Kradzież danych kart płatniczych i kodów PIN z systemów POS jest bardzo prosta

Wiele z dużych naruszeń kart płatniczych, które dotknęły firmy handlu detalicznego i hotelarstwa w ostatnich latach, było wynikiem ataków infekujących systemy punktów sprzedaży z pamięcią - skanowanie szkodliwego oprogramowania. Ale istnieją prostsze sposoby kradzieży tego rodzaju danych, z powodu braku uwierzytelnienia i szyfrowania między czytnikami kart a aplikacjami do płatności POS.

Systemy POS to wyspecjalizowane komputery. Zwykle korzystają z systemu Windows i mają urządzenia peryferyjne, takie jak klawiatury, ekrany dotykowe, czytniki kodów kreskowych i czytniki kart z podkładkami PIN. Mają także zainstalowane wyspecjalizowane aplikacje płatnicze do obsługi transakcji.

Jedną z popularnych metod wykorzystywanych przez napastników do kradzieży danych kart płatniczych z systemów PoS jest infekowanie ich złośliwym oprogramowaniem za pomocą skradzionych danych logowania do pomocy technicznej lub innych technik. Te szkodliwe programy są znane jako skrobaki pamięci lub RAM, ponieważ skanują pamięć systemu w poszukiwaniu danych z karty kredytowej, gdy są przetwarzane przez aplikację płatniczą w systemie POS.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Cel: pompy gazu

We wtorek na konferencji BSides w Las Vegas, analitycy bezpieczeństwa Nir Valtman i Patrick Watson z amerykańskiego producenta NCR i bankomatów NCR wykazali się skuteczniejszą i bardziej skuteczną techniką ataku, która działa wbrew większości " Punkty płatnicze interakcji ", w tym czytniki kart z PIN-padami, a nawet terminale płatnicze w pompie gazowej.

Głównym problemem wszystkich tych urządzeń jest to, że nie używają uwierzytelniania i szyfrowania podczas wysyłania danych z powrotem do oprogramowania płatniczego POS . To naraża ich na ataki typu "człowiek w środku" za pomocą urządzeń zewnętrznych, które korzystają z sieci lub połączenia szeregowego, lub poprzez "oprogramowanie shim", które uruchamia sam system POS.

W celu przeprowadzenia demonstracji naukowcy użyli urządzenia Raspberry Pi z ruchem drogowym przechwytywanie oprogramowania, które łączy kabel danych między klawiaturą PIN a laptopem z symulatorem aplikacji płatniczej. Podkładka PIN miała niestandardową górną pokrywę, aby ukryć swoją markę i model; badacze nie chcieli wyróżnić konkretnego dostawcy, ponieważ dotyczy to wielu z nich.

Podczas gdy demo używało zewnętrznego urządzenia, które mogło zostać zainstalowane przez osobę z wewnątrz lub przez osobę udającą technika, atakujący może także po prostu zmodyfikować Plik DLL (biblioteka z dynamicznym łączem) aplikacji do płatności, który przechwytuje dane wewnątrz samego systemu operacyjnego, jeśli uzyska do niego dostęp zdalny. Zmodyfikowana biblioteka DLL, ładowana przez legalne oprogramowanie do obsługi płatności, byłaby znacznie trudniejsza do wykrycia niż szkodliwe oprogramowanie do skanowania pamięci.

Lucian Constantin

Naukowcy Patrick Watson i Nir Valtman tworzą terminal płatniczy, który wyświetla fałszywy monit o ponowne wprowadzenie kodu PIN.

Naukowcy z NCR wykazali, że atakujący mogą nie tylko wykorzystywać tę technikę ataku do kradzieży danych zakodowanych na pasku magnetycznym karty, którą można wykorzystać do klonowania, ale mogą również oszukać posiadaczy kart, aby ujawnić swoje numery PIN, a nawet bezpieczeństwo kody wydrukowane z tyłu kart.

Zazwyczaj pady PIN kodują numery PIN podczas przesyłania ich do oprogramowania PoS. Jest to wymóg branżowy, a producenci go przestrzegają.

"Wprowadź ponownie PIN" - może to zostać ukradzione przez napastników

Jednak atakujący w man-in-the-middle mogą również wprowadzać fałszywe podpowiedzi na ekranie konsoli PIN przesyłając tak zwane niestandardowe formularze. Te podpowiedzi ekranowe mogą pokazywać dowolne osoby atakujące, na przykład "Wprowadź ponownie PIN" lub "Wprowadź kod zabezpieczający karty".

Specjaliści od spraw bezpieczeństwa mogą wiedzieć, że nigdy nie powinni ponownie wpisywać swoich kodów PIN ani kodów zabezpieczeń kart , znane również jako CVV2, są potrzebne tylko w transakcjach online, nie-obecnych, ale zwykli konsumenci zazwyczaj nie wiedzą o tym - wyjaśniają naukowcy.

W rzeczywistości zademonstrowali tę metodę ataku specjalistom z płatności w przeszłości, a 90 procent z nich nie było podejrzanych o ekran ponownego wprowadzenia PIN-u, powiedzieli.

Niektóre pady PIN mają białe listy ograniczające, które słowa mogą pojawiać się na niestandardowych ekranach, ale wiele z tych białych list pozwala na wpisanie słów "proszę ponownie wprowadzić", a nawet jeśli nie, istnieje sposób na ominięcie filtra, ponieważ pozwalają na to niestandardowe formularze PIN-pad obrazy. Napastnicy mogliby zamiast tego po prostu wstawić obraz tymi słowami, używając tego samego koloru tekstu i czcionki, który normalnie pojawia się na ekranie.

Warto również zauważyć, że atak ten działa przeciwko czytnikom kart i PIN-padkom zgodnym ze standardem EMV, co oznacza obsługują karty z obsługą chipów. Technologia EMV nie uniemożliwia intruzom wykorzystania skradzionych danych z karty z chipem do stworzenia klona i użycia go w kraju, który jeszcze nie obsługuje EMV lub na terminalach, które nie obsługują EMV i pozwalają tylko na przesuwanie karty.

Ponadto, EMV nie ma wpływu na transakcje e-commerce, więc jeśli napastnicy zdobędą dane o karcie i kod CVV2 karty, mają wszystkie informacje potrzebne do dokonania nieuczciwych transakcji online.

Dla producentów, naukowcy zalecane wdrażanie szyfrowania punkt-punkt (P2PE), które szyfruje całe połączenie z klawiatury PIN z powrotem do procesora płatności. Jeśli P2PE nie może zostać zaimplementowany na istniejącym sprzęcie, dostawcy powinni przynajmniej rozważyć zabezpieczenie komunikacji między swoimi paskami PIN a oprogramowaniem POS za pomocą TLS (Transport Layer Security) i cyfrowo podpisać wszystkie żądania odesłane do PIN-a przez aplikację płatniczą.

Tymczasem konsumenci nigdy nie powinni nigdy ponownie wprowadzać swoich kodów PIN na klawiaturze PIN, jeśli zostanie o to poproszony. Powinny także czytać komunikaty wyświetlane na ekranie i być podejrzane wobec osób, które proszą o dodatkowe informacje. Płatności mobilne z usługami portfela cyfrowego, takimi jak Apple Pay, powinny być stosowane tam, gdzie to możliwe, ponieważ w tym momencie są bezpieczniejsze niż tradycyjne terminale płatnicze.