Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало. Помните эту старую хохму?
Когда в новостях вспоминают о кибератаках на розничные сети, то обычно говорят про слитые базы данных, DDoS и шифровальщиков. Но что, если злоумышленник войдет в магазин с ноутбуком в рюкзаке и внимательно посмотрит по сторонам?
На связи Иван Глинкин, руководитель отдела прикладных исследований в Бастионе. Сегодня расскажу вам историю про Хакера в супермаркете, который получил доступ к конфиденциальным данным, прослушал переговоры сотрудников и даже инициировал возврат денег на чужую карту.
Под катом вас ждет собирательный образ российского ритейла и результат нескольких прогулок по магазинам с одной целью: взглянуть на привычные вещи глазами исследователя безопасности, который видит в магазине не только полки и кассы, но и поверхность атаки.
Итак, приходит Хакер в магазин и обнаруживает:
• Кассы-трансформеры и терминалы самообслуживания — лицо современного ритейла и его ахиллесова пята.
• Кнопки вызова сотрудников — радиопередатчики с фиксированным кодом, который можно перехватить и воспроизвести.
• Беспроводные трубки стандарта DECT, которые до сих пор используют в торговых залах.
• Терминалы сбора данных — Android-устройства без пароля, с доступом к настройкам Wi-Fi.
• Сетевые провода, которые приглашают к знакомству с внутренней сетью.