隨著美國準備迎接的另一個假期購物潮,銷售點惡意軟體依舊帶來很高的威脅。在首度發現針對 POS 網路的重大攻擊一年多後,許多美國零售商仍暴露在這類攻擊的風險之中。而此風險在 2015 年的全面轉換至更安全的金融卡技術之前將繼續存在。
雖然部分零售商透過在 POS 終端機上建置加密措施來強化防護安全,但因其他零售商並未跟進,所以他們在未來的ㄧ段時間裡仍是個極易受攻擊的目標。新技術的引進將有助於阻絕攻擊的流向,但卻無法完全消除詐騙;況且攻擊者一向會不停調整他們的攻擊手法。
銷售點惡意軟體現在是網路罪犯最大的失竊金融卡來源之ㄧ。雖然在過去幾年曾登上媒體,POS 惡意軟體威脅自 2005 年開始就已緩緩發展,而在這段時間裡零售業錯失了數個警訊。這讓攻擊者能夠精進他們的手法,導致了 2013 及 2014 年的重大資料外洩資安事件,造成大約 1 億張金融卡的資料遭到竊取,影響全美約 1/3 人口。
攻擊之所以會居高不下,一部分的原因是各式 POS 惡意軟體套件隨手可得,讓攻擊者無需自行重新開發工具就能鎖定零售商。例如,曾被使用在某些重大攻擊的 BlackPOS ( 賽門鐵克命名為 Infostealer.Reedum),自 2013 年 2 月以來就以 美金 2000 元的價格在市場上販售。這對從一次做案成功就能進帳數百萬的攻擊者來說,僅僅是個小型投資。
圖 1.自從惡意軟體套件在網路地下世界隨處隨手可得以來,銷售點攻擊就呈現爆炸性成長。
令人絕望的暴露
針對銷售點終端機的攻擊最早可回溯至 2005 年,當時攻擊者開始透過網路竊聽惡意軟體攔截傳輸中的金融卡資料。ㄧ個由 Albert Gonzalez 領導的攻擊者組織是當時的主要犯罪者,從零售商竊取超過 9000 萬份信用卡記錄。
隨著付款處理器和零售商強化安全防護,攻擊者也隨之調整並將目標轉向銷售點終端機。刷卡時,卡片詳細資料在傳送至付款處理器的同時,會暫時儲存於終端機的記憶體中。這給了終端機上的惡意軟體ㄧ個機會,複製卡片資料,並傳回給攻擊者。這個技術稱為「記憶體擷取」(memory scraping)。
POS 惡意軟體的首度發現是在 2008 年 10 月,當時 Visa 公司針對ㄧ個新類型的攻擊發佈警示。在詐騙的偵查過程中,發現攻擊者在 POS 系統上安裝的除錯軟體,能夠從記憶體中擷取完整的磁條資料。當時很少人留意到這個警訊,也就給予惡意軟體開發者精進他們手法的時間。在這段時間裡,開發者致力於簡化惡意軟體,將所有的功能整合進ㄧ個單一的軟體。
這個開發流程最終讓全功能版的 POS 惡意軟體套件從 2012 年起出現在地下市場中。美國零售商絕望地暴露在這風險中,隨之而來的是大量的重大資安事件的發生,造成數家美國主要零售商受到 POS 惡意軟體攻擊。
以下影片呈現出 POS 惡意軟體的運作方式:
焦點:BlackPOS
POS 惡意軟體中最廣為使用的ㄧ個是 BlackPOS,又稱為 KAPTOXA、Memory Monitor、Dump Memory Grabber 及 Reedum。BlackPOS 的變種曾被用在幾個最大的零售商 POS 資安事件中。
它的開發反映出廣大的 POS 惡意軟體市場演化過程。最早的 BlackPOS 版本可回溯至 2010 年。它逐進演變成ㄧ個多功能的電腦犯罪工具,會為隱匿蹤跡而進行加密,並能為配合目標環境而進行自訂。
