آلودگی دستگاه های PoS، عامل اصلی سرقت اطلاعات
همانگونه که در خبر دوم دیماه “دسترسی سارقان به مشخصات 40 میلیون کارت اعتباری” اعلام شد، اطلاعات مشتریان فروشگاه های زنجیره ای Target و مشخصات کارت های بانکی و اعتباری آنها در روزهای پایانی سال میلادی گذشته و در اوج خریدهای شب عید مسیحی به سرقت رفت.
اکنون بررسی های بیشتر نشان می دهد که تعداد افرادی که مشخصات آنها به سرقت رفته بالغ بر 110 میلیون نفر می شود. همچنین اکنون مشخص شده که دستگاه های کارت خوان یا PoS در فروشگاه های Target آلوده به نوعی بدافزار بوده اند.
مدیرعامل فروشگاه های Target در یک مصاحبه اعلام کرد که هنوز ابعاد واقعی این سرقت مشخص نشده ولی وجود بدافزار بر روی دستگاه های کارت خوان بطور حتم به اثبات رسیده است.
بدافزارهایی که اختصاصا برای دستگاه های کارت خوان طراحی می شوند، اصطلاحا RAM Scraper نامیده می شوند. زیرا این بدافزارها، حافظه RAM دستگاه را بطور مستمر برای جمع آوری و سرقت اطلاعات کارت های بانکی و اعتبار ی تحت نظر و کنترل دارد.
هربار که یک کارت در دستگاه کارت خوان قرار می گیرد، اطلاعات ذخیره شده بر روی کارت، نظیر شماره، تاریخ اعتبار، نام صاحب کارت و … به همراه مشخصات و مبلغ خرید به سامانه پردازش مبادلات فروشنده و سپس به موسسه مالی برای تائید و ثبت، منتقل می شود. گرچه این اطلاعات از دستگاه کارت خوان رصورت رمزگذاری شده، ارسال می شود ولی در یک محدوده زمانی خاص، این اطلاعات بصورت متن ساده و بدون رمز در حافظه دستگاه ضبط می گردد. در این زمان، بدافزار نصب شده بر روی دستگاه کارت خوان می تواند این اطلاعات را جمع آوری و سرقت کند.
وجود اینگونه بدافزارهای اختصاصی که دستگاه ها و سیستم های فروش فروشگاهی را هدف قرار می دهند، اتفاق جدیدی نیست ولی در یکسال گذشته، میزان فعالیت این نوع بدافزارها افزایش یافته است.
نفوذ بدافزارها به این سیستم های خاص، تقریبا به روش های همیشگی، نظیر سوءاستفاده از نقاط ضعف نرم افزارهای کاربردی، سوءاستفاده از رمزهای عبور ساده و قابل حدس، صورت می گیرد. بسیاری از فروشگاه ها از خدمات پشتیبانی شرکت های دیگر برای نگهداری سیستم های فروش خود استفاده می کنند. اینگونه شرکت های پشتیبانی اغلب با دسترسی از راه دور به این سیستم ها متصل می شوند. استفاده از ابزارهای دسترسی از راه دور، مخصوصا اگر فاقد رمز عبور قوی باشند، روش بسیار موثر و آسانی برای نفوذ به این سیستم ها است.
باید توجه داشت هنگامی که از دستگاه های کارت خوان صحبت می شود، در بسیاری از موارد، این دستگاه ها به یک سامانه فروش سخت افزاری که در واقعیت یک کامپیوتر است، وصل هستند. بسیاری از این سامانه های فروش دارای نوع خاصی از سیستم عامل Windows هستند و علاوه بر آن، یک نرم افزار فروش یا حسابداری بر روی سامانه نصب است. به این کامپیوترهای اختصاصی شده، لوازم جانبی، نظیر صفحه کلید و دستگاه کارت خوان، وصل می شود.