وبلاگ

پوز POS بانکی یکی از نقاط ضعف امنیتی سایبری و راهکارهای سیمانتک

مجرمان سایبری با استفاده از روش‌های قدیمی و جدید، در حال سرقت اطلاعات کارت‌های پرداخت مشتریان از خرده‌فروشان هستند. با نزدیک شدن به شلوغ‌ترین دوره خرید سال، خرده‌فروشان آنلاین و آفلاین و همچنین مصرف‌کنندگان با ریسک‌هایی برای امنیت داده‌های کارت‌های پرداخت خود در سرتاسر جهان مواجه هستند.

 

در سال 2023، حملات فرم‌جکینگ به شدت افزایش یافته است؛ به طوری که شرکت سیمانتک بین اواسط سپتامبر تا اواسط نوامبر نزدیک به 700,000 تلاش برای فرم‌جکینگ را مسدود کرده است. این افزایش حملات فرم‌جکینگ یکی از بزرگترین خطرات سال 2023 است، جایی که مهاجمانی مانند Magecart از حملات زنجیره تأمین و دیگر تاکتیک‌ها برای تزریق اسکریپت‌های مخرب به وب‌سایت‌ها استفاده می‌کنند تا اطلاعات کارت‌های پرداخت را به سرقت ببرند.

 

حملات به سیستم‌های POS در فروشگاه‌های فیزیکی نیز در سال جاری مشاهده شده است، هرچند هیچکدام به اندازه نقض‌های عظیم اوایل این دهه که ده‌ها میلیون کارت اعتباری در یک نقض به خطر افتاده بودند، نبوده است.

 

پوزها نقطه اصلی تهدید در حملات سایبری

بر اساس تحقیقات اخیر تیم مدیریت اطلاعات و تهدیدات سیمانتک (MATI) که در گزارش MATI تحت عنوان چگونگی کسب درآمد مجرمان سایبری از دسترسی غیرمجاز به سیستم‌های PoS و داده‌های کارت‌های سرقت شده منتشر شده است، در بازارهای دارک وب، هکرها دسترسی به سیستم‌های PoS را با قیمت‌هایی از 12 دلار برای دسترسی اداری به یک دستگاه PoS تا 60,000 دلار برای دسترسی به یک شبکه شرکتی بزرگ که هزاران سرور و پایانه PoS را در بر می‌گیرد، تبلیغ می‌کنند. در همین حال، بسته به کیفیت آن، داده‌های کارت‌های پرداخت در دارک وب بین 1 تا 175 دلار به ازای هر کارت فروخته می‌شود.

 

تکنیک‌هایی که توسط هکرهای PoS استفاده می‌شود همچنان ساده باقی مانده و در چند سال اخیر به طور چشمگیری تغییر نکرده است. این کلاهبرداران همچنان از بدافزار RAM-scraping برای سرقت جزئیات کارت‌های پرداخت استفاده می‌کنند.

 

بدافزار RAM-scraping به دلیل نحوه جابجایی داده‌ها در سیستم‌های خرده‌فروشی کار می‌کند. خرده‌فروشان معمولاً از رمزنگاری در سطح شبکه در داخل شبکه‌های داخلی خود برای محافظت از داده‌ها در حین جابجایی بین سیستم‌ها استفاده می‌کنند. با این حال، شماره کارت‌های پرداخت همیشه در خود سیستم‌ها رمزنگاری نمی‌شوند و همچنان می‌توان آنها را در حافظه سیستم‌های PoS و دیگر سیستم‌های کامپیوتری که مسئول پردازش یا انتقال داده‌ها هستند، یافت.

این ضعف به مهاجمان اجازه می‌دهد تا با استفاده از بدافزار RAM-scraping این داده‌ها را از حافظه خارج کنند در حالی که داده‌ها در داخل ترمینال پردازش می‌شوند و نه در حین جابجایی از طریق شبکه.

 

گروه‌های جرایم سایبری PoS

دو هکر برجسته در زمینه بدافزار PoS عبارتند از FIN7 و FIN6. گروه FIN7 که به سرقت بیش از 1 میلیارد دلار از شرکت‌های سراسر جهان مشهور است، از ایمیل‌های فیشینگ پیشرفته استفاده می‌کند تا اهداف خود را متقاعد کند پیوست‌های آلوده‌ای را دانلود کنند که سپس شبکه شرکت‌ها را به بدافزار آلوده می‌کند. بدافزاری که FIN7 اغلب از آن استفاده می‌کند، نسخه‌ای سفارشی از بدافزار Carbanak است که در حملات متعددی به بانک‌ها استفاده شده است. شرکت‌هایی که توسط FIN7 مورد هدف قرار گرفته‌اند شامل برندهای معروفی مانند Chipotle، Chilli’s و Arby’s هستند و گروه FIN7 احتمالاً هزاران مکان تجاری را به خطر انداخته و میلیون‌ها شماره کارت اعتباری را سرقت کرده است.

