POS-терминалы: правила безопасных платежей

Практически 80% населения Украины пользуются пластиковыми платежными карточками. Однако, используя электронные средства расчета, покупатели оказываются под угрозой возможной потери собственных средств. Злоумышленники могут перехватить пин-код на этапе пользования POS-терминалом. Нужно понимать, что это не только проблема покупателей, а также и торгового бизнеса, который активно агитирует использовать пластиковые карточки и отвечает за безопасность и надежность процесса. Далее мы поговорим о том, на что стоит обратить внимание предпринимателям, и как обезопасить себя и клиентов от киберугроз направленных на платежные терминалы.

Опасность существует

Развитие систем POS-терминалов, привлекает киберпреступников и разработчиков вредоносных программ, ориентированных на действия в POS-системах, создавать десятки способов, чтобы украсть информацию о платежной карте покупателя. Примеры катастрофических потерь такой информации известны. Последняя - это утечка конфиденциальной информации покупателей торговой сети Target в 2014 году.

Как работают эти преступные приемы, становится понятным, если разобраться в принципах работы POS-терминалов. Проводя карточку с магнитной лентой через терминал, аппарат в миллисекунды расшифровывает информацию с «пластика». Именно в этот небольшой промежуток времени специальные вредоносные программы способны запомнить конфиденциальную информацию и передать ее злоумышленникам.

Сегодня ведущие страны мира во главе с США пытаются улучшить защиту таких видов платежей. Карточки с магнитной лентой и подписью (swipe-and-signature) заменяются на более современные аналоги - системы смарт-карт EMV или Chip-and-PIN, или еще более новой системы с использованием, так называемой "коммуникации ближнего поля" (NFC). Развитию последних очень способствуют технологии современных ИТ гигантов Apple и Google.

Но тотальное внедрение этих систем требует много времени и ресурсов. Не стоят на месте и злоумышленники, которые разрабатывают специальные вредоносные программы. К тому же, есть очень много различных моделей POS-систем, которые еще более затрудняют разработку универсальных систем защиты.

Вся стратегия безопасности этой сферы деятельности продолжает базироваться на сигнатурном анализе. Если конкретный POS-вирус известен защитным программам, то они его успешно блокируют. Если это новая модификация, то возникают проблемы, говорят эксперты.

По мнению Карла Синглера, эксперта вирусных угроз отдела расследований Trustwave, злоумышленники часто использовали уязвимости безопасности операторов карточек и устройств, а не самих торговых сетей. Специалист отмечает, что показателен пример Target, который стал толчком к улучшению систем безопасности провайдеров платежных услуг в США до более качественного и современного уровня Industry Data Security Standard - PCI- DSS 3.0, который требует соблюдения более строгих условий кибербезопасности.

Виды вредоносного ПО для POS

Различные семейства вредоносного ПО, работающего в системах POS, используют различные лазейки и уязвимости систем, моделей устройств и софта на котором они работают. Компания Trustwave составила интересный список, в котором вошли распространенные семейства «POS-вирусов». Рассмотрим некоторые из них, чтобы понять разнообразие их поведения.

Backoff - С момента своего обнаружения, которое состоялось чуть больше чем год назад, уже существует 12 вариантов программы. Вредоносное ПО отправляет украденные данные, используя криптографический протокол SSL, такой же, который защищает информацию потребителей, когда они совершают покупки в онлайн магазинах. Этот метод дает преступникам возможность скрыть передачу от программ защиты.

BlackPOS - вредоносная программа также известна как "Kaptoxa". Она имеет в своем составе компонент, который копирует конфиденциальную информацию платежных карт, собирает и отправляет данные на компьютер в локальной сети, а затем перенаправляет весь пакет преступникам, которые его контролируют.

ProjectHook - был открыт в 2012 году, но ссылки на его код еще используются в новых семействах вредоносных программ. Он имеет уникальную возможность обновлять список командно-контрольных серверов, к которым он обращается.

JackPOS - эта вредоносная программа использует внутренние ошибки программирования софта. Она запоминает данные платежных карт, которые были отправлены по HTTP, с помощью метода POST (основной способ отправки данных на веб-сервер).

В целом, семейств вредоносного ПО, работающих в POS-системах, значительно больше. Несмотря на их возможности им можно довольно эффективно противостоять.

Как защититься от возможных неприятностей?

По мнению американских экспертов, сам бизнес может делать больше для своей защиты. Например, отмечает Карл Синглер, ретейлеры должны делать так, чтобы их контракты со сторонними операторами платежных систем включали пункты, которые будут регулировать вопросы защиты данных. Кроме того, они должны строить свою стратегию многослойной защиты, которая позволит блокировать доступ к базам данных даже при условии использования злоумышленниками уязвимостей оборудования и софта партнеров.

Это все достаточно общие рекомендации. Что касается более конкретных советов, то эксперты советуют:

1. Использовать только официальные лицензионные программы, которые будут обеспечивать работу POS-терминалов. Причем, в них обязательно должна работать функция, исключающую возможность подключения «к» POS-терминалу и несанкционированные передачи данных «от» POS-терминала.

2. Изолировать среду POS-терминалов от прямого доступа к Интернет через удаленное администрирование. Такой путь взломов платежных систем остается достаточно популярным.

3. Объединяться с партнерами для построения системы, которая будет базироваться на общих данных, про «индикаторы угроз» - опасных IP-адресах, вирусных сигнатур, MD5 хэш вредоносных файлов или URL-адресов, доменных имен, ботнетов и контроля серверов. Такие данные должны собираться при зафиксированных действиях злоумышленников.

4. Вести сетевой и хостинговый мониторинг угроз, который позволит вовремя заблокировать или эвакуировать важные данные, а также своевременно сообщить партнерам о возможных атаках.

5. Использовать POS-терминалы по прямому назначению, а не как часть рабочего ПК. Старайтесь сегментировать важные данные и отделять их друг от друга защитными барьерами. Не нужно, чтобы «все яйца были в одной корзине».

6. Не экономить на квалифицированных сотрудниках службы кибербезопасности.

Несмотря на внедрение современных методов осуществления платежей, как, например, NFC, эксперты отмечают, что у них уже найдены определенные уязвимости, которые могут быть использованы злоумышленниками. Поэтому специалисты киберзащиты советуют постоянно совершенствовать систему информационной безопасности и выполнять базовые правила безопасности при ведении бизнеса.

При написании статьи использованы материалы сайта CIO.com