Взлом в универсаме: как в магазинах крадут данные банковских карт

По приблизительным оценкам специалистов компании Symantec, около 60% всех покупок, совершаемых в точках розничной продажи, оплачиваются при помощи кредитных или дебетовых карт. Крупные точки розничной продажи могут обрабатывать тысячи таких транзакций в день, поэтому POS-системы попали под прицел злоумышленников, стремящихся заполучить большие объемы данных кредитных карточек.

100 ДОЛЛАРОВ ЗА КРЕДИТКУ

Кражи данных в крупных сетях розничной торговли при помощи шпионского устройства, устанавливающегося на POS-систему, или вредоносной программы, считывающей данные Track2 магнитной ленты банковской карты из памяти кассы, позволяют злоумышленникам собрать данные миллионов кредитных карт.

Термином Track2 обозначаются данные, хранящиеся на магнитной ленте карты. Эти данные являются более ценными, так как дают возможность злоумышленникам клонировать карты и пользоваться ими в обычных магазинах, а при наличии пин-кода - и снимать деньги через банкомат. Ценность такой информации отражается в ее стоимости в интернете на специальных форумах для мошенников: стоимость данных Track2 может достигать 100 долларов за одну карту.

СКИММИНГ НИКТО НЕ ОТМЕНЯЛ

Одним из самых распространенных способов получения этих данных злоумышленниками является скимминг (от англ. skim - снимать сливки), когда на POS-систему устанавливается дополнительное устройство, считывающее данные Track2. Однако этот метод требует физического доступа к устройству и дорогого оборудования, что делает реализацию такой схемы в крупных масштабах затруднительной. Чтобы обойти эти трудности, злоумышленники обратились к программным решениям в виде вредоносного кода для POS-систем. Атакуя главные сети розничной торговли, за одну кампанию злоумышленники могут собрать данные миллионов кредитных карт.

Вредоносный код для POS-систем работает за счет использования бреши в системе обработки данных кредитных карт: хотя при запросе на авторизацию данные отправляются из магазина в банк в зашифрованном виде, они совершенно открыты в сам момент обработки платежа, т.е. в тот момент, когда человек проводит карточкой по терминалу при оплате покупки.

Первый раз злоумышленники воспользовались этой уязвимостью в 2005 году, когда в результате кампании, проведенной хакером по имени Альберт Гонсалес, были украдены данные 170 миллионов кредитных карт.

ВРЕДОНОСНОЕ ПО ДЛЯ POS-ТЕРМИНАЛА

С того времени рынок вредоносных программ, считывающих данные Track2 из памяти POS-систем, только вырос. Большинство электронных кассовых систем основано на ОС Windows, что делает простым создание для них вредоносных программ. Такие программы работают по схеме memory scraping (буквально - «соскребывание памяти»), сканируя память POS-системы на предмет данных, по структуре напоминающих Track2-данные. Когда карточкой проводят по терминалу, программа находит эти данные и сохраняет их в памяти системы, чтобы позже злоумышленник мог осуществить к ней доступ. Самый известный вирус подобного типа - программа под названием BlackPOS, и она продается на форумах для киберпреступников.

Вооружившись вредоносной программой, хакер должен решить следующую задачу - установить эту программу на POS-систему. POS-системы, как правило, не имеют прямого доступа в интернет, однако тем или иным способом подключены к корпоративной сети компании, управляющей универсамом или рестораном. Так что первым делом злоумышленники пытаются взломать ее.

Это можно сделать путем внедрения вредоносного SQL-кода или найдя подключенное к сети внешнее устройство, на котором все еще стоит стандартный заводской пароль. Получив доступ к сети, злоумышленники при помощи различных инструментов взлома пытаются получить доступ к сегменту сети, отвечающему за работу POS-систем. После установки вредоносного кода хакеры предпринимают ряд шагов, направленных на заметание следов. Такие шаги могут включать в себя очистку log-файлов или манипуляции с системой безопасности таким образом, чтобы злоумышленники могли и дальше незаметно осуществлять перехват.

ПРОГНОЗЫ

К сожалению, по оценке экспертов Symantec, в ближайшем будущем такие кражи, скорее всего, продолжатся. Краденые данные кредитных карт имеют ограниченный срок годности: банки, так же как и наблюдательные владельцы карт, быстро замечают подозрительные транзакции и блокируют карту. Это значит, что киберпреступникам необходим постоянный источник «свежих» кредиток.

Впрочем, эксперты считают, что есть и хорошая новость. Она состоит в том, что изменяется технология оплаты. В мире сейчас идет активное внедрение карт типа Chip and Pin или «карт с чипами». Данная технология существует и функционирует в Европе и России, однако в США она только начала распространяться. Такие карты намного труднее клонировать, что делает их менее привлекательной добычей для злоумышленников.