Hackerii fura cardul intre POS si procesatorul de plati
Data publicarii: 17-04-2008 | Finante-Banci
PrintCriminalii cibernetici s-au rafinat si au adoptat noi metode de furt al datelor de pe carduri, care par sa aiba succes, noteaza Cotidianul. Criminalii cibernetici au deschis un nou front in batalia pentru furtul datelor de pe carduri, folosite apoi pentru golirea acestora, relateaza ComputerWorld.
Dupa bresele de securitate dezvaluite luna trecuta de companiile Hannaford Bros. Co. si Okemo Mountain Resort - impreuna cu multe alte atacuri similare, deocamdata neconfirmate -, autoritatile au ajuns la concluzia ca hackerii au gasit noi metode pentru a ne goli cardurile. Mai mult, incidentele recente au stirnit intrebari legate de competenta standardelor de securitate ale industriei de plati prin card si daca acestea reusesc sa puna la dispozitia comerciantilor uneltele necesare pentru a evita furturile de pe card.
Ceea ce a ingrijorat autoritatile in cazul celor doi comercianti (Hannaford si Okemo) este faptul ca atacatorii au reusit sa fure datele de pe carduri in timp ce acestea (datele) se aflau in tranzit, fiind transmise de POS-urile magazinelor catre procesatorii de plati online pentru ca tranzactia sa fie autorizata.
Hannaford, un lant de supermarketuri cu sediul in Scarborough, Maine (SUA), a declarat ca atacatorii au plantat programe software speciale pe serverele a circa 300 de magazine, care au interceptat pina la 4,2 milioane de numere de carduri de credit si de debit de la POS-urile companiei si au trimis datele in loturi unui sistem din strainatate.
La doar doua saptamini dupa ce Hannaford a dezvaluit bresa de securitate, Okemo a raportat ca datele din peste 46