אציג בפוסט את הנושאים הבאים:
רקע (תופעת גניבת כרטיסי אשראי וגניבת פרטי משתמשים ברשת הולכת ומתעצמת, הקופה הדיגיטלית מהווה נקודת חולשה ויעד התקפה נפוץ)
קופות דיגיטליות (מה הן, אילו סוגים יש, איך ניתן לאפיין\כימות הסיכון)
ווקטורי התקיפה את קופות POS(נקודות התורפה של הקופות הדיגיטליות וסוגי התקפות את קופות הPOS)
חקר התקפות וMALWARE PoS (ממצאי חקר מוצגים בטבלה המאפשרת להגיע לתובנות פנימיות \ לבצע סקירת סיכונים \ הערכת איום – THREAT פנים ארגונית )
צפי לעתיד, לקחים והמלצות (מגמות התקפות א"מ ל-2016, לקחים והמלצות ל-2016 בהתאמה)
סיכום (מחזיקי פרטי האשראי נתונים בסיכונים, החוליה החלשה היא הסוחרים, בפרט סביב הקופה הדיגיטלית)
רקע
פריצות וגניבות פרטי כרטיסי אשראי בשנות 2013-14 חשפו מעל מאה מיליון כרטיסי אשראי ונתון זה אינו כולל את פרטי הלקוח. חברות האשראי, בנקאות ומסחר סופגות הפסדים ותובעות את חברות הביטוח למימוש פוליסות. חברות אלה, נמצאות תחת רגולציה כבדה ומשקיעות משאבים רבים בפתרונות מידור הסיכונים וההפסדים (השקעת המשאבים גדלה ב2016 לעומת אשתקד במרבית הארגונים בכ20-40%) בהתאם.
בשנת 2016, תופעת הונאות אשראי וגניבת פרטי כרטיסים צפוייה להתרחב בהתבסס על ספקולציות, בפרט לאור המעבר לסליקה מבוססת כרטיס פיזי בסטנדרד EMV - מעבר לסליקת כרטיסים מבוססי צ'יפ ותעודה דיגיטלית+העברת אחריות ההפסדים לMERCHANT על הפסדים אם הMERCHANT לא תמך בטכנולוגיה. העולם עובר לכרטיסי אשראי עם צ'יפ = כרטיס אשראי חכם שימנע הונאות 'פיזיות'(גניבת כרטיס אשראי), מעבר שינתב את פשע ההונאות בכרטיסי אשראי למרחב הדיגיטלי.
הגורמים שהוזכרו, התקפות מוצלחות על הPOSים והמעבר לסטנדרט שיקשה על הונאות כרטיס פיזי יגבירו את פעילות התוקפים בגניבת פרטי אשראי. מקור הסיכון הדומיננטי להפסדים הוא נמוך בשרשרת עיבוד האשראי – בחולייה החלשה כמובן, ה-POS וסביבת מחייתו הטבעית, המפעיל של הקופות החכמות(POS), בית העסק – ה- Merchant.
אותן קופות דיגיטליות (Point of Sale)
קיימות במגוון צורות, יישומים, פלטפורמות ובהתאם, גם 'סביבתם הטבעית' מגוונת – מחומרה ומ"ה ייעודיים ועד יישומי קופות WEB וענן!
הPOSים בעולם נבדלים על פי מערכות הפעלה, פלטפורמה יכולות ועוד, להלן פירוט מהשטח ;
- מבוססות WIN(wepos/embedded),
- proprietary(LIKE Toshiba 4690 OS),
- various open source(like lemonpos),
- cloudpos
- webPOS (likeLIGHTSPEED),
- & others
למרות המגוון, רוב הקופות הדיגיטליות בשטח הן גרסאות של מערכת הפעלה (ניחשתם) windows. קופות דיגיטליות מבוססות WINDOWS הן הנפוצות בעולם ומהוות כיעד ההתקפה הנפוץ מקופות הPOS.
ווקטורים של תקיפה
כעת אסקור את הווקטורים לתקיפות POS
(1) קופת ה - PC אליה ה-POS מחובר, (2) ה-POS עצמו, (3) תוך התקשורת
אומנם גם בארץ וגם מחוץ לה, קיימות תקריות של התקפות פיזיות (ווקטור 2 ,דוגמא: התקנת קורא card skimmer – קורא נוסף המוסתר על גוף הקורא הקיים), נתמקד בהתקפות הלוגיות. אם כי, חשוב לציין שיישום EMV – זיהוי נוסף ע"י צ'יפ מוטמע בכרטיסי אשראי חדשים מתמודד עם הווקטור התקפות פיזיות מה שמהווה גב משמעותי ליישום הסטנדרט).
