В США очередная крупная утечка данных кредитных карт

    На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.



    После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

    Следует отметить, что несколько дней назад ФБР разослали приватный отчет американским ритейлерным сетям с предупреждением о готовящихся атаках на POS-терминалы с целью установки вредоносного кода типа BlackPOS.

    The U.S. Federal Bureau of Investigation distributed a confidential, three-page report to retail companies last week describing the risks posed by «memory-parsing» malware that infects point-of-sale (POS) systems, which include cash registers and credit-card swiping machines found in store checkout aisles.

    Такой вредоносный код ориентирован на проникновение в специальный процесс ОС, в контексте которого осуществляется проведение платежной транзакции, считывание данных магнитной полосы, обработка PIN-кода и других конфиденциальных данных. Обычно вредоносное ПО с этими возможностями упоминается как memory grabber или memory parser или CC data parser, намекая на то, что он ищет в памяти необходимого процесса определенные шаблоны байт, которые соответствуют информации, снятой терминалом с кредитной карты. Например, в случае с Trojan.POSRAM, вредоносный код собирает эти данные из процесса pos.exe, записывает их в системный файл и по мере необходимости отправляет их на удаленный сервер.

    В отчете ФБР упоминается вредоносный инструмент Alina, который может использоваться атакующими для сбора данных из необходимого процесса. Также в нем заложена функция обновления компонентов, что может сделать его более сложным для обнаружения.

    Один из семплов Trojan.POSRAM находится на VirusTotal и имеет уровень обнаружения 33 / 50.
    ESET NOD32
    107,00
    Компания
    Поделиться публикацией

    Комментарии 40

      +8
      Может хоть теперь платежки вместо своего дурацкого PCI DSS и им подобными вещами наконец делом займутся. Хотя вряд ли. Все потери все равно на мерчанта перекладываются.
        0
        Напомнило сайт клиента, где на сервер им надо было PCI DSS из-за проверки банком. Однако так и не поставили SSL и при этом программой стояла django с дырой в коде…
          +3
          Действительно удивляет подобная дырявость банковских карт by design. Почему все это давно не заменили на индивидуальные токены на пару покупатель-магазин, которые бы подписывались личным ключом держателя карты? А там можно было бы и ограничения прикрутить, типа этот токен удостоверяет что владелец карты А с счета А1 позволяет магазину Б проводить транзакции на счет Б1 с/без подтверждения смс кодом, с регулярностью раз в месяц/неделю/когда угодно на сумму не большую заранее указанной. И чтобы можно было в своем личном кабинете потом аннулировать любой токен. Тогда в принципе вопросов бы подобных не возникало, т.к. мой токен для оплаты какой либо подписки даже будучи украден не позволил бы сделать ничего. А авторизация по СМС или каким-либо приложением с галочкой типа «сегодня я делаю покупки в онлайне на сумму больше $50», не позволило бы сильно навредить даже если бы данные слили с какого-нибудь Amazon.
          +10
          Я раз 20 перечитывал слово KAPTOXA, пока не залез в отчёт IntelCrawler, и не убедился, что слово написано латиницей и к картошке никакого отношения не имеет, даже несмотря на указание нашего соотечественника. Отлегло :)
            +7
            Ой-йо. Он и, вправду, называется картофель. Видимо, я в припадке веселья облажался, так как только что о нём узнал. Но всё-равно это так забавно и круто! Серьёзные отчёты превращаются в троллинг!
              +6
              В отчёте ещё более нежно:
              KAPTOXA (Kar-Toe-Sha)

              Картоша)
            +1
            После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт

            Такое чувство, что вторая заявила за компанию. Не подскажете, они страховку не получают за взломы?
              +1
              Стразовку получать могут, но стразовка покрывает фактический ущерб, а не сам факт взлома. То есть это имеет такую форму: по шее они получают точно и может быть страховка им шею немного полечит.
              +9
              KAPTOXA

