网络罪犯对信用卡数据有着无休止的欲望。有许多方法可在网上窃取此信息,不过销售终端是最具诱惑力的目标。在零售商的销售终端中,估计有 60% 的购买使用信用卡或借记卡支付。考虑到大型零售向每天会通过其 POS 处理成千上万笔交易,寻求大量信用卡数据的网络罪犯瞄准了 POS 终端也就不足为奇。下载我们的攻击销售终端系统白皮书,详细了解如何进行 POS 攻击,以及如何防御。
就在现在,有不少网上论坛在公开售卖各种格式的信用卡数据和借记卡数据。最常见的是“CVV2”,卖家提供信用卡号以及附加的 CVV2 安全码,这一信息通常位于信用卡的背面。有了这些数据便足以进行网络交易。不过,还有一些卖家提供更有利可图的“Track 2”数据。这是保存在信用卡词条中数据的简称。此数据更有利可图,因为这使得罪犯可以克隆卡,从而在实体店甚至在 ATM 上使用,只要掌握了 PIN。数据的价值体现在在线交易价格上,这些价格变化的范围非常大。CVV2 数据价格仅为每张卡 0.1 到 5 美元,而 Track 2 数据可能会高达每张卡 100 美元。
图. 网上论坛中销售的信用卡数据
那么,网络罪犯是如何获得这一数据的?侧录是最常用的方法之一。这涉及到在 POS 终端上安装额外的硬件,通过它来读取卡上的 Track 2 数据。不过,由于这要实际接触到 POS 以及昂贵的附加设备,因此罪犯难于大规模开展这种攻击。为了解决这个问题,罪犯转向软件解决方案,采用 POS 恶意软件的形式。通过针对大型零售商,这种恶意软件罪犯可以通过一次攻击活动获得数百万信用卡的数据。
POS 恶意软件利用处理卡数据方式中存在的漏洞。虽然在用于付款授权时发送的卡数据进行了加密,但是在实际处理支付时并未加密,即在 POS 上刷卡用于支付商品时。罪犯最早在 2005 年利用此安全漏洞,由 Albert Gonzalez 安排的攻击活动窃取了 1.7 亿信用卡的数据。
自此之后,从 POS 终端的内存中读取 Track 2 数据的恶意软件供应和销售的规模开始增长。大部分 POS 系统基于 Windows,使得创建在其上运行的恶意软件相对容易。此恶意软件称为内存数据截取恶意软件,因为它在内存中查找与 Track 2 数据模式匹配的数据。在刷卡的同时,恶意软件在内存中查找这样的数据并将其保存在 POS 上的文件中,攻击者可在以后检索。最广为人知的 POS 恶意软件是在一个网络罪犯论坛上出售的 BlackPOS。赛门铁克检测到此恶意软件并称其为 Infostealer.Reedum.B。
在掌握了 POS 恶意软件之后,攻击者接下来面临的挑战是如何将恶意软件安装到 POS 终端上。POS 终端通常并不连接到互联网,但是与公司网络会有某种连接。因此,攻击者可以尝试首先侵入公司网络。他们可能会找寻对外系统中的弱点来完成这一过程,例如,对 Web 服务器使用 SQL 注入或寻找仍使用制造商默认密码的外围设备。进入网络之后,罪犯会使用不同黑客工具来获取对托管 POS 系统的网段的访问。安装 POS 恶意软件之后,攻击者将采取措施来确保其活动不被注意。这些措施可能包括擦除日志文件或者篡改安全软件,这都可以确保持续进行攻击,尽可能多地收集数据。
不幸的是,这种性质的卡数据窃贼近期仍将继续。被盗卡数据的使用期有限。信用卡公司可以快速确定异常支出模式,细心的卡片主人也也一样。这意味着罪犯需要稳定地供应“新鲜”卡号。
好的方面是,零售商从近期的这些攻击中汲取了教训,采取措施来防止这一类型的攻击重新出现。付款技术也在变化。许多美国零售商现在积极转向 EMV,也就是“芯片和 PIN”支付技术。芯片和 PIN 卡更难于克隆,使得攻击者对其的兴趣降低。当然,新的支付模型也已出现。随着移动支付技术,也就是 NFC 支付技术更为广泛地采用,智能手机也可以作为新的信用卡。
毫无疑问,网络罪犯对此也会做出响应。但是,零售商可以采用较新的技术,安全公司也会持续监视攻击者,大规模 POS 盗窃将会越来越困难,也越发无利可图。
陕西神州嘉杰信息科技有限公司(微软金牌合作伙伴)
服务热线:029-87884595
传真:029-87884595转609
公司地址:陕西省西安市雁塔路中段心晴雅苑4-3-C