אסכם את Attack Surface לתקיפת רכיבי ה-POS וגניבת מידע אשראי;
(סיכום כלל ווקטורי התקיפה)
1 קופת ה-PC אליה הPOS - מחובר
- התקפות APT ו-PHISHING את עובדי\רשת הארגון לגניבת מידע אשראי ו-PII
- ניצול פגיעויות והפצת MALWARE ייעודיים לגניבת מידע אשראי
2 ה-POS עצמו
- הפעלת RAM SCRAPING על הזיכרון הנדיף של מכשיר הPOS- עצמו בטרם
מידע האשראי מוצפן
- קורא מגנטי מושתל 'card skimmer' על גוף קורא הכרטיס
(פיזית, מחוץ ל-SCOPE)
3 תוך התקשורת
- האזנה לכבל שבין קורא הכרטיס לקופה (פיזית, מחוץ ל-SCOPE)
- תקיפות הרכיבים או תיווך התקשורת כאשר מדובר ב-POS שאינו מקומי (כגון CLOUD\WEBPOS) עוד מתוך http://www.scmagazine.com/researchers-spot-flaws-that-could-allow-mitm-attacks-on-german-pos-systems/article/462538/
עוד; שותפים, ספקים ושירותים מהווים מקור לסיכון זליגת מידע האשראי, אם זאת גם במקרים כגון TARGET בהם התוקף השיג גישה ל-POSים של הרשת דרך ספק, ווקטור תקיפת ה-POS עצמו.
חקר פרצות, התקפות וMALWARE גניבת פרטי אשראי
Characteristics | Theft & exfiltration Method | Breach | Victim / date | Malware |
BlackPOS ver2 code significantly different than BlackPOS1 except for exfiltration. Also dubbed FrameworkPOS | Ram Scraper, data saved to fake obfuscated dll file, to compromised external server, to ftp | ,Third party's network | Target , 2013 | BlackPOS |
Low detection rates due to File injector, evidence cleanup & low profile attacks | Ram Scrapper to Encrypted(later versions) file, to hardcoded external ftp server | TeamViewer weak configured passwords, other misconfigurations and known CVE | Retailers, 2011-today | Cherry-picker |
Similarity to target breach, |
Ram Scrapper to file, to external server |
stolen Third party credentials, unpatched WIN systems, outdated Windows XP Embedded SP3 pos OS |
HomeDepot, 2015 | (?) Some speculate BlackPos. Though unlikely |
Malware framework, highly modular, emphasis on obfuscation and persistence, modular, professionally developed framework, difficult to detect because all hashes are unique to the victim system | Ram Scraper, APT hacking – & data theft & exfiltration varies | Exploitation of various vulnerabilities, leverage by dropper malware, Every module is a rootkit |
,Us Retailers 2013-today |
ModPOS |
Breach was not appropriately handled by hired Incident response vendor. Reaccured. Assumed persistence & obfuscation mechanisms. | Assumed ram scraper, theft through compromised VPN | Compromised Virtual Private Network (VPN) |
Affinity Casino, 2013
|
undisclosed |
Pos & credit info malware is on the rise | / | PoS update method, breach of body of trust(Certificate chain), Bootkits ; Spy.Banker | Mostly Retailers | MORE |
לשוב לציין את ההשלכות הישירות על הארגון הנפרץ מעבר לזליגת המידע עצמו;
- במקרה של TARGET – התוצאה היא, פיצויים בסך 10 מיליון ללקוחות, 40 מיליון לבנקים, קנסות, הוצאות משפטיות והCEO Gregg Steinhafel התבקש לעזוב והוחלף ע"י אחר בעל רקע באבטחת מידע.