              Пока читал отчет, в мозгу постоянно крутилась
                +12
                О, привет. Ну что, как дела? Потому что я — картофелина. Прекрасно. Мой генератор хлопков тоже тут. Раз мы так никуда и не идем… Вернее, вообще-то, мы двигаемся. И даже с пугающей быстротой. Но мы ничем сейчас не заняты, приведу парочку фактов. Он не обычный дурак. Он — продукт величайших умов целого поколения, старавшихся создать наиглупейшего дурака в мире. А ты поставила его управлять этим комплексом. Отлично, еще работает.
                  +8
                  Вы серьезно ГлэдОС по памяти цитируете!?
                  +4
                  Кстати — в отчете скриншот страницы VK, там «Деятельность: Clever Fools». Да, это группа, но название удивительно подходит :)
                    +1
                    Время для парадокса: clever morons.
                +1
                При отдалении на 4-5 метров от монитора, эта KAPTOXA напоминает того самого мужчину с той самой картинки.
                –6
                А с биткоинами такого бы не произошло.
                  +2
                  А то с биткоинами другого ничего не происходит:)
                    +5
                    Если сравнивать с кредитками, то это как если бы владелец монет давал доступ к своему кошельку каждому магазину, в котором он делает покупку. Звучит абсурдно, правда? Но в случае с кредитками именно так и происходит.
                      –3
                      зато если в интернете простым подбором выложат номера всех карт мира (без cvc кода причем), мои деньги вдруг резко не уменьшатся.
                        +1
                        Я говорил только о ситуации, описанной в статье. С биткоинами и другими валютами проблем тоже хватает. Просто они другие.
                          +2
                          Во первых, ваши биткоины, вашими же и останутся. Они не сожмутся и не уменьшатся.
                          Во вторых, такие фейки только временно, при чем время не продолжительное, влияют на курс.
                          В третьих, там изменился курс биткоина по отношению к доллару.
                          И, вы правда думаете, что ничего в мире не способно обесценить ваши обычные деньги, лежащие у вас в кармане?
                            0
                            Хочу Вас огорчить, но есть процессинги (и интернет-магазины их использующие), которые не требуют указания CVC при проведении транзакции (более того они даже не переадресуют Вас на сайт вашего банка для введения доп. кода защиты при интернет-платежах), достаточно лишь номера карты, фио владельца с карты и срока её действия и все, можно совершить покупку, а все эти 3 сведения помимо того что выбиты на карте есть и на магнитной дорожке этой карты => что если украсть данные магнитной дорожки, то можно легко выпотрошить ваш банковский счет.
                              0
                              только я писал про генератор чисел от 0000 0000 0000 0000 до 9999 9999 9999 9999, а не про реальные данные, как было в той ситуации:)
                              +3
                              зато если в интернете простым подбором выложат номера всех карт мира (без cvc кода причем), мои деньги вдруг резко не уменьшатся.


                              Каким подбором? Это был чистый фейк. Никто там ничего не подобрал. А если бы подобрал, то это означало бы дискредитацию всей основы современной криптографии, что имело бы гораздо более серьёзные последствия, чем кратковременное колебание курса биткоина по отношению к доллару на пару сотен баксов.

                              Причём от этого вброса, количество биткоинов на вашем кошельке «резко не уменьшится». А вот если сейчас вывалят в свободный доступ базу данных банка-эмитента вашей пластиковой карточки, вот это гарантированный способ реально уменьшить ваши деньги (и хочу заметить, что «ваши» деньги в банке на самом деле не ваши, ваши они только до тех пор, пока банк признаёт за вами это право. В любой момент банк объявляет, что замораживает ваш счёт, и с этого момента деньги больше не ваши. В биткоине же, ваши деньги признаются за вами всем множеством биткоин-пользователей).

                              Кстати, вас не смущает тот факт, что ваше золото за последние два года упало в цене с 1900$ до 1200$, т.е. более, чем на треть?
                              А если завтра пройдёт вброс, что найден способ получать золото из воздуха, думаете цена останется на том же уровне?
                              Я это к чему привожу пример. Я хочу сказать, что как бы золото не упало в цене, ваше обручальное кольцо не станет меньше, так же и с биткоином — падение курса по отношению к доллару не уменьшает кол-во биткоинов в вашем кошельке.

                              Призываю всех противников биткоина, и криптовалют в целом, для начала самообразоваться, разобраться в алгоритме работы, прежде чем городить нелепые доводы против. Катарсис я вам гарантирую.
                                0
                                В биткоине же, ваши деньги признаются за вами всем множеством биткоин-пользователей

                                Разве всем? Разве недостаточно чтобы половина активных пользователей решила, что деньги не мои и деньги превратятся в бессмысленный набор цифр?
                                  0
                                  Да, именно так — всем множеством пиров, хранящих у себя цепочку блоков.
                                  Говоря о «половине активных пользователей», вы верно имеете ввиду атаку 51%?
                                  Так вот, максимум что сможет сделать атакующий — это не принимать транзакции с вашего кошелька, или осуществить так называемую "двойную трату средств" со своих кошельков, но он никак не сможет, произвести перевод средств с вашего кошелька, т.к. у него нет вашего приватного ключа, и даже если он попытается включить в генерируемые им блоки транзакцию с вашего кошелька, она будет отброшена любым «полным» клиентом(например, bitcoin-qt), как невалидная.

                                  Поэтому средства на вашем счёте будут храниться ровно столько, сколько существует криптовалютная сеть, пока работает хотя бы один узел.
                                    0
                                    Так вот, максимум что сможет сделать атакующий — это не принимать транзакции с вашего кошелька

