Trojan Backoff: POS ????????????
米国の企業に対して、店頭レジ端末(POS)を狙う新たなマルウェア Trojan.Backoff に関する勧告が発行されています。このマルウェアは、クレジットカードやデビットカードの情報を盗み出す機能を備えています。
米国の企業に対して、店頭レジ端末(POS)を狙う新たなマルウェア Trojan.Backoff に関する勧告が発行されています。このマルウェアは、クレジットカードやデビットカードの情報を盗み出す機能を備えています。
Alertan a empresas en Estados Unidos sobre Trojan Backoff, un nuevo código malicioso que afecta los puntos de venta y que tiene la capacidad de sustraer información de las tarjetas de crédito y débito
US businesses are being warned about Trojan Backoff, a new point-of-sale malware capable of stealing credit and debit card information.
Read more…
One of the most dangerous places in America is your local retailer. Before you leave the building with your purchases, you run the risk of having your identity stolen. No doubt you recall the 2013 security breaches at Target, Michael’s, and Neiman Marcus where millions of records were compromised by Point-of-Sale (PoS) attacks. PoS occurs […]
One of the most dangerous places in America is your local retailer. Before you leave the building with your purchases, you run the risk of having your identity stolen. No doubt you recall the 2013 security breaches at Target, Michael’s, and Neiman Marcus where millions of records were compromised by Point-of-Sale (PoS) attacks. PoS occurs […]
サイバー攻撃はますます大規模に、そして大胆になっているため、セキュリティ対策にも新たなアプローチが必要になってきています。サイバー犯罪者は、従来のコンピュータシステム以外にも攻撃対象を広げており、今ではインターネットに接続できるデバイスのほとんどが標的になる恐れがあります。2013 年は大規模なデータ侵害の年であり、推定 5 億件の情報が漏えいするという史上最大のデータ侵害も発生しました。店頭レジ端末(POS)がマルウェアに感染し、何百万件というクレジットカード情報が抜き取られる事件もありました。さらに一歩進み、悪質なコードを使って現金を盗み出す攻撃も発生しています。最近確認された Ploutus に至っては、単純な SMS メッセージを送信することで、携帯電話を使って ATM から現金を引き出すことさえ可能です。
インターネットに接続できるデバイスが増加するということは、攻撃者が企業環境に侵入できる経路が増えることを意味します。周辺機器や Web サーバーでデフォルトのままのパスワードが使われていたり、既知の脆弱性が残っていたりすれば、いとも簡単に侵入されてしまいます。しかも、頭痛の種は社内のセキュリティに限ったことではありません。多くの企業は、パートナーや仕入れ先、サービスプロバイダとの取引があり、取引先が何らかのレベルで企業ネットワークにアクセスできる場合もあります。こういったアクセスが侵入経路にもなりかねません。
その一方で、巧妙なスピア型フィッシングメールを使って従業員を狙い、企業の中心部に直接攻撃を仕掛けてくる攻撃者もいます。いったん侵入に成功すれば、攻撃者はネットワークを横断して、求めているデータを入手できるようになります。攻撃者は権限の昇格を狙っているのかもしれませんし、ハッキングツールをインストールして攻撃をやりやすくようとしているのかもしれません。求めるデータを手に入れたら、次に必要なのはそれを密かに外部に送り出すことです。その際にはステージングサーバーが使われる可能性もあります。
企業は、攻撃者が潤沢な資源と高いスキルを持っていることを自覚しなければなりません。攻撃者は、金融データでも顧客データでも、あるいは知的財産でも、標的に侵入してデータを入手するためにはあらゆる手段を尽くします。企業は、こうした攻撃者の先手を取るために、一歩先を行くサイバーセキュリティを導入する必要があります。
一歩先を行くサイバーセキュリティとは
攻撃が何段階にもわたって執拗に続けられることはわかっていますが、その段階ごとに、攻撃者は何らかの痕跡を残しています。投下されたファイル、ハッキングツール、ログイン失敗の記録、あるいは未知の FTP サーバーへの接続記録などです。一歩先を行くサイバーセキュリティでは、こうした侵入の痕跡を手掛かりにして実践的なインテリジェンスを構築することで、攻撃者が実際にネットワークに足場を築くよりも前に、攻撃の試みを検知して遮断できるよう学習します。一歩先を行くサイバーセキュリティを導入することにより、ネットワークセキュリティを確実に制御できるようになります。
一歩先を行くシマンテックのサイバーセキュリティソリューションにご興味のある方は、ぜひ Symantec Vision にご参加ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Attacks are getting bigger and bolder and this calls for a new approach to cybersecurity. Cybercriminals have broadened their scope beyond conventional computer systems and now almost every connected device can be a target. 2013 was the year of the megabreach, where we witnessed some of the biggest data breaches of all time with an estimated 800 million records exposed. Point of Sale terminals have been infected with malware in order to siphon off millions of credit card records. Attackers are even going one step further and using malicious code to steal cold hard cash. A recent piece of malware, Ploutus, allows criminals to use a mobile phone to get an ATM to spit out cash by sending a simple text message.
An increasingly connected world means that attackers have access to more routes into a corporate environment. Default passwords and known vulnerabilities on peripheral devices and Web servers can provide an easy, direct path. And it isn’t just your own security you need to worry about. Many corporations have partners, suppliers, and service providers who have some level of access to the corporate network. These are often the weak link.
Attackers can also strike straight at the heart of an organization by targeting employees with well-crafted spear phishing emails. Once inside, the attacker can traverse the network to get to the data they’re seeking. They may need elevated privileges, and they may install hacking tools to facilitate this. Once attackers have the data they want, they need to exfiltrate it, maybe using a staging server along the way.
Organizations need to accept that attackers are well resourced, skilled, and will do what it takes to infiltrate their target and acquire their data, be it financial data, customer records, or intellectual property. Corporations need to get ahead of the attacker and embrace Proactive Cybersecurity.
What is Proactive Cybersecurity?
We know that attacks are multi-staged and persistent, but at each stage of a campaign the attackers leave traces of their presence. It might be a dropped file, hacking tools, a failed login, or a connection to an unknown FTP server. Proactive Cybersecurity takes these indicators of compromise and develops actionable intelligence so that you can learn to recognize attempted attacks and block them before attackers gain a foothold in your network. Proactive Cybersecurity puts you firmly in control of your network security.
To learn more about how Symantec’s Proactive Cybersecurity solutions join us at Symantec Vision.
サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙いやすい標的が POS システムです。小売店の店頭レジ端末(POS)システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から保護する方法については、「Attacks on Point of Sales Systems(POS システムに対する攻撃)」と題したホワイトペーパー(英語)を参照してください。
今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2 コードだけでもオンラインショッピングは可能になりますが、一部のフォーラムではさらに儲けにつながる「Track 2」というデータまで売られています。Track 2 は、カードの磁気テープに記録されているデータの簡略形式で、このデータがあれば犯罪者はカードを複製してさらに利益につなげることができます。実店舗でもカードを使えるようになり、暗証番号まで手に入れれば ATM も利用できるからです。データの価値はオンラインフォーラムでの販売価格に反映されますが、その価格はデータの種類によって大きく異なります。CVV2 データの販売額はカード 1 枚あたり 0.1 ~ 5 ドル程度ですか、Track 2 データとなるとカード 1 枚あたり 100 ドルにも相当する場合さえあります。
図. インターネット上のフォーラムで売られているクレジットカードデータ
