跳至主內容

香港有零售系統伺服器疑受 POS 惡意程式感染

發佈日期: 2014年07月25日 2237 觀看次數

 

改圖轉載自 "System recepcyjny HORECA13" by Travelarz

 

發現香港有零售系統伺服器疑受 POS 惡意程式感染

 

過去 6 個月,保安服務供應商 FireEye [1] 及 ArborNetwork [2] 分別發表關於零售系統(point of sale 或 POS system)惡意程式的報告,當中提及有香港 IP 地址曾連接到 POS 惡意程式的「指揮伺服器」,表示這些 IP 地址上的電腦受 POS 病毒感染並被網絡罪犯控制。FireEye 的報告更指出名為「BrutPOS」的攻擊活動已透過惡意程式偷取付款卡資料。由於可能涉及財物損失,HKCERT 已把相關資料轉介警方跟進。

 

另有多部位於香港的電腦受感染成為殭屍電腦,被罪犯用作入侵零售系統。HKCERT 將會通知相關 ISP 有關資料。

 

近期發生的嚴重 POS 系統資料外洩

 

到底 POS 惡意程式可造成多慘重的損失?2013 年 11 月,美國大型連鎖零售商 Target,傳出正在調查資料被盜的消息 [3]。後來證實有 4 千萬個信用卡和扣帳卡帳戶受影響,及超過 1.1 億名顧客的個人及財務資料外洩 [5]。經調查發現惡意程式透過感染並潛入 Target 收銀處的 POS 系統,造成這次損失慘重的事故 [6]。事發後 6 個月,Target 的 CEO Gregg Steinhafel 需為此大規模資料外洩事故負責而請辭 [4]。

 

為什麼 POS 系統成為罪犯目標

 

自 Target 的外洩事故,POS 系統的保安引起很大關注。基於以下因素,網絡罪犯垂涎 POS 系統是理所當然的:

  • 為了支援不同的付款方法,例如信用卡、EPS(即扣帳卡)、八達通(即非接解式智能卡),POS 系統已發展為一非常複雜系統,包括網絡功能,以連接各付款處理系統。這表示 POS 系統存在很多「攻擊面」,繼而產生不同形式的攻擊,例如有一類「記憶體括除(memory scraping)」惡意程式,專門讀取暫存在 RAM 而未被加密的信用卡資料。
  • POS 系統加入很多付加功能,例如會員管理、庫存管理、連接不同付款處理系統的介面等,以支援不同業務需要。這表示 POS 系統除了儲存財務資料,還有個人資料。
  • POS 系統被廣泛應用於不同行業如零售、餐飲、酒店、貨倉等。這表示 POS 系統已在廣泛地區安裝,並透過互聯網連接企業網絡。這同樣增加了「攻擊面」。

 

預防措施

 

  • 大多數惡意程式包括 BrutPOS,都是透過暴力(brute force)攻擊測試系統是否使用預設帳戶名稱及密碼。例如 BrutPOS 先測試遠端桌面服務是否能透過預設帳戶名稱及密碼撞破,以開啟後門植入惡意程式。因此第一度防線為更改預設帳戶名稱及密碼,並停用或移除不需要的帳戶。
  • POS 系統不應連接到公開的網絡,如供客人使用的 WiFi 連接點。POS 系統應與互聯網隔離,以減少「攻擊面」。
  • 假如你的 POS 系統使用嵌入式 Windows,你可參考 Microsoft 的 POS hardening 指引:
    http://download.microsoft.com/documents/en-us/Protecting_Point_of_Sale_Devices-April_2014.pdf 

 

參考資料

 

  1. BrutPOS: RDP Bruteforcing Botnet Targeting POS Systems, FireEye
  2. [PDF] Dexter and Project Hook Break the Bank, Arbor Networks
  3. Sources: Target Investigating Data Breach, KrebsOnSecurity
  4. Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores, Target
  5. A First Look at the Target Intrusion, Malware, KrebsOnSecurity
  6. Target CEO resigns after data breach fallout, CNET