Taktikát váltanak a kártyaadatokra éhes tolvajok
A bank- és hitelkártyák elfogadására alkalmas terminálokat célkeresztbe állító támadók egyre trükkösebb módszereket vetnek be az adatlopások során. Ebben az egyik támogatójuk a PoSeidon trójai.
A bank és hitelkártyákkal kapcsolatos információk mindig is komoly értéket képviseltek a kiberbűnözők körében. Egyrészt azért, mert a lopott adatok birtokában könnyedén megkárosíthatják a felhasználókat, másrészt azért, mert a megkaparintott adatokat el tudják adni az internetes feketepiacon. Ugyanakkor egyre több olyan módszer akad, amelyekkel nem a banki ügyfelek PC-jéről lehet az értékes adatokat bezsebelni, hanem közvetlenül a POS terminálokról.
A biztonsági cégek, a hatóságok és a bankok ezúttal is macska-egér harcot folytatnak a kiberbűnözőkkel, akik mind kifinomultabb módszerekkel hajtják végre a támadásaikat. Jól példázza mindezt az úgynevezett CPP (common point-of-purchase) elleni válaszlépésük. A CPP lényege, hogy egyes bankok figyelik az internetes feketepiacokat, és amikor újabb, lopott kártyaszámok, kártyaadatok jelennek meg, akkor ezekből bevásárolnak, majd szemrevételezik, hogy az adott kártyákat korábban hol használták. Amennyiben találnak közös pontot (például egy boltot), akkor feltételezhető, hogy onnan szivárogtak ki az adatok. A kiberbűnözők azonban rájöttek minderre, és manapság már össze-vissza keverik a lopott adatokat, hogy a lehető legkisebb valószínűséggel lehessen azok között bármiféle összefüggést feltárni.
A POS támadások kapcsán egy másik fontos trend, hogy míg korábban az elkövetők elsősorban nagyobb célpontok ellen szálltak ringbe (gondoljunk csak az amerikai Target vagy a Home Depot esetére), és milliószámra tulajdonították el a kártyainformációkat, addig manapság egyre inkább a kisebb piaci szereplők kerülnek célkeresztbe. Így például boltok, éttermek, bárok, hotelek is. Az adattolvajok széles körben elterjedt terminálokat, illetve POS-alkalmazásokat szemelnek ki maguknak, és ezek ellen hajtják végre az akcióikat.
Rich Stuppy, a kártyacsalások detektálásával foglalkozó Kount cég igazgatója szerint a feketepiacon mindegy, hogy valaki egy csomagban lopott 50 millió kártyaadatot, vagy 50 ezer kereskedőtől lovasított meg egyenként ezer-ezer kártyainformációt. Ez utóbbi esetben inkább a kisebb cégek az áldozatok, amelyek nem rendelkeznek kellően komplex védelemmel az adatlopások felismeréséhez, illetve detektálásához.
Jön a PoSeidon
A Biztonságportálon is számos POS kompatibilis károkozóról számoltunk már be. Manapság az egyik legfelkapottabb trójainak a PoSeidon számít, amely - sok más hasonló célokat dédelgető kártevőhöz hasonlóan - a fertőzött terminálok memóriájában kotorászik, és onnan próbálja kigyűjteni a kártyaadatokat, mielőtt azok titkosítása megtörténne. Gyakran egy Winhost.exe nevű fájl formájában jelenik meg a rendszereken, de képes DLL-állományok megfertőzésére is. Rendelkezik olyan összetevőkkel, amelyek révén folyamatosan tudja naplózni a billentyűleütéseket, miközben egy hátsó kapun keresztül szivárogtatja ki az adatokat.
Érdekes módon a PoSeidon terjedésére nem a biztonsági cégek világítottak rá, hanem egyes POS-gyártók. Így például a NEXTEP és a Bevo is észlelte a károkozót. Az előbbi detektáló és eltávolító eszközöket is kidolgozott. A Bevo pedig arra világított rá, hogy a PoSeidon a 6500 ügyfele közül 13-nál ütötte fel a fejét. Mindegyik helyen volt naprakészen tartott víruskereső, de ezek egy alkalommal sem riasztottak, ami nyilvánvalóan elgondolkodtató. (A vállalat azt nem részletezte, hogy mely víruskeresők mondtak csődöt.)
Védekezés
A POS károkozások ellen a legfontosabb védelmi lépés annak felismerése, hogy a terminálok is sebezhető pontot jelentenek, és ennek megfelelően kell azokat kezelni. Lényeges a terminálok megfelelő hálózati izolációja, a végpontvédelem kialakítása, és a teljes körű (végponttól végpontig terjedő) titkosítási eljárások alkalmazása. Rich Stuppy szerint a megfelelő védelmi mechanizmusok elsősorban a kisebb cégeknél hiányoznak, így azok könnyebben válhatnak sebezhetővé az efféle károkozásokkal szemben is.
-
Számos biztonsági rést foltozott be az Autodesk a különféle AutoCAD alkalmazásokon.
-
Kritikus és nulladik napi sebezhetőségekre derült fény a Red Hat OpenShift Container Platform kapcsán.
-
Egyre szélesebb körben indulnak az Apache Tomcat egyik hibáját kihasználó támadások.
-
Kritikus veszélyességű hibák jelentenek kockázatot az IBM QRadar SIEM esetében.
-
A GitLab fejlesztői fontos biztonsági frissítéseket tettek letölthetővé.
-
A Juniper Junos OS egy nulladik napi biztonsági hiba miatt szorul frissítésre.
-
A PHP kapcsán fél tucat sérülékenységre derült fény.
-
Kritikus veszélyeségű hibákról számolt be a Microsoft az Edge kapcsán.
-
Az Adobe kilenc biztonsági rést foltozott be a PDF-kezelő szoftverein.
-
Az Adobe InDesign kritikus veszélyességű sebezhetőségektől vált meg.
A félelem hatékony fegyver, és a hackerek tudják, hogyan győzzék meg az embereket, hogy azonnali és meggondolatlan lépéseket tegyenek.
Az ESET elnyerte az AV-Comparatives 2024-es Év Terméke díját az ESET HOME Security Essential megoldásával.