では、犯罪者はどうやってクレジットカードのデータを手に入れるのでしょうか。よく知られているのはスキミングという手口で、POS 端末に別の装置を取り付け、そこで使われたカードから Track 2 データを読み取ります。ただし、この手口では POS に物理的に接触しなければならず、取り付ける装置の費用も掛かるため、大々的に実行するのは容易ではありません。この問題に対処するために犯罪者が注目しているのが、POS マルウェアというソフトウェアによる解決策です。POS マルウェアで大規模小売店を狙えば、1 回の攻撃で何百万枚ものカードのデータを集めるすることができます。
POS マルウェアは、カードデータの処理過程におけるセキュリティのギャップを悪用します。カードデータは、決済承認のために送信される段階では暗号化されますが、実際に支払いが処理される段階、つまり代金を支払うために POS でカードを読み取らせる瞬間には暗号化されていません。犯罪者がこのセキュリティのギャップを初めて悪用したのは 2005 年のことで、アルバート・ゴンザレス(Albert Gonzalez)が仕組んだ攻撃活動によって 1 億 7,000 万枚ものカードデータが盗難に遭いました。
それ以来、マルウェアが供給販売される市場も成長し、POS 端末のメモリから Track 2 データが読み取られるまでになっています。ほとんどの POS システムは Windows ベースであり、そこで稼働するマルウェアを作成するのは比較的簡単です。このマルウェアは、メモリの中から Track 2 データのパターンに一致するデータを検出することから、メモリ読み取りマルウェアと呼ばれます。該当するデータがメモリで見つかると(カードを読み取るとすぐに出現する)、データは POS 上のファイルに保存され、攻撃者はこのファイルを後から手に入れます。POS マルウェアのなかでも特に有名なのが BlackPOS で、これはサイバー犯罪フォーラムで売られています。シマンテックは、このマルウェアを Infostealer.Reedum.B として検出します。
POS マルウェアを手に入れた攻撃者が次に実行するのは、マルウェアを POS 端末に仕掛けることです。POS 端末は通常はインターネットに接続されていませんが、企業ネットワークには何らかの形で接続されています。そこで、攻撃者はまず企業ネットワークへの侵入を試みます。これには、外部向けのシステムにおける脆弱性を悪用すればよいので、たとえば Web ブラウザで SQL インジェクションを利用するか、メーカー設定のデフォルトパスワードをそのまま使っている周辺機器を探します。ネットワークにいったん侵入したら、さまざまなハッキングツールを使って、POS システムをホストしているネットワークセグメントにアクセスします。POS マルウェアをインストールすると、攻撃者は攻撃活動が気付かれないように対策を講じます。これにはログファイルの消去や、セキュリティソフトウェアの改変などの方法がありますが、いずれの場合も、攻撃が存続し、できるだけ多くのデータを収集することができるように細工を行います。
残念ながら、この手口によるカードデータの盗難は当面続くものと予想されます。盗まれたカードデータは、使える期間が限られます。クレジットカード会社は異常な消費パターンを迅速に見つけるのに加え、用心深いカード所有者もそれは同様です。つまり、犯罪者は「新鮮な」カード番号を常に手に入れる必要があるということです。
幸いなことに、小売業界は最近の同様の攻撃から教訓を学んでおり、同じ攻撃の再発を防ぐ手段を講じています。決済のテクノロジも変わるでしょう。米国では、小売店の多くが EMV あるいは「チップアンドピン」方式の決済テクノロジへの移行を進めています。「チップアンドピン」方式のカードは、複製がはるかに難しいため、攻撃者にとっては魅力が乏しくなっています。もちろん、さらに別の新しい決済方法が登場する可能性もあります。モバイルすなわち NFC による支払いがもっと一般的になれば、スマートフォンが新しいクレジットカードになるかもしれません。
サイバー犯罪者がこうした変化に対応することは明らかですが、小売業界が新しいテクノロジを導入し、セキュリティ企業による攻撃者の監視も続くことから、大規模な POS 窃盗はますます困難になり、犯罪者にとってうまみが少なくなることは間違いないでしょう。
POS システムに対する攻撃の手口と、その攻撃から保護する方法については、シマンテックのホワイトペーパー「Attacks on Point of Sales Systems(POS システムに対する攻撃)」(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Cybercriminals have an insatiable thirst for credit card data. There are multiple ways to steal this information on-line, but Point of Sales are the most tempting target. An estimated 60% of purchases at retailers’ Point of Sale (POS) are paid for using a credit or debit card. Given that large retailers may process thousands of transactions daily though their POS, it stands to reason that POS terminals have come into the crosshairs of cybercriminals seeking large volumes of credit card data.