                                    Если сеть не будет принимать транзакции (посчитает, например, что деньги не поступали на кошелек и ты их нарисовал), то это означает, что денег нет. Ну физически они есть, но как было в СССР при обмене 50 и 100 рублевых купюр: не уложился в лимиты и/или сроки — и деньги стали простой бумагой.
                                      0
                                      Кхм. Не сочтите за грубость, но у меня возникло стойкое убеждение, что вы немного не в курсе, как работают криптопротоколы?
                                      Рекомендую, начать знакомство, например, отсюда.
                              +1
                              *Просьба. Если у вас другое мнение, пожалуйста, выражайте его в комментариях, а не в профиле.
                            0
                            С долларами и другими валютами этого тоже не произошло. Произошло с карточными счетами, а чём они номинированы, в долларах или биткоинах, без разницы.
                              0
                              Вы же понимаете, в чём принципиальная разница — в случае с криптовалютами не нужно третьей стороне передавать приватные данные своей карточки, достаточно любым способом вбросить в сеть подписанную транзакцию и платёж будет проведён, т.к. криптовалюта рассчитана на работу во «враждебной среде», где любой узел может быть потенциальным злоумышленником, а тут на тебе достаточно получить доступ к процессинг-центру и все карты твои, вот они издержки централизации.
                                0
                                В случае с нормальной валютой тоже не нужно передавать третьей стороне данные своей карточки — снял деньги со счёта непосредственно в банке и отправил продавцу любым способом.

                                И, имхо, если вы думаете, что в случае когда биткоин станет полноценной валютой, то не появится карточек и счетов номинированных в биткоинах (переводишь биткоины на кошелек банка, а он тебе взамен карточку), то сильно ошибаетесь.
                                  0
                                  В случае с нормальной валютой тоже не нужно передавать третьей стороне данные своей карточки — снял деньги со счёта непосредственно в банке и отправил продавцу любым способом.

                                  В банке конечно же нет сетей и центральных БД, по которым гуляют ваши данные? А вы сразу бы уточнили каким способом отправил продавцу?

                                  И, имхо, если вы думаете, что в случае когда биткоин станет полноценной валютой, то не появится карточек и счетов номинированных в биткоинах (переводишь биткоины на кошелек банка, а он тебе взамен карточку), то сильно ошибаетесь.

                                  Безусловно, попытки налепить деривативов конечно же будут, куда без этого. Уже и теперь есть, например, bitplastic.
                                  Но вопрос — зачем? Пластиковые карты, как и банкоматы — с приходом биткоина становятся пережитками прошлого, т.к. «зачем они нужны?» Если не нужно ничего обналичивать, а банкоматом уже становится ваш смартфон с установленным на нём кошельком и достаточно любого подключения к сети.
                            0
                            Не фиг подключать платежные терминалы к компам для проведения операций через свою дырявую систему. И не было бы утечки данных. Сам по себе терминал не является уязвимым, уязвим софт в компе который обрабатывает транзакцию, на него и был нацелен вирус, судя по всему.
                            Если бы терминалы были подключены через каналы GPRS или хотя бы по Ethernet и сами бы проводили транзакцию, то никакой кражи бы не было, но нет, это же не модно. Такая проблема касается все супермаркеты в которых обработкой транзакции занимается не терминал, а софт супермаркета и скоро она долетит и до нас.
                              +2
                              realscorp, 20 января 2014 в 13:22
                              Сам себе отвечу. Информации немного, но кое-где пишут, что злоумышленники взломали один из веб-серверов Target-а и получили доступ во внутреннюю сеть. Затем они разослали трояна по терминалам и подняли промежуточный сервер на одной из машин. Троян внедрялся в процесс платежного софта и забирал номера карт, телефонов и адреса почты прямо из памяти процесса. Несколько раз в день собранную информацию троян складывал на временную сетевую папку промежеточного сервера. Через две недели, как пишут тут, промежуточный сервер несколькими порциями отправил 11Гб собранных данных на ftp-сервер, поднятый на VPS где-то в России. Больше информации вроде нет.
                                –1
                                Да не в платежный терминал они внедрили вирус, не путайте теплое с мягким.
                                Вирус внедрили на сервер обработки платежей, на который терминалы отправляют данные платежных карт. Именно этот сервер и взломали. Сами терминалы в торговых точках никто не трогал. Ну посудите сами — зачем внедрять вирус в сотни и тысячи терминалов, если гораздо проще его внедрить в одну точку, которая обрабатывает все запросы с этих терминалов.
                                  0
                                  Кстати, не факт, что в ближайшем будущем не начнут атаковать именно терминалы. Там стек технологий сильно отстаёт от того, что можно ожидать на сервере.
                                0
                                там украли, тут пролюбили, здесь слили…
                                опять шум не в том месте. Проблема вовсе не в «украли», проблема в безакцептном списании средств. Пока кто угодно может списать средства со счёта зная лишь номер счёта, номера будут красть. Как только одостороннее списание будет запрещено, красть номера карт станет бесполезно.
                                (Например: при попытке списать с вашего счёта банк будет спрашивать владельца денег «тут такой-то хочет чтоб ему перевели столько-то. Сделать?» Т.о. обозначен получатель, сумма, время/место и явное разрешение списания от владельца. В этом случае номера хоть на стене пиши)
                                  0
                                  Как будет спрашивать? Не, понятно, что может быть, например, звонок от банка, но не всегда это реально. Скажем, хочешь пополнить телефон, находясь в международном роуминге для того, чтобы стало возможным принимать звонки. Или телефон/симку потерял/украли и покупаешь себе новые.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое