去年(2014)的端點銷售(PoS)惡意軟體攻擊呈現巨大的躍升,不管是數量上、素質上或危害的範圍。這些惡意作品通常是指PoS記憶體擷取程式,設計用來入侵進行銷售交易的業務用終端機。
經常有數以千萬計的支付用卡片資料被竊,有時可能是一次攻擊行動就能造成。緊接著,這些卡片資料會被賣往地下世界的卡片論壇,被用於進行詐騙性購物、轉帳或提款。這些大規模的搶案已經成為分布全球地下卡片經濟的供應鏈骨幹。
多數情況下,付款終端機在交易中處理信用卡資料時,儲存和傳輸均有安全的加密機制。但是當資料進入終端機內,在交易發生的當下,終端機記憶體內是以明碼的形式處理。也因為如此,PoS終端機變成了更具吸引力的犯罪對象,攻擊者設計PoS記憶體擷取程式,用來檢查終端機內執行程序用記憶體及提取支付卡資料以供將來批量取回。只消一次攻擊成功,惡意份子會藉此賺到遠比傳統攻擊個別消費者還要更多的金錢。
如同趨勢科技發佈的2014年度安全綜合報告內所述,「損失的增加,也同時放大了網路攻擊的儲備能量。」2014年看到了犯罪重心轉移到此領域的比例顯著地上升。在2009到2013年間,總共看到7種不同的PoS惡意軟體家族,即RawPOS、Rdasrv、Alina、Dexter、BlackPOS、Chewbacca和VSkimmer。
在2014年底,光是最上層的PoS記憶體擷取程式家族就成長了129%,這還沒有算上個別的變種。2014年看到了Soraya、LusyPOS、JackPOS、Backoff、NewPoSThings、Decebal、BlackPOS 2、BrutPOS和GetMyPass的出現。
在真正網路犯罪的「篩落(Trickle Down)」型式,舊工具BlackPOS涵蓋了剛剛好超過50%的感染數量,而新工具在使用上非常成功,散布範圍卻更加有限。而這不只是出現在單一產業的現象而已,在這整年中,攻擊涵蓋了零售業、郵政、停車場、餐廳、旅館和美容產業。
大規模的外洩事件讓許多人開始討論美國零售商是否最終要推出EMV或非接觸式終端機。不過最重要的是要記住,EMV終端機也一樣容易遭受PoS記憶體擷取程式的攻擊。卡片資料在交易間還是以明碼處理。EMV技術在歐洲的確看到「個人詐騙」的減少,但隨之上升的是「無卡詐騙」。這項技術並沒有導致詐騙性交易變少,只是將詐騙從店面推移到網路交易。
接受信用卡付款者會成為大規模竊盜的潛在目標,應該更加小心確保這些設備安全,例如部署端點安全解決方案。而網路監控技術應該要部署在重要網段來識別未經授權的存取、系統入侵和可能對敏感資料的竊取。最近對PoS記憶體擷取程式的解決方案是利用新技術,如ApplePay或Visa Token Service,當實際的卡片資料不會傳送給PoS終端機時,也就不可能被截取。
(本文作者現任趨勢科技資安研究副總)