There are numerous internet forums openly selling credit and debit card data in various formats. The most common is “CVV2” where the seller provides the credit card number, along with the additional CVV2 security code which is typically on the back of the card. This data is enough to facilitate online purchases. However some sellers also offer the more lucrative “Track 2” data. This is shorthand for the data saved on a card’s magnetic strip. This data is more lucrative as it allows criminals to clone cards, meaning they can be used in brick-and-mortar stores or even ATMs if the PIN is available. The value of the data is reflected in the online sale price and these prices vary widely. CVV2 data is sold for as little as $0.1 to $5 per card while Track 2 data may cost up to $100 per card.
Figure. Credit card data for sale on Internet forums
So how do criminals get this data? Skimming is one of the more popular methods. This involves installing additional hardware onto the POS terminal which is then used to read track 2 data from cards. However as it requires physical access to the POS, and expensive additional equipment, it’s difficult for criminals to carry this out on a large scale. To address this problem criminals have turned to software solutions in the form of POS malware. By targeting major retailers with this malware criminals can accrue data for millions of cards in a single campaign.
POS malware exploits a gap in the security of how card data is handled. While card data is encrypted as it’s sent for payment authorization, it’s not encrypted while the payment is actually being processed, i.e. the moment when you swipe the card at the POS to pay for your goods. Criminals first exploited this security gap in 2005 when a campaign orchestrated by Albert Gonzalez lead to the theft of data for 170 million cards.
Since then a market has grown in the supply and sale of malware, which reads Track 2 data from the memory of the POS terminal. Most POS systems are Windows-based, making it relatively easy to create malware to run on them. This malware is known as memory-scraping malware as it looks in memory for data, which matches the pattern of the Track 2 data. Once it finds this data in memory, which occurs as soon as a card is swiped, it saves it in a file on the POS, which the attacker can later retrieve. The most well-known piece of POS malware is BlackPOS which is sold on cybercrime forums. Symantec detects this malware as Infostealer.Reedum.B.
Armed with POS malware, the next challenge for attackers is to get the malware onto the POS terminals. POS terminals are not typically connected to the Internet but will have some connectivity to the corporate network. Attackers will therefore attempt to infiltrate the corporate network first. They may do this by exploiting weaknesses in external facing systems, such as using an SQL injection on a Web server, or finding a periphery device that still uses the default manufacturer password. Once in the network, they will use various hacking tools to gain access to the network segment hosting the POS systems. After the POS malware is installed, attackers will take steps to make sure their activity goes unnoticed. These steps could include scrubbing log files or tampering with security software, which all ensures that the attack can persist and gather as much data as possible. For an in-depth look at how these attacks work see our whitepaper: Attacks on Point of Sales Systems
Unfortunately, card data theft of this nature is likely to continue in the near term. Stolen card data has a limited shelf-life. Credit card companies are quick to spot anomalous spending patterns, as are observant card owners. This means that criminals need a steady supply of “fresh” card numbers.
The good news is that retailers will learn lessons from these recent attacks and take steps to prevent the re-occurrence of this type of attack. Payment technology will also change. Many US retailers are now expediting the transition to EMV, or “chip and pin” payment technologies. Chip and Pin cards are much more difficult to clone, making them less attractive to attackers. And of course new payment models may take over. Smart-phones may become the new credit cards as mobile, or NFC, payment technology becomes more widely adopted.
There’s no doubt that cybercriminals will respond to these changes. But as retailers adopt newer technologies and security companies continue to monitor the attackers, large-scale POS thefts will become more difficult and certainly less profitable.
For more details on how POS attacks are carried out and how to protect against them, see our whitepaper: Attacks on Point of Sales Systems