Curt Wilson, Senior Research Analyst, Arbor Security Engineering Response Team (ASERT) di Arbor Networks fa il punto della situazione in materia di attacchi e malware diretti contro i sistemi PoS. In pochi probabilmente sanno che, i terminali PoS, o Point of Sale, che elaborano le transazioni con carte di debito e di credito, sono costantemente sotto l’attacco e sono il bersaglio di un numero sempre maggiore di software maligno.
Non è solo il volume degli attacchi a preoccupare, ma soprattutto la complessità delle architetture che sono state messe a punto per frodare il sistema. Negli ultimi anni, le campagne dirette contro i PoS si sono evolute in modo evidente, passando da attacchi opportunistici basati sul semplice furto dei dati delle carte, senza alcun sistema di Comando & Controllo centralizzato, a botnet per lo scraping dei dati in memoria con punti di C&C centralizzati. Ad oggi, l’evoluzione di queste reti criminali includono attacchi altamente mirati, che richiedono una sostanziale quantità di malware su misura, scritto apposta per fondersi inosservato all’interno dell’infrastruttura da infettare.
Secondo l’ASERT Threat Intelligence Brief 2014-6, con l’attuale tasso di diffusione di questi malware e, considerando la prolungata durata della vita utile delle vulnerabilità all’interno di organizzazioni, le aziende di ogni dimensione dovrebbero prendere in seria considerazione una profonda verifica di tutte le infrastrutture per il deployment di sistemi PoS. Questa analisi dovrebbe concentrarsi, secondo gli esperti, sull’identificazione di eventuali compromissioni in atto, per poter successivamente rafforzare le difese contro un avversario che continua a moltiplicare e ampliare le proprie capacità di attacco.
Oltre alle recenti pubblicazioni che hanno parlato delle attività dei malware Dexter e Project Hook, Arbor ASERT sta attualmente tenendo sotto controllo altri malware per PoS come Alina, Chewbacca, Vskimmer, JackPoS e altri esemplari meno diffusi, come alcune varianti di POSCardStealer e altri. Vengono esplorate inoltre le tattiche di attacco attraverso l’analisi di un toolkit a disposizione dei malintenzionati.
Secondo gli analisti, tra le criticità principali, la longevità e la portata delle campagne di attacco. Infatti, anche in aziende che dispongono di team responsabili della sicurezza e di infrastrutture di rete ben gestite, le compromissioni di sistemi PoS sono andate avanti per mesi prima di essere rilevate. Se gli attaccanti sono in grado di lanciare campagne a lungo termine in ambienti retail di questo genere, si può solo desumere che anche molte altre organizzazioni dotate di una gestione meno matura delle reti e delle infrastrutture siano a rischio.
Nel complesso la situazione appare critica e risulta determinante porre l’attenzione sulle infrastrutture di rete, sui sistemi di diagnostica e rilevazione del malware e sulle best-practice da eseguire per ridurre al minimo i possibili danni derivanti da questo tipo di attacchi.