Hacker dokáže váš nákup pri pokladni poriadne predražiť

Hacker dokáže váš nákup pri pokladni poriadne predražiť

Neprítomnosť autorizácie či šifrovania robia z pokladní jednoduchý cieľ pre zločincov. Vďaka nízkej bezpečnosti pri platbe kartou sa útočník môže ľahko a nepozorovane dostať k informáciám o kreditných karte či k PINu.

Útoky prostredníctvom pokladničného systému sú v posledných rokoch na vzostupe. Najčastejšie sú obeťami týchto útokov zákazníci maloobchodov a pohostinstiev. Ich pokladne nainfikujú útočníci malvérom, ktorý nebadane zbiera citlivé informácie o kreditných kartách zákazníkov.

Hackeri sa doteraz spoliehali na RAM malvér, ktorý je známy aj ako memory-scraping malvér. Ten zbiera informácie o kreditných kartách zo systémovej pamäte pokladne, kým sú spracovávané platobnou aplikáciou.

Počítačoví odborníci však ukázali, že existuje aj jednoduchšia metóda, ktorá je zároveň nebezpečnejšia pre zákazníkov. Na konferencii Bsides v Las Vegas ju predstavili bezpečností experti Nir Valtman a Patrik Watson. Nová metóda je ešte nenápadnejšia a efektívnejšia, navyše funguje pri väčšine zariadení a platieb, vrátane tých, pri ktorých zadávate PIN kód.

Ako je to možné? Pokladnice sú vo svojej podstate špecializované počítače. Obvykle fungujú na operačnom systéme Windows, disponujú čítačkou čiarového kódu, kreditných kariet a sú vybavené špecializovanými platobnými aplikáciami. Nanešťastie, na rozdiel od bežných počítačov, pri ktorých si čoraz viac uvedomujeme potrebu kvalitného zabezpečenia, pokladne zostávajú nepovšimnuté. Nemajú dokonca ani základné šifrovanie či zabezpečenie komunikácie s platobným softvérom.

Práve tieto slabiny ich vystavujú útokom man-in-the-middle, teda útokom, pri ktorých pomáha človek s prístupom k pokladniam. Pri svojej ukážke Valtman a Watson použili externé zariadenie, ktoré by mohol nainštalovať kolaborant alebo osoba vydávajúca sa za technika.

Útočníkom ale stačí, ak získajú vzdialený prístup a jednoducho modifikujú DLL (Dynamic-Link Library – implementácia konceptu zdieľaných knižníc, čo je označenie pre súbor funkcií, ktoré môžu byť zdieľané viacerými programami, používaná spoločnosťou Microsoft) súbor platobnej aplikácie, aby zachytili dáta vnútri samotného operačného systému.

Odhaliť modifikovaný súbor DLL používaný legitímnym softvérom by bolo omnoho náročnejšie, ako odhaliť akýkoľvek memory-scraping malvér. Keďže spozorovať chybu v legitímnom softvéri je náročnejšie, než objaviť škodlivý program, ktorý v prvom rade nemá čo v pokladni hľadať.

Bezpečnostní experti navyše ukázali, že nie sú obmedzení len na skopírovanie dát z magnetického prúžku, potrebných pre skopírovanie karty, ale sú schopní vylákať z obete PIN a bezpečnostný kód na zadnej strane karty, známy pod názvom CVV2.

Za bežných okolností sa aspoň od terminálov, pri ktorých zadávate PIN, očakáva, že šifrujú svoju komunikáciu s platobným softvérom, avšak pri tejto metóde dokážu útočníci nahrať na obrazovku čítačky vlastnú správu. Na nej sa tak môže objaviť veta „Znovu zadajte svoj PIN“ alebo iná správa, ktorá má z nič netušiacej obete vylákať informácie.

Niektoré terminály sa snažia minimalizovať možné zneužitie obmedzením slovnej zásoby. Avšak hackeri si vedia poradiť aj s týmto. Terminály totiž dovoľujú zobraziť vlastné obrázky na pozadí. Útočníkom tak stačí vytvoriť obrázok, ktorý bude na zariadení vyzerať autenticky.

Je dôležité spomenúť, že tento spôsob útoku sa dá uplatniť aj na zariadenia ktoré získali EMV štandard, čo znamená, že podporujú platobné karty s čipom. EMV technológie nezabraňujú útočníkom využiť ukradnuté dáta na tvorbu kópie.

Experti odporúčajú výrobcom implementovať point-to-point šifrovanie (P2PE) na zašifrovanie celého spojenia od terminálu až po spracovanie platby. V prípade, že na existujúci hardvér nie je možné zaviesť P2PE, mali by zvážiť zavedenie TLS (Transport Layer Security) v komunikácií medzi terminálom a pokladničným softvérom.

Medzičasom by zákazníci nikdy nemali znovu zadávať PIN a v prípade zobrazenia podozrivých správ, požiadať o dodatočné informácie od patričného pracovníka.

(PP)