Karty płatnicze celem “wyskrobywaczy pamięci”
Data: 7 sierpnia 2014 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Temat gigantycznego wycieku danych kart płatniczych należących do ponad 110 milionów klientów sieci handlowej Target, jaki miał miejsce pod koniec ubiegłego roku, nie gościł na łamach Fraud IQ. W owym czasie wydawało mi się bowiem, że raczenie Czytelników niuansami technicznymi tego incydentu nie będzie ani zbytnio ciekawe, ani też nie przyczyni się bezpośrednio do rozwoju świadomości ryzyka nadużyć. Wszak cała sprawa rozegrała się gdzieś w czeluściach sieci komputerowej Targetu, na której funkcjonowanie i bezpieczeństwo klienci nie mają wpływu.
W tym aspekcie nic się oczywiście nie zmieniło, ale należy zauważyć, że technika, jaką przestępcy wówczas wykorzystali, żeby pozyskać wrażliwe dane, zyskuje coraz większą popularność. W ostatnich dniach amerykański CERT (Computer Emergency Readiness Team) upublicznił bowiem informację o sposobie funkcjonowania malware’u BackOff, należącego do rodziny złośliwego oprogramowania, które zostało wykorzystane m.in. we wspomnianym ataku na Target. Jednak to nie szczegóły techniczne powinny wzbudzić nasze zaniepokojenie (te są stosunkowo dobrze znane i ewoluują od pierwszej dekady XXI w.), ale fakt, że tego rodzaju elektroniczne szkodniki przestają być wykorzystywane przez typowych techno-maniaków i trafiają do szerszego obiegu, w którym może je wykorzystać niemal każdy, dysponujący odpowiednią determinacją i środkami na niewielką stosunkowo inwestycję.
Z czego zatem warto zdawać sobie sprawę, korzystając z kart płatniczych w punktach handlowych? Przyzwyczailiśmy się do tego, że nie spuszczamy karty z oczu, kontrolujemy, czy osoba, której ją wręczamy, nie umieszcza jej czy też przeciąga przez inne urządzenie niż terminal płatniczy, od kilku lat nawet możemy ją sami umieścić w czytniku, chronimy nasz kod PIN przed niepowołanym wzrokiem itd. Zapewne pogodziliśmy się też z faktem, że dane naszej karty zostają w większości przypadków umieszczone w nieznanej nam bazie danych, z której mogą zostać wykradzione i pozostaje nam mieć nadzieję, że została ona odpowiednio zabezpieczona. Większość z nas nie podejrzewa jednak, że od paru już lat celem cyberprzestępców stały się niepozorne urządzenia, dzięki którym dokonanie przez nas płatności kartą jest możliwe, czyli terminale płatnicze (POS – point-of-sale), które same w sobie są bowiem małymi komputerami.
Koncentracja przestępców właśnie na terminalach POS nie jest przypadkowa. Wiadomo bowiem, że firmy robią wiele, aby pozyskiwane i przetwarzane przez nie dane kart płatniczych nie wpadły w niepowołane ręce. W tym celu zabezpieczają oczywiście wspomniane wyżej bazy danych, a także szyfrują dane podczas ich transferu w sieciach komputerowych oraz ich przechowywania (wymaga tego standard branżowy PCI-DSS). Jest jednak miejsce, w którym z przyczyn obiektywnych dane sczytane bezpośrednio z karty znajdują się w stanie nieprzetworzonym i niezabezpieczonym – to pamięć RAM terminala POS. Wprawdzie znajdują się one tam w postaci niezaszyfrowanej jedynie przez krótką chwilę, ale to w zupełności wystarczy, aby je przechwycić, zapisać i oczywiście przesłać do przestępców, którzy na tej podstawie mogą stworzyć klon użytej przez nas karty czy też wykorzystać jej dane do transakcji, które nie wymagają fizycznego okazywania karty (IO/MO/TO), jak choćby zakupy w sklepach internetowych.
W najprostszych słowach tak właśnie wygląda sposób działania malware’u określanego jako „memory scrappers” (w wolnym tłumaczeniu „wyskrobywcze pamięci”). Oczywiście programy takie używają szeregu sztuczek, aby uniknąć wytropienia przez korporacyjne systemy obronne w rodzaju firewalli, platform antywirusowych oraz systemów zapobiegania i wykrywania włamań sieciowych IPS/IDS.
Jak wspomniałem wcześniej, tego rodzaju oprogramowanie można zakupić na internetowym czarnym rynku. Jego cena nie jest wygórowana – za odmiany BlackPOS, którego mutacja została użyta w ataku na Target, jego autor liczy sobie od 1.800 do 2.500 dolarów, w zależności od dostępnych w programie opcji. Szczęśliwemu posiadaczowi tego czy innego malware’u o podobnej zasadzie działania pozostaje jedynie umieszczenie go w sieci organizacji, która stała się jego celem. A to, jak się okazuje, bywa czasem całkiem proste.
Wprawdzie nadal żywe są standardowe ataki hakerskie, ale dążenie przestępców do minimalizacji wysiłku robi swoje. Ostatnie doniesienia, związane z ujawnionymi skutkami działania wspomnianego BackOff-a, wskazują, że do wielu sieci dostał on się poprzez niedostatecznie zabezpieczone sesje zdalnego dostępu (np. popularny Microsoft Remote Desktop). Nieustającą popularnością cieszą się także wszelkiego rodzaju ataki phishingowe oraz wykorzystujące inżynierię społeczną przeciwko pracownikom firm. Nie bez znaczenia pozostaje także wyraźna niechęć administratorów do zmiany domyślnych haseł dostępu, jakie chronią oprogramowanie i urządzenia dostarczane bezpośrednio przez dostawców.
Co z tego wynika dla nas, klientów? Niestety niewiele. Ciężar walki ze wspomnianym zagrożeniem spoczywa bowiem na firmach, w których robimy zakupy i które przetwarzają nasze płatności. Warto jednak zdawać sobie sprawę z zagrożenia, choćby po to, aby dostrzegając w wykazie naszych transakcji podejrzaną operację, czekającą na rozliczenie, niezwłocznie skontaktować się ze swoim bankiem i poradzić się, czy nie należałoby zastrzec karty.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.