POS-термінали: правила безпечних платежів

Практично 80% населення України користуються пластиковими платіжними картками. Однак, використовуючи електронні засоби розрахунку покупці опиняються під загрозою можливої втрати власних коштів. Зловмисників можуть перехопити пін-код на етапі користування POS-терміналом. Потрібно розуміти, що це не тільки проблема покупців, а також і торговельного бізнесу, який активно агітує використовувати пластикові картки та відповідає за безпеку та надійність процесу. Далі ми поговоримо про те, на що варто звернути уваги підприємцям та як убезпечити себе та клієнтів від кіберзагроз, направлених на платіжні термінали.

Небезпека існує

Розвиток систем POS-терміналів, на жаль, приваблює кіберзлочинців та розробників шкідливих програм, орієнтованих на дії в POS-системах, створювати десятки способів, щоб вкрасти інформацію платіжної карти споживачів. Приклади катастрофічних втрат такої інформації відомі. Остання – це витік конфіденційної інформації покупців торговельної мережі Target у 2014 році.

Як працюють ці злочинні прийоми стає зрозумілим, якщо розібратись в принципах роботи POS-терміналів. Проводячи картку з магнітною стрічкою через термінал, апарат у мілісекунди розшифровує інформацію з «пластику». Саме в цей невеличкий проміжок часу спеціальні шкідливі програми здатні запам’ятати конфіденційну інформацію і передати її зловмисникам.

На сьогодні провідні країни світу на чолі з США намагаються покращити захист таких видів платежів. Картки з магнітною стрічкою та підписом (swipe-and-signature) замінюються на більш сучасні аналоги – системи смарт-карт  EMV або  Chip-and-PIN, або ще більш нової системи з використанням так званої комунікації ближнього поля (NFC). Розвитку останніх дуже сприяють технології сучасних ІТ гігантів Apple та Google.

Але тотальний розвиток цих систем потребує багато часу та ресурсів. Не стоять на місці і зловмисники, які розробляють спеціальні шкідливі програми. До того ж, є дуже багато різних моделей POS-систем, які ще більш ускладнюють розробку універсальних систем захисту.

Вся стратегія безпеки цієї сфери діяльності продовжує базуватись на сигнатурному аналізі. Якщо конкретний POS-вірус відомий захисним програмам, то вони його успішно блокують. Якщо це нова модифікація, то виникають проблеми, говорять експерти.

На думку Карла Синглера, експерта вірусних загроз відділу розслідувань Trustwave, зловмисники часто використовували вразливості безпеки операторів карток та пристроїв, а не самих торговельних мереж. Спеціаліст зазначає, що показовим є приклад того ж самого Target, який став поштовхом до поліпшення систем безпеки провайдерів платіжних послуг в США до більш якісного та сучасного рівня Industry Data Security Standard – PCI- DSS 3.0, який вимагає дотримання більш суворих умов кібербезпеки.

Види шкідливого ПЗ для POS-терміналів

Різні сімейства шкідливого ПЗ, що працює в POS-терміналах, використовують різні шпарини та вразливості систем, моделей пристроїв та софта на якому вони працюють. Компанія Trustwave склала цікавий список, в якій увійшли розповсюджені сімейства «POS-вірусів». Розглянемо деякі з них , щоб зрозуміти різноманітність їх поведінки.

Backoff - З моменту свого виявлення, яке відбулось трохи більше, ніж рік тому, вже існує  12 варіантів програми. Шкідливе ПЗ відправляє вкрадені дані, використовуючи криптографічний протокол SSL, такий самий, який захищає нформацію споживачів, коли вони здійснюють покупки у онлайн магазинах. Цей метод дає злочинцям можливість приховати передачу від програм захисту.

BlackPOS – шкідлива програма також відома як "Kaptoxa". Вона має  в своєму складі компонент, який  копіює конфіденційну інформацію платіжних карт, збирає та відправляє дані на комп'ютер у локальній мережі, а потім перенаправляє весь пакет злочинцям, які його контролюють.

ProjectHook - був відкритий в 2012 році, але посилання на його код досі використовується в нових сімействах шкідливих програм. Він має унікальну можливість оновлювати список командно-контрольних серверів, з якими він спілкується.

JackPOS – ця шкідлива програма використовує  внутрішні помилки програмування програмного забезпечення. Вона запам’ятовує дані платіжних карт, що були відправлені по HTTP, за допомогою методу POST – це основний спосіб відправки даних на веб-сервер.

Загалом, сімейств шкідливого ПЗ, що працюють в POS-системах, значно більше. Не дивлячись на їх можливості їм можна досить ефективно протистояти.

Як захиститись від можливих неприємностей?

На думку американських експертів сам бізнес може робити більше для свого захисту. Наприклад, зазначає Карл Синглер, ретейлери мають робити так, щоб їх контракті з сторонніми операторами платіжних систем включали пункти, які будуть регулювати питання захисту даних. Крім того вони мають будувати власну стратегію багатошарового захисту, яка дозволить блокувати доступ до баз даних навіть при умові використання зловмисниками уразливостей обладнання та софту партнерів.

Це все досить загальні рекомендації.  Що ж стосується більш конкретних порад, то експерти радять:

1. Використовувати тільки офіційні ліцензійні програми, які будуть забезпечувати роботу POS-терміналів. При чому, в них безумовно має працювати функція, яка унеможливлює підключення «до» POS-терміналу та несанкціоновані передачі даних «від» POS-терміналу.
2. Ізолювати середовище POS-терміналів від прямого доступу до Інтернет через віддалене адміністрування. Такий шлях зламів платіжних систем є досить популярним.
3. Об’єднуватись з партнерами для побудови системи, яка буде базуватись на спільних даних, щодо «індикаторів загроз»  - небезпечних IP-адрес, вірусних сигнатур, MD5 хеш шкідливих файлів або URL-адрес,  доменних імен, ботнетів та контролю серверів. Такі данні мають збиратись під час зафіксованих дій зловмисників.
4. Вести мережевий та хостинговий моніторинг загроз, який дозволить вчасно заблокувати чи евакуювати важливі дані, та повідомити партнерів про можливі атаки.
5. Використовувати POS-термінали за прямим призначенням, а не як частину робочого ПК. Намагатися сегментувати важливі дані і відділяти їх одне від одного захисними бар’єрами. Не потрібно, щоб «всі яйця були в одному кошику».
6. Не економити на кваліфікованих співробітниках служби кібербезпеки.

Не дивлячись на впровадження сучасних методів здійснення  платежів, як, наприклад, NFC, експерти зазначають, що в них вже знайдені певні вразливості, які можуть бути використані зловмисниками. Тому радять постійно вдосконалювати систему інформаційної кібербезпеки та виконувати базові правила безпеки при веденні бізнесу.

При написанні статті використані матеріали сайту CIO.com