在 2013 年 2 月,BlackPOS 已可供大眾市場使用,其中一種變種的幕後組織開始在地下論壇以美金 2000 元的價格販售套件。
逐漸茁壯的市場
既然用在 POS 攻擊的惡意軟體通常都是在地下論壇販售,則攻擊所得到的成果往往也是在這些論壇銷售。舉例來說,某些全美最大資安事件中竊取的信用卡詳細資料就是在 Rescator 論壇販售。
賽門鐵克的一項新研究發現,販售價格完全取決於卡片的種類和等級,例如金級、白金或商務級等許多因素。因為美國失竊卡片的數量龐大,因此來自美國的卡片資料通常會較便宜。附帶額外資訊的卡片詳細資料,又稱為「全套」,通常會賣到較高價格,因為出生日期或信用卡安全密碼之類的詳細資料,能讓詐欺或其他活動進行得更順利。
一張來自美國的信用卡通常要價美金 1.5 到 5 元,大量購買往往能享有折扣。而來自歐洲的信用卡比較貴一些,要價美金 5 到 8元。「全套」則從美金 5 元起跳,最高可達美金 20 元。一張帶有浮雕、自訂號碼及姓名的塑膠卡則要價大約美金 70 元。上傳至 Rescator 的贓卡,在價格後來穩定下來之前,最初每張要價美金 45 到 130 元。
新科技會使 POS 惡意軟體成為過眼雲煙嗎?
很多已在歐洲使用的新卡片付款技術被視為一種有效對付 POS 惡意軟體的對策,但這並不能算是靈丹妙藥。隨著新技術的開發,可能預示了近年來大型 POS 資安事件已經走上窮途末路,但仍無法完全杜絕竊取信用卡資料的問題。
EMV 及晶片密碼卡的使用取代了傳統的磁條卡,而此舉理應會使當前擷取 POS 記憶體的惡意軟體喪失功用。然而,晶片密碼卡仍會受到側錄式攻擊,且遭竊的信用卡號碼依然可以在不需要出示信用卡的交易中使用,例如線上購物。
此外,因為美國沒有採用晶片密碼作為識別方式,歐洲信用卡失竊的資訊經常被移至美國使用。循此前例,美國晶片密碼卡的出現可能意味著攻擊者將會意圖繼續偷取卡片資訊,但將之用於其他沒有採用晶片密碼識別標準的國家。
隨著 NFC 行動付款解決方案如 Apple Pay, Google Wallet 或 CurrentC 的使用,晶片密碼識別標準本身可能也將被取代。有了這些付款技術,交易中將不會傳輸信用卡號碼。NFC 仍會受到攻擊者的攻擊,但大部分的攻擊需要實際接近才能奏效,因此使得大規模失竊幾乎不可能發生。
給消費者的建議
有些零售商正著手對他們的銷售點網路進行加密以防止掃描記憶體的情事發生,這樣的作法值得鼓勵。但是,攻擊者也會與時俱進,而且會設法規避這些新增的對策,這點是無庸置疑的。
您可以採取數個步驟,以保持對這種詐騙的警覺心:
- 監測您的銀行帳戶及信用卡對帳單,確認是否有奇怪或是不熟悉的交易。一旦發現任何可疑的情況,請立刻通知銀行。小額交易,例如 1 美元的慈善捐贈,經常被罪犯拿來作為信用卡是否可用的測試。
- 小心保護個人資訊,例如您的地址、身份證號碼或是生日,並不要使用容易猜測的密碼或 PIN 碼。這些詳細資料都能讓竊取身份資料更順利,並且使額外的安全檢查失去作用。
給企業的建議
賽門鐵克可提供零售商數種解決方案以保護銷售點系統免於攻擊。如需詳細資訊,請閱讀:保護您的銷售點系統安全
賽門鐵克防護
賽門鐵克產品可偵測到所有已知的銷售點系統惡意程式變種,包含:
BlackPOS
FrameworkPOS
Dexter
Chewbacca
JackPOS
RawPOS
Vskimmer
Backoff
更多資訊
如需有關針對 POS 之系統攻擊的更多資訊,請詳閱我們的白皮書:針對銷售點系統的攻擊