I sistemi di pagamento
POS continuano ad essere oggetto di attacchi informatici, perpetrati mediante
una crescente varietà di malware. I principali settori interessati: servizi
alberghieri e di ristorazione, esercizi commerciali al dettaglio. Frequenza:
534 incidenti totali, di cui 525 con divulgazione accertata dei dati (Relazione
2016 di Verizon sulle indagini sulle violazioni di dati).
Gli esperti in sicurezza
informatica di Arbor Networks hanno recentemente analizzato FlokiBot, una
variante del trojan Zeus utilizzata dagli aggressori per colpire i sistemi
bancari. Il malware Zeus è stato creato intorno al 2009 e ha dato vita a
numerose versioni e varianti negli anni successivi. La diffusione di Zeus
dimostra che si tratta di una piattaforma ben collaudata a cui i criminali
informatici continuano ad appoggiarsi per creare nuovi malware destinati al
settore bancario. FlokiBot include 26 comandi bot e tre tipi di attacchi DDoS e
riesce inoltre ad analizzare la RAM dei sistemi POS sfruttando la tecnica del
“memory scraping”. L’attacco DDoS è una funzionalità relativamente insolita tra
le varianti di Zeus. Due recenti analisi condotte dal gruppo ASERT non hanno
infatti evidenziato la sua presenza nelle varianti denominate Panda Banker e
Sphinx.
È raro che i malware
sviluppati a partire da Zeus riescano ad attaccare i POS, ma in generale i
malware diretti ai POS sono estremamente diffusi. Quando il consumatore
utilizza la carta di credito in un esercizio commerciale, i dati della carta
(contenuti nella banda magnetica situata sul lato posteriore) vengono
memorizzati dal programma di registro del sistema POS utilizzato. Per ottenere
tali dati, i malware diretti ai POS, tra cui ad esempio FlokiBot, analizzano la
memoria del computer ricercando schemi di dati corrispondenti al formato dei
dati delle carte di credito. Una volta identificata una potenziale
corrispondenza, il malware trasmette i dati all’aggressore informatico, che li
utilizza per creare nuove carte di credito contraffatte oppure li rivende sul
mercato clandestino (nei cosiddetti “card shop”) ad acquirenti che a loro volta
li useranno per creare nuove carte di credito contraffatte.
Ci sono tuttavia delle
buone notizie per gli esercizi commerciali. Dal 2013, la difesa dei sistemi POS
è divenuta una priorità per i team dedicati alla sicurezza informatica. Secondo
la Relazione 2016 di Verizon sulle violazioni di dati, la vita dei criminali informatici
si sta facendo sempre più difficile. “Tanto i piccoli furti mirati quanto gli
attacchi a danno di grandi organizzazioni sfruttavano i sistemi di
autenticazione statici a singolo fattore. Gli aggressori hanno dovuto affinare
le loro armi e darsi da fare per riuscire a compromettere credenziali valide e
non predefinite con cui accedere agli ambienti informatici. Inoltre, hanno
iniziato a trasmettere le credenziali trafugate da punti di appoggio della rete
anziché direttamente da Internet.”
Raccomandazioni per la
difesa dei sistemi POS
La sicurezza dei sistemi
POS è migliorata, ma necessita ancora di ulteriori perfezionamenti. Come
dimostra FlokiBot, i criminali informatici continuano a innovare le strategie
di attacco poiché la posta in gioco è sempre molto alta. Tutte le
organizzazioni, a prescindere dalla grandezza, sono incoraggiate a valutare
seriamente la conduzione di un’analisi approfondita della sicurezza delle
infrastrutture dei sistemi POS per identificare le eventuali compromissioni
esistenti e per rafforzare le difese contro un avversario che continua a
crescere e ad ampliare le sue capacità di attacco. Un buon punto di partenza è
la conformità alle norme PCI-DSS.
- I PARTNER AZIENDALI Una misura di sicurezza di base consiste nella
riduzione del fronte di minaccia, con particolare attenzione ai partner
dell’azienda: il 97% delle violazioni con furto di credenziali sfrutta un
accesso legittimo attribuito a un partner aziendale (Verizion 2016).
- MACCHINE DEDICATE La macchina su cui gira il software del POS
deve essere dedicata unicamente a questa attività. È inoltre necessario
rafforzarla prima della messa in servizio per ridurre la presenza di porte
aperte e limitare l’uso delle applicazioni consentendo solo quelle
assolutamente necessarie per la funzionalità core.
- SEPARAZIONE DA
INTERNET I sistemi POS devono essere
separati dal resto della rete, limitando la connettività in entrata e uscita
alla misura necessaria per facilitare la funzionalità core. La connettività va
sottoposta a rigidi controlli, stabilendo un parametro base di traffico
legittimo che consenta di identificare il traffico anomalo e generare un
allarme.
- LA VOCE DEL TRAFFICO È necessario implementare un efficace
sistema di monitoraggio, con l’obiettivo di identificare il traffico sospetto
proveniente o diretto alle macchine POS sulla rete interna e il traffico
sospetto proveniente o diretto a sistemi di supporto o sistemi considerati
sicuri dall’infrastruttura POS.
- LA VIGILANZA Una volta effettuati test approfonditi,
sulle macchine POS vanno utilizzate in maniera aggressiva le applicazioni
anti-malware per identificare potenziali malware non noti.
- IDENTIFICAZIONE DEI
TENTATIVI DI ESTRAPOLAZIONE DEI DATI Le
aziende devono avvalersi di molteplici tecniche di monitoraggio
dell’infrastruttura sensibile per identificare le attività insolite a livello
di host e rete. Le classi di rischio e complessità sono variabili e le attività
di sicurezza possono rivelarsi più o meno difficili a seconda della
funzionalità e della segmentazione di rete/processi.
Se la rete non è
correttamente configurata per consentire il traffico solo dove è realmente
necessario, il numero di sistemi che possono tramutarsi in punti di appoggio
per il furto di dati aumenta e gli aggressori hanno quindi a disposizione più
possibilità e luoghi per nascondere il loro traffico, nel tentativo di
estendere la profondità e la durata delle loro campagne.
