POS sistemlerinden ödeme kartı verilerinin ve PIN'lerin çalınması son derece kolay

Son yıllarda perakende satış ve ağırlama işletmelerini etkileyen büyük ödeme kartı ihlallerinin çoğu, satış noktası sistemlerini bellekle dolduran saldırganların sonucuydu. -Sertli kötü amaçlı yazılım. Ancak kart okuyucular ve POS ödeme uygulamaları arasında kimlik doğrulama ve şifreleme olmaması nedeniyle bu tür verileri çalmanın daha kolay yolları vardır.

POS sistemleri özel bilgisayarlardır. Genellikle Windows çalıştırırlar ve klavyeler, dokunmatik ekranlar, barkod tarayıcılar ve PIN pedleri ile kart okuyucular gibi çevre birimleri vardır. Ayrıca, işlemlerin üstesinden gelmek için özel ödeme uygulamalarına da sahiptirler.

Saldırganların PoS sistemlerinden ödeme kartı verilerini çalmak için kullandıkları yaygın yöntemlerden biri, çalıntı uzaktan destek bilgileri veya diğer teknikler yoluyla bunları kötü amaçlı yazılımlara karşı korumaktır. Bu kötü amaçlı yazılım programları bellek veya RAM kazıyıcıları olarak bilinir, çünkü bunlar, POS sistemindeki ödeme uygulaması tarafından işlendiğinde sistemin kredi kartı verilerini hafızaya alır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Hedef: gaz pompaları

Ama Salı günü Las Vegas'taki BSides konferansında, güvenlik araştırmacıları Nir Valtman ve ABD merkezli POS ve ATM üreticisi NCR'den Patrick Watson, çoğu “aleyhinde çalışan daha etkili ve daha etkili bir saldırı tekniği gösterdi” etkileşimin ödeme noktaları, “PIN pedleri olan kart okuyucuları ve hatta gaz pompası ödeme terminalleri dahil.

Tüm bu cihazların paylaştığı ana konu, POS ödeme yazılımına geri veri gönderirken kimlik doğrulama ve şifreleme kullanmamalarıdır. . Bu durum, ağa veya seri bağlantıya veya harici POS sisteminin kendisini çalıştıran “shim yazılımı” ile harici aygıtlar aracılığıyla ortadaki adam saldırılarına maruz bırakıyor.

Araştırmacılar, demoları için bir Raspberry Pi cihazı kullanıyorlardı. Veri kablosunu bir PIN pedi ile bir ödeme uygulaması simülatörü ile bir dizüstü bilgisayar arasında tıklayan yazılım yakalama. PIN pedi, markasını ve modelini gizlemek için özel bir üst kapak vardı; Araştırmacılar, birçoğu etkilendiğinden belirli bir satıcıyı beklemek istemiyorlardı.

Demo, içeriden biri veya bir teknisyen olarak çalışan bir kişi tarafından kurulabilecek harici bir cihaz kullanırken, saldırganlar da Uzaktan erişim elde ederse, ödeme uygulamasının DLL (dinamik bağlantı kitaplığı) dosyasıdır. Meşru ödeme yazılımı tarafından yüklenen modifiye edilmiş bir DLL, bellek kazımak kötü amaçlı yazılımdan daha zor algılanabilir.

Lucian Constantin

Araştırmacılar Patrick Watson ve Nir Valtman, sahte bir yeniden PIN girme istemi görüntülemek için bir ödeme terminaline neden oluyorlar.

NCR araştırmacıları, saldırganların bu saldırı tekniğini bir kartın manyetik şeridinde kodlanmış verileri çalmak için kullanabilmelerini değil, aynı zamanda kart numaralarını ve hatta PIN numaralarını ifşa etmelerini de sağlayabilir. Kartların arkasına basılmış kodlar

Normalde PIN pedleri, PoS yazılımına gönderirken PIN numaralarını şifreler. Bu bir endüstri gereksinimidir ve üreticiler buna uymaktadır.

"Lütfen PIN kodunu tekrar girin" - saldırganlar bunu çalabilir

Ancak, ortadaki adam saldırganlar da PIN pad ekranındaki dolandırıcı istemleri enjekte edebilirler sözde özel formları yükleyerek. Bu ekran uyarıları, saldırganların istediği her şeyi söyler, örneğin “PIN'i yeniden girin” veya “Kart güvenlik kodunu girin.”

Güvenlik uzmanları, PIN'lerini veya kart güvenlik kodlarını tekrar girmemeleri gerektiğini bilirler. Ayrıca, CVV2 olarak da bilinen sadece çevrimiçi, kartsız işlemler için gereklidir, ancak normal tüketiciler genellikle bu şeyleri bilmezler, araştırmacılar dedi.

Aslında, bu saldırı yöntemini ödemelerden profesyonellere gösterdi Sektörde geçmişte ve yüzde 90'ında PIN tekrar giriş ekranından şüphelenmediler, dedi.

Bazı PIN kodları, özel ekranlarda hangi kelimelerin görünebileceğini kısıtlayan beyaz listelere sahiptir, ancak bu beyaz listenin çoğu "lütfen tekrar girin" kelimelerine izin verir ve olmasalar bile, filtreyi PIN kod özel formları izin verdiği şekilde atlamanın bir yolu vardır Görüntüler. Saldırganlar, ekrana normal olarak görünen aynı metin rengini ve yazı tipini kullanarak bu kelimelerle bir görüntüyü basitçe enjekte edebilirler.

Ayrıca bu saldırının EMV standardına uyan kart okuyucularına ve PIN pedlerine karşı çalıştığını da unutmayın. çip özellikli kartları destekliyorlar. EMV teknolojisi, saldırganların çip etkin bir karttan çalınan parça verilerini kullanarak bir klon oluşturmasını ve EMV'yi desteklemeyen bir ülkede veya EMV etkin olmayan ve yalnızca kart swiplemesine izin veren terminallerde kullanmasını engellemez.

Ayrıca, EMV'nin e-ticaret işlemleri üzerinde herhangi bir etkisi yoktur, bu yüzden saldırganlar kartın parça verilerini ve kartın CVV2 kodunu alırlarsa, çevrimiçi hileli işlem yapmak için gereken tüm bilgilere sahiptir.

Üreticiler için, araştırmacılar PIN pedinden tüm bağlantıyı ödeme işlemcisine kadar şifreleyen noktadan noktaya şifreleme (P2PE) uygulamanızı öneririz. P2PE mevcut donanım üzerinde uygulanamazsa, satıcılar en azından PIN pad'leri ile POS yazılımı arasındaki iletişimin TLS (Transport Layer Security) ile güvenliğini sağlamayı ve ödeme uygulamasıyla PIN pad'e gönderilen tüm istekleri dijital olarak imzalamayı düşünmelidir.

Bu arada, tüketiciler, istenirse PIN'lerini bir PIN pedi üzerine asla tekrar girmemelidir. Ayrıca ekranda görüntülenen mesajları okumalı ve ek bilgi isteyenlerden şüphelenmelidirler. Mümkün olduğunda, Apple Pay gibi dijital cüzdan hizmetleriyle yapılan mobil ödemeler kullanılmalıdır, çünkü bu noktada geleneksel ödeme terminallerini kullanmaktan daha güvenlidir.