המלצה חמה לארגונים \ בעלי אחריות אשר מתמודדים עם סיכונים של זליגת מידע אשראי
- ליישם את המסקנות הפנימיות על בסיס ממצאי המחקר שמרוכז בטבלה הנ"ל
- להעשיר ולמקד את הערכת הסיכונים על בסיס עמודות הBreach וTheft\Exfiltration
- להעשיר ולמקד את המתודולוגיה הארגונית להתמודדות עם אירועי סייבר וסיכוני סייבר הן ברמת מדיניות והן ברמת נהלי תגובה, בפרט על סמך עמודות Breach ו Theft & exfiltration Method
- ביסוס תרחישי תרגול סייבר שנתיים על סמך התרחישים שמתועדים בחקר
צפי לעתיד ושוק כרטיסי האשראי השחור
גופים בכירים בתעשייה, ביניהם גופים מקצועיים כגון iSight (של FireEye) וחברות ייעוץ כגון Gartner, מעריכות כי תופעת התקפות לגניבת מידע אשראי צפויה להיות במגמת עלייה במהלך שנת 2016, לצד מגמת Email Whale Phishing Frauds הגדלה
- כרטיסי אשראי ופעולות אשראי ללא נוכחות כרטיס כיעד התקפה
- Phishing ; Whaling– מתקפות דיוג את הדרגים הבכירים
- RANSOMWARE - רושעות כופר (ע"י הצפנה)
- Impersonation through mail
- ועוד
ארגונים ו-CISO's אשר באחריותנו הגנה על פרטי אשראי, ישכילו ליישם, כלקח מן האירועים שנסקרו מעלה ומגמות ל2016
- פיתוח ובקרת יישום מדיניות אבטחת מידע ומדיניות פרטנית להתמודדות עם התקפות PHISHING \ SOCIAL ENGINEERING
- פיתוח הכשרת \ העלאת מודעת עובדים לצורך התמודדות עם התקפות PHISHING \ SOCIAL ENGINEERING
- ניהול התקשרות \ בקרה של הספקים החיצוניים, סקירה מעשית שלהם ותרגול הבקרות בפועל
- סגמנטציות הרשת, ניהול כלל ערוצי ההתקשרות, בדיקת הבקרות הרלוונטיות בפועל ויישום פתרונות לאיתור של ערוצים חשאיים (covert channel)
- ניהול PATCH MANAGEMENT , הערכת סיכונים ויישום פתרונות, במיוחד בסביבות רגישות ואינן נתמכות\LEGACY
- יישום פתרון FIM
*חשוב מאוד להתייחס אל הבקרות והאמצעים הנ"ל כמשלימים ולהתייחס אליהן כאל לקחים מתוך אירועים שנסקרו ולא כפתרון אחיד.
יש ליישם אבטחה במתודולוגיית הגנת שכבות ( Defense In Depth), שום פתרון אחד אינו מהווה הגנה מספקת למידע אשראי ונועד לכישלון.
לסיכום, מחזיקי פרטי (כרטיסי) האשראי נתונים תחת סיכונים מורכבים הנובעים כתוצאה מהצרכים העסקיים של החברות, הדואגות לשפר את זמינות וניידות פתרונות האשראי ללקוחות מחד ומאידך, זמינות, היכולת והמוטיבציה (רווחיות) של תוקפים להשיגם.
את רוב ההתקפות המוצלחות והרועמות אנו צופים בסביבת ה-Merchants – הסוחרים, האחריות של חברות האשראי לנזקים אינה מכסה אותם כאשר מדובר במידע אשראי שאבד מסביבתם, במיוחד היות ואין הם עמדו באחריותם לאבטחה נאותה. אין זה אומר שחברות האשראי אינן חסינות כלל, אך החוליה החלשה במקרה של פרטי האשראי היא סוחרים, בפרט וסביב נקודת המכירה, הקופה ה'דיגיטלית', ה- POS.
Sources;
- https://www.sans.org/reading-room/whitepapers/analyst/understanding-preventing-threats-point-sale-systems-36332
- TrendMicro POS malware whitepaper
- http://securityaffairs.co/wordpress/41928/malware/cherry-picker-pos-malware.html
- http://securityaffairs.co/wordpress/41933/cyber-crime/central-shop-black-market.html
- http://www.ehackingnews.com/2015/11/researchers-find-new-pos-malwares.html
- http://www.darkreading.com/vulnerabilities---threats/cherry-picker-pos-malware-has-remained-hidden-for-four-years/d/d-id/1323128
- http://krebsonsecurity.com/tag/blackpos/ קריאה מומלצת!
- http://www.darkreading.com/home-depot-breach-may-not-be-related-to-blackpos-target/d/d-id/1315636
- http://www.isightpartners.com/2015/11/modpos/
- http://www.digitalcheck.com/business-and-bank-resources/2014-03-07-23-06-29/pos-encryption-understanding-the-basics
- https://www.sans.org/reading-room/whitepapers/casestudies/case-study-home-depot-data-breach-36367
- http://www.scmagazine.com/researchers-spot-flaws-that-could-allow-mitm-attacks-on-german-pos-systems/article/462538/
נכתב על ידי אלכס גצין, עובד Extreme - מנהל פרויקטים באבטחת מידע
על המחבר:
אלכסנדר גצין, מנהל פרויקטי אבטחת מידע מטעם חברת EXTREME.
מומחה אבטחת מידע מרקע טכני, התחיל את דרכו בממר”ם, מאז מילא תפקידי הדרכה, ANALYST אבטחה, אינטגרציה, ניהול פרויקטים ותפקידים אחרים בתחום אבטחת מידע ותקשורת.
Extreme group חברה מובילה בתחום אספקת פתרונות IT, מעסיקה למעלה מ-200 מומחי IT. בין לקוחותיה נמנים יותר מ-50 חברות מובילות בישראל.
לאלכס הסמכות טכניות בתחומי התקשורת (CCNA), אבטחת מידע (צוות התערבות, ניתוח וSIEM), מערכות אבטחה וטכנולוגיות (CCSE, SYM SIEM, CA ועוד) ואבטחת קלאוד (CCSA).