随着网络安全威胁的不断扩散,POS机、ATM机等支付终端设备正在成为日益凸显的被攻击对象。近日,美国第二大家居建材用品零售商家得宝(Home Depot)遭遇POS机攻击,影响了全美国大约2200家门店,受影响的客户数以百万计,被盗的信息包含用户信用卡号码、邮政编码等重要隐私数据,这些被盗信息已经被黑客放在一家网站上出售。去年年底,当时美国第二大零售商塔吉特(Target)公司因被黑客入侵,造成了至少1.1亿用户的个人信息泄露。时隔不久,北美著名中餐餐饮连锁企业P.F. Chang's也发表声明称确认大量用户数据已经泄露。由于此类攻击事件越来越多,趋势科技提醒相关企业务必重视支付终端设备的安全防护。
有迹象显示,家得宝此次遭受的攻击与针对Target 和P.F. Chang's遭受的攻击类似,很可能是来自乌克兰、俄罗斯的同一黑客所为,黑客采用了名为BlackPOS的恶意软件发动攻击,该恶意软件已经被趋势科技监测为"TSPY_MEMLOG.A"恶意程序。早在2012年,BlackPOS的源代码就已经被泄露,使得其它网络犯罪分子可以通过特定的渠道获取源代码,并加以改进,以更高效的执行攻击任务。在侵入目标系统之后,"TSPY_MEMLOG.A"会伪装成一个已安装的杀毒软件厂商的软件服务,以避免被检测到。
"TSPY_MEMLOG.A"的另一个新特点是,它会调用"CreateToolhelp32Snapshot "API来列出并遍历所有正在运行的进程。不同于利用了"EnumProcesses" API的变种,"TSPY_MEMLOG.A"通常使用正则表达式来搜索支付卡的内容,这也被称为"跟踪数据"。 恶意程序搜索的数据会被传送到一个特定的网络位置上,然后会被上传到由攻击者控制的FTP服务器。
趋势科技(中国区)资深产品经理蒋世琪表示:"此类专门针对POS、ATM机等终端设备的恶意软件,通常通过内网的恶意链接或者黑客直接攻击系统而且被植入终端设备中,在用户发现信息被窃取之前,都会静静地驻留在终端中以窃取数据,这增加了防范的难度。而随着电子支付的日益流行,针对POS机、ATM机等支付终端设备的攻击也在不断增多。"
由于黑客可以通过多种途径来入侵支付终端设备,因此趋势科技建议银行、零售商等企业实施多层次安全解决方案,以确保他们的网络不受现有系统、应用的漏洞所影响。此外,犯罪分子还会利用已知的内部应用程序来隐藏他们的踪迹,因此企业还要检查系统组件是否已经被修改。IT管理员还可以通过恶意程序的入侵迹象与行为,来确定他们的网络是否被BlackPOS所侵入。
要掌控恶意软件的入侵迹象,用户可以部署趋势科技威胁发现设备TDA,趋势科技TDA 提供了完整的攻击分析,从"侦测 – 分析 – 加固 – 响应"四个阶段进行攻击生命周期研究及提供解决信息,可强化现有的信息安全防护措施并与其整合,形成一套完整且针对客户环境量身定制的个性化防御方案,让企业在符合成本效益的情况下保护其信息、通讯与数字资产。