размещена только магнитная полоса, в пользу более защищенной чипированной и регулярно контролировать состояние своих счетов, отслеживать все операции, чтобы при любых подозрениях сразу принять меры.
Если говорить о владельцах POS-терминалов, то с их точки зрения прямых убытков нет: ведь похищаются данные не компании, а обладателей карт. Однако репутационные потери и отток клиентуры способны вылиться в миллионный ущерб, а потому любая фирма должна принимать необходимые меры для защиты банковских данных своих клиентов.
Все управляющие POS-терминалами компьютеры должны оснащаться эффективными антивирусными программами, а системное ПО — своевременно обновляться. Сам список установленных программ должен ограничиваться, а компьютер — не использоваться для иных задач, не связанных с транзакциями. То же касается и владельцев мобильных POS-терминалов. Для таких целей лучше приобрести второй смартфон, используя его лишь для перечисления денег, а общаться, делать селфи и другие фото, запускать медиа-файлы — на другом аппарате.
Доступ к POS-терминалам, авторизация на них должны разрешаться только тем сотрудникам, которые непосредственно с ними работают. Внутри системы необходимо четкое разграничение прав с запретом устанавливать или модифицировать программное обеспечение компьютера для непривилегированных учетных записей. У каждого пользователя должен быть свой сложный пароль.
Наконец, кассиров и других операционистов помимо работы с терминалом следует обучать и правилам информационной безопасности. Как уже говорилось, методы распространения вредоносных программ для торговых устройств не отличаются от способов инфицирования других компьютеров, и во многих случаях проникновение «троянских коней» и вирусов обусловлено небрежностью и легкомыслием пользователей; соблюдение же кибергигиены сильно усложняет деятельность злоумышленников.