Quẹt thẻ mất tiền vì mã độc máy PoS mới
Xe++ - Ngày đăng : 07:35, 22/07/2015
Ảnh minh họa: CSOOnline |
Theo Hãng bảo mật Trend Micro, loại phần mềm độc hại mới mang tên GamaPoS, được phát tán bởi một mạng "máy tính ma" (botnet - máy tính nhiễm mã độc chịu sự điều khiển của tội phạm mạng) mang tên Andromeda.
GamaPoS lây nhiễm trong hệ thống của các tổ chức tại 13 bang nước Mỹ và Vancouver, Canada. Nó theo dõi bộ nhớ của các hệ thống PoS (Point-of-Sale) để lấy dữ liệu thẻ thanh toán thông qua đầu đọc thẻ tiếp xúc vật lý đến các ứng dụng thương mại. Sau khi nắm dữ liệu thanh toán của khách hàng, nó gửi về máy chủ cho tội phạm mạng.
Những năm gần đây, số lượng chi nhánh PoS của các hệ thống bán lẻ lớn bị lây nhiễm mã độc tăng đột biến. Do đó, các tổ chức đã có ý thức bảo vệ quy trình truy cập từ xa của mình. Điều này dẫn đến việc phần mềm độc hại GamaPoS đổi hướng sang một cách tiếp cận khác. Thay vì trực tiếp nhắm vào các hệ thống PoS từ Internet, nó theo dõi từ mạng nội bộ của các công ty.
Đi đường vòng và nhờ cậy mạng "máy tính ma"
Theo các nhà nghiên cứu tại Trend Micro, các cuộc tấn công bắt đầu bằng những thư rác (spam). Chúng gửi email giả mạo có nội dung bao gồm các tài liệu cam kết PCI DSS (Payment Card Industry Data Security Standard - Chuẩn Bảo Mật Dữ Liệu của Công Nghệ Thanh Toán Thẻ) hoặc các bản cập nhật cho hệ thống dịch vụ văn phòng khách hàng từ bộ phần mềm Oracle Micros PoS.
Những tài liệu này có chứa các mã macro gây hại (script tự động), chúng sẽ cài đặt một chương trình "cửa sau" (backdoor) nếu được nạn nhân vô tình cấp phép. Sau đó, các hệ thống bị lây nhiễm trở thành một phần của mạng "máy tính ma" (botnet) Andromeda. Mạng bonet này xuất hiện từ năm 2011 và ngày càng gia tăng số lượng "thây ma" (zombie - máy tính bị nhiễm) tại Mỹ trong năm nay.
Những kẻ tấn công sử dụng chương trình tạo "cửa sau" trên hệ thống lây nhiễm Andromeda để cài đặt mã độc GamaPoS trên các hệ thống PoS. Trend Micro cho biết: "Con số ước tính chỉ ra rằng GamaPoS có thể chỉ tấn công 3.8% hệ thống ảnh hưởng bởi Andromeda".
Tội phạm mạng cũng đã sử dụng "backdoor" để tải các công cụ chuyên biệt, sau đó có thể dùng chúng để tùy chỉnh tấn công hệ thống của các mạng lưới bị ảnh hưởng khác.
Các cuộc tấn công do phần mềm độc hại GamaPoS gây ra đã xuất hiện ở nhiều ngành công nghiệp, trong đó có các công ty kinh doanh về lĩnh vực chăm sóc vật nuôi, nhà hát, nội thất, chăm sóc sức khỏe tại nhà, bán lẻ trực tuyến và thương mại điện tử.
Một số vụ tấn công mạng lớn trong năm 2014 liên quan đến mã độc nhúng trong hệ thống PoS của các điểm bán lẻ tại Bắc Mỹ gồm: Home Depot, Target, Staples, KMart và Dairy Queen