PDA

Visualizza versione completa : Security Allarme BrutPOS: a rischio sicurezza i terminali POS



Asterix
14-07-14, 09: 36
A pochi giorni dall’entrata in vigore dell’obbligo previsto per esercenti, commercianti e professionisti, di utilizzo del POS, un nuovo allarme desta preoccupazione.

Un malware, denominato BrutePOS, è stato segnalato nelle ultime ore da alcuni ricercatori di FireEye.

Botnet di migliaia di computer infetti sono state utilizzate per tentare di violare e compromettere terminali POS, con lo scopo di accedere alle informazioni relative alle carte di credito: 5622 sono i dispositivi zombie individuati in 119 paesi (al primo posto Russia, seguita da India, Vietnam e Iran).

Secondo i ricercatori la campagna è attiva almeno da febbraio 2014. Non è ancora chiaro come il malware BrutPOS si propaghi, ma si ritiene che gli aggressori abbiano utilizzato un servizio di distribuzione fornito da altri criminali informatici; si è riscontrata infatti la comparsa nei forum underground di riferimenti a botnet utilizzate per infettare i dispositivi POS.

La tecnica d’intrusione sfrutta l’accesso via RDP (Remote Desktop Protocol) ai meccanismi di gestione dei pagamenti; le botnet, per la maggior parte localizzate in Est Europa, controllano costantemente la rete globale alla ricerca di nodi con accesso RDP. Software evoluti, con elevate capacità di multi-threading, sfruttano attacchi brute-force e a dizionario per scoprire in tempi relativamente rapidi le password ed ottenere accesso e controllo dei POS.

Una volta ottenuto l’accesso, indovinando con successo le credenziali di accesso remoto di un sistema RDP-enabled, l’attaccante utilizza tali informazioni per installare un malware che sostituisce importanti file di sistema ed è in grado di carpire ed estrarre i dati presenti nel dispositivo e di analizzare il traffico di rete alla ricerca delle informazioni delle carte di credito.

I dati vengono poi inviati ai centri di comando della botnet, localizzati per la maggior parte in Russia e Ucraina, e successivamente rivenduti nei forum che popolano le darknet.

La ricerca ha evidenziato che oltre un terzo degli attacchi rilevati ha sfruttato la presenza di password banali e poco sicure, oppure password comunemente correlate ai produttori di POS, come ad esempio Micros: il nome utente più comune utilizzato dai server violati era “administrator” e le password più comuni erano “pos” e “Password1″.

Gli attacchi BrutPOS basano dunque il loro successo su vulnerabilità sottovalutate.
In base ai dati che i centri di ricerca sono stati in grado di recuperare, le combinazioni di username e password più provate risultano essere le seguenti:


Username:

adminadministratorbackupbackupexecdatadatacardmana ger
micros
microssvc
pos

Password:

AdminadminAdministrat0rAdministratoradministratorb ackupbackupexec
client
client1
datacard
@dm1n
@dmin
micros
p0s
Passw0rd
Passw0rd1
Password
Pass@word
password
Password1
Pa$$w0rd1
Pa$$word
pa$$word
pos
P@ssw0rd
p@ssword
p@ssword1
p@$$w0rd



I dati parziali che i ricercatori sono riusciti a raccogliere indicano accessi positivi ad oltre il 10% dei dispositivi scansionati in due settimane, con un tempo di circa 27 minuti tra la compromissione del dispositivo e l’invio dei dati rubati.

Diventa perciò di vitale importanza, per chi voglia dotarsi dei sistemi di pagamento automatico, eseguire dei controlli e dei test approfonditi, applicando gli standard di sicurezza PCI DSS, in modo da certificare la filiera del pagamento e mantenere livelli di sicurezza elevati nei dispositivi che contengono i dati dei consumatori.


Fonte Allarme BrutPOS: a rischio sicurezza i terminali POS | ONSI (http://osservatoriosicurezzainformatica.org/allarme-brutpos-a-rischio-sicurezza-i-terminali-pos/)