 

گروه FIN6 نیز اولین بار در سال 2016 مشاهده شد، زمانی که از درپشتی Grabnew و بدافزار FrameworkPOS برای سرقت جزئیات بیش از 10 میلیون کارت اعتباری استفاده کرد. این گروه در سال 2018 نیز فعال بود و از ابزارهای living off the land مانند Windows Management Instrumentation Command (WMIC) و چارچوب Metasploit برای اجرای دستورات PowerShell استفاده کرد.

 

هر دو گروه FIN7 و FIN6 معتقدند که با فروش جزئیات کارت‌های سرقت شده در بازارهای دارک وب، میلیون‌ها دلار درآمد کسب کرده‌اند و بازار Joker’s Stash به نظر می‌رسد که جایی است که اکثر این معاملات در آن انجام می‌شود.

 

عوامل جدید مؤثر بر حملات  پوزها POS

با این حال، چندین عامل درسال های اخیر ظاهر شده‌اند که ممکن است بر محیط حملات PoS و فعالیت این گروه‌ها تأثیر بگذارند:

دستگیری سه عضو FIN7: در اوت سال 2020، وزارت دادگستری ایالات متحده کیفرخواست‌هایی را علیه سه شهروند صادر کرد که ادعا می‌کرد اعضای FIN7 هستند. با اینکه فعالیت FIN7 از زمان این دستگیری‌ها ادامه داشته است، اما این دستگیری‌ها می‌تواند تأثیری بر فعالیت این گروه در آینده داشته باشد.

افزایش استفاده از چیپ و چیپ-و-پین: افزایش استفاده از فناوری‌های چیپ و چیپ-و-پین در ایالات متحده و جهان توسط صادرکنندگان کارت‌های پرداخت، دسترسی به اطلاعات کارت‌های پرداخت “قابل استفاده” را در بازارهای مجرمانه کاهش داده است. اگر یک هکر سیستم PoS را که 50 درصد کارت‌های آن از چیپ-و-پین استفاده می‌کند به خطر بیاندازد، فقط 50 درصد از کارت‌ها برای آنها قابل استفاده یا فروش خواهند بود. با گسترش فناوری چیپ-و-پین در سراسر جهان و کاهش تعداد سیستم‌های PoS که می‌توانند داده‌های کارتی را تولید کنند که بازیگران تهدید بتوانند از آن‌ها بهره‌برداری کنند، کارشناسان MATI سیمانتک معتقدند که قیمت دسترسی غیرمجاز به PoS کاهش خواهد یافت، در حالی که اطلاعات کارت‌های سرقت شده قابل استفاده به دلیل کمیاب شدن، ارزش بیشتری پیدا خواهند کرد.

ظهور هکر جدید Fleahopper

یکی از هکرهای جدید که در سال 2018 در حملات مخرب به سیستم‌های PoS دیده شده است، گروهی است که ما آن را Fleahopper نامیده‌ایم. این گروه از حداقل ژوئیه 2017 فعال بوده و به نظر می‌رسد انگیزه مالی دارد و با سرقت اطلاعات از ماشین‌های آلوده به نرم‌افزار PoS، قربانیان خود را هدف قرار می‌دهد.

 

در نیمه دوم سال 2018، Fleahopper مشاهده شده است که از botnet Necurs برای آلوده کردن قربانیان استفاده می‌کند. این کار را به دو روش انجام می‌دهد: از طریق بات‌های Necurs و از طریق ایمیل اسپم که احتمالاً از botnet Necurs منشأ گرفته است. سیمانتک مشاهده کرده است که Fleahopper بدافزار را به طور مستقیم از طریق بات‌های Necurs به ماشین‌های آلوده به Necurs منتقل می‌کند. ماشین‌هایی که به Necurs آلوده نشده‌اند ممکن است همچنان از طریق اسپم‌هایی که از botnet Necurs ارسال می‌شود، توسط Fleahopper آلوده شوند.

 

ایمیل‌های اسپم که بدافزار Fleahopper را منتقل می‌کنند، با فایل‌های مخرب Microsoft .pub همراه هستند. این فایل‌های .pub نصاب بدافزار Trojan.FlawedAmmyy را دانلود می‌کنند. این تروجان نسخه‌ای تغییر یافته از ابزار دسترسی از راه دور عمومی Ammyy Admin (Remacc.Ammyy) است. اگرچه تروجان FlawedAmmyy به طور اختصاصی به Fleahopper تعلق ندارد، اما مشاهده شده است که این گروه از آن برای انتقال ابزارهای خود استفاده می‌کند.

 

در نتیجه، به نظر می‌رسد که امسال نه تنها برای خرده‌فروشان و مصرف‌کنندگان، بلکه برای مجرمان سایبری نیز فصلی پررونق است. با افزایش تهدیدات هم به صورت آنلاین و هم آفلاین، خرده‌فروشان باید از سیستم‌های خود در برابر این حملات حفاظت کنند و مصرف‌کنندگان نیز باید در حفاظت از اطلاعات کارت‌های پرداخت خود بیشتر احتیاط کنند. آلما شبکه نماینده شرکت سیمانتک Symantec در ایران با مدیریت آقای وحید فوائدی آماده ارائه انواع راهکارهای امنیتی بر پایه نرم افزارهای شرکت سیمانتک می‌باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 × 1 =