О вирусах в настольных компьютерах и мобильных устройствах знают все. Многие даже знают, как от них защититься.
Но вредоносные программы могут таиться там, где их не ждут, например в кассовых аппаратах магазина.
Портал Банки.ру разбирался, чем опасны зараженные POS-терминалы и как защититься от этой угрозы.
В октябре этого года компания Group-IB опубликовала свой ежегодный отчет о тенденциях развития киберпреступлений. В нем особое внимание уделено сегменту атак на POS-терминалы, который, по данным авторов исследования, развивается очень быстрыми темпами.
Как считают аналитики Group-IB, атаки на терминалы проводятся двумя методами: с помощью заражения троянцами и путем подмены POS-терминалов.
Кассовые аппараты бывают разные: от самых простых (автономных контрольно-кассовых машин) до современных POS-терминалов, которые обладают наиболее широкими возможностями. Но широкие возможности, как это часто бывает, сопровождаются уязвимостью перед угрозами.
Долгое время специалисты недооценивали угрозу заражения POS-терминалов. Однако взлом сети крупнейшего американского ретейлера Target, обнаруженный в декабре 2013 года, все изменил.
Как оказалось, в POS-терминалах магазинов Target около трех недель «паслась» вредоносная программа, выкрадывающая данные карт, которыми расплачивались клиенты. По признанию компании, всего за этот срок было скомпрометировано 40 млн карт.
Следующий скандал разразился в сентябре 2014 года. Американская торговая сеть Home Depot распространила заявление, что POS-терминалы компании были заражены специализированным троянцем на протяжении четырех месяцев.
В этот раз в подпольные кардерские магазины утекли данные 56 млн карт. И это было лишь началом грандиозной киберграбительской кампании KAPTOXA, в ходе которой, по оценкам экспертов, были украдены данные карт едва ли не каждого жителя США.
Как выгрузить данные с карты водителя
Афера с подменными терминалами начинается с подготовки специальной микропрограммы (прошивки) для POS-терминала популярной модели. Подготовленный терминал продается кардеру, который устраивается на должность кассира в магазин, использующий такие же аппараты.
Стоит терминал с «хитрой» прошивкой достаточно недорого, порядка 15–20 тыс. рублей, что по карману даже начинающему кардеру.
Злоумышленник меняет терминал на очень похожий свой и спокойно работает: принимает деньги и карты, сдает кассу… На вид – никакого криминала.
При этом его POS-терминал не просто транслирует данные карты при оплате, но и бережно сохраняет все данные карт клиентов, необходимые для изготовления копии: дамп содержимого магнитной полосы и ПИН-код. Собранные данные злоумышленник извлекает из устройства с помощью своего же рабочего компьютера и отправляет в кардерский магазин, на продажу.
Второй способ – кража данных посредством троянской программы – более затратен, зато безопаснее (кардерам нет необходимости «светиться») и несравнимо эффективнее. Схема основана на том, что POS-терминалам необходим доступ к Интернету для связи с банком.
Чтобы провернуть эту операцию, нужно три инструмента: сканер портов (для обнаружения уязвимых POS-терминалов), набор эксплойтов, позволяющий заражать компьютеры через Интернет, и собственно POS-троянец. Стоимость этого комплекта уже выше и составляет несколько тысяч долларов.
Но эти затраты окупаются с лихвой.
Есть и более бюджетный вариант хакерского набора – можно исключить из него недешевый набор эксплойтов, а заражение производить вручную, отправляя на электронные адреса торговых организаций вредоносный спам, содержащий троянец-загрузчик. Троянец, проникнув в сеть атакуемой организации, найдет POS-терминалы и «поселит» там POS-троянца.
Разумеется, POS-терминал шифрует платежные данные, включая ПИН-код, перед отправкой в банк. Однако чтобы что-то зашифровать, надо сначала это что-то загрузить в память.
POS-троянец, работающий в фоновом режиме, постоянно сканирует память компьютера. Обнаружив готовые к шифрованию платежные данные, он сохраняет их в отдельной области памяти или на жестком диске компьютера.
А затем передает на сервер злоумышленника в форме запроса HTTP POST или даже просто по электронной почте.