POS-угрозы: от железа до ПО

Эксперты Symantec, недавно проводившие исследование мошенничеств с банковскими картами, отмечают, что на сегодняшний день существует огромное количество способов кражи данных кредитных карт через Интернет, но самым привлекательным объектом остаются POS-системы – устройства приёма платежей, в том числе и установленные в магазинах и других точках розничной продажи. В крупнейших точках розничной продажи за один день может осуществляться до тысячи транзакций, именно поэтому POS-системы попали под прицел злоумышленников. Правда, хотя России данная проблема также присутствует, пока её нельзя назвать основной в сфере мошенничества с банковскими картами.

«Очевидно, что опасность атак на POS-системы присутствует и в нашей стране. Хотя на Западе эта проблема распространена в большей степени в виду большего их распространения. Зачастую POS-терминалы работают под управлением компьютеров с уязвимым ПО или ОС, например, Windows XP или Windows XP Embedded, которые небезопасны сами по себе», – комментирует Артём Баранов, ведущий вирусный аналитик компании ESET.

В компании Symantec также отмечают проблему использования операционных систем линейки Windows XP на POS-системах. Справедливым будет замечание, что устаревшая операционная система и требования к безопасности – понятия несовместимые. К тому же, поддержка всех версий Windows XP прекратится 8 апреля 2014 года, а это значит, что прекратится и выпуск исправлений для найденных в системе уязвимостей. Очевидно, что под угрозой окажутся абсолютно все пользователи POS-систем, а их владельцы столкнутся ещё и с проблемой перехода на более актуальные версии ОС.

Самый распространенный способ получения данных кредитных карт, по мнению экспертов Symantec, скимминг. Метод заключается в том, что на POS-систему устанавливается дополнительное устройство, считывающее Track2. Напомним, что заполучив данные Track2, мошенники могут не только получить доступ к карте, но и создавать её физические копии. Этот метод требует физического доступа к POS-системе, что не позволяет реализовать эту схему в «промышленных» масштабах. Злоумышленники решают эту проблему, создавая вредоносный код для POS-систем, который позволяет за одну атаку получить до нескольких миллионов данных кредитных карт.

«Такие атаки могут принести злоумышленникам серьезные дивиденды, – отмечает Артём Баранов. - Например, если злоумышленникам удастся проникнуть во внутреннюю сеть компании, которая обслуживает POS-терминалы, то они могут получить доступ одновременно ко всем таким терминалам, а это тысячи устройств. После установки вредоносного кода на компьютеры, он получает доступ к процессу ОС, через который осуществляется платежная операция. Этот процесс хранит данные треков магнитной полосы кредитных карт, которые содержат конфиденциальные данные кредитной карты. В дальнейшем эти данные отправляются злоумышленникам на сервер».

Имея на руках вредоносную программу, хакеру остаётся лишь установить её на POS-систему, которые не имеют прямого выхода в Интернет, но подключены к локальной сети. Поэтому, первым шагом для злоумышленника становится взлом сети. Обычно это совершается путём внедрения SQL-кода или поиском устройства, на котором владельцы не поменяли стандартный заводской пароль. Получив доступ к сети, мошенники должны получить и доступ к сегменту, отвечающему за работу POS-систем, и только после этого устанавливается вредоносный код и заметаются следы преступления. По мнению аналитиков, проблема имела бы куда меньшие масштабы, если бы операционные системы, установленные на POS-системах не использовались «как есть» - зачастую на системах не установлены даже антивирусные программы.

«Вредоносный код, используемый злоумышленниками для кражи данных кредитных карт при использовании POS-терминала, мало чем отличается от других вредоносных программ и не представляет существенной угрозы для антивирусных продуктов и проактивных защит, разумеется, в случае их присутствия на компьютере POS-терминала. Как правило, такой код оперативно добавляется в антивирусные базы», – комментирует ситуацию Артём Баранов.

Ещё одним способом получения данных кредитных карт является создание клона POS-системы. Особенный всплеск «атаки клонов» был зарегистрирован в прошлом году в западных странах.

«Внешне клон практически невозможно отличить от оригинального POS-терминала. Маскируясь под обычный терминал, вредоносный клон обладает возможностью похищать считываемые данные пластиковых карт (включая PIN-коды) и моментально передавать данные злоумышленникам. Естественно, что изготовление и внедрение такого клона дело отнюдь недешевое и поэтому подобные устройства применяются злоумышленниками только там, где можно снять как можно больше информации за то время пока клон не будет обнаружен и уничтожен. Атаки таких клонов в России пока не столь успешны как на Западе, где насыщенность и интенсивность использования POS-терминалов существенно выше», – отметил Олег Шагов, главный аналитик управления исследований и аналитики ОАО «Промсвязьбанк».

По мнению экспертов Symantec, в будущем атаки на POS-системы будут продолжаться. Дело в том, что «срок годности» краденой кредитной карты невелик – либо владелец её блокирует, либо банки замечают подозрительные транзакции и отключают её от системы. Поэтому злоумышленникам нужен постоянный поток новых кредиток. Однако работы по решению этой проблемы активно ведутся во всём мире. Так в США постепенно начался переход на карты типа Chip and Pin, отметим, что эта технология уже успешно применяется в странах Европы и в России. Такой вид карт труднее клонировать, что значительно снижает интерес злоумышленников к ним. К тому же сегодня активно развивается модель оплаты, осуществляемая устройствами, поддерживающими систему NFC. Эта тенденция ведет к тому, что в будущем смартфоны смогут заменить кредитные карты. Несомненно, злоумышленники оперативно среагируют на изменения и будут искать новые методы взлома и мошенничества в сфере банковских карт, так же как и компании, работающие в сфере безопасности, будут искать новые методы борьбы и предупреждения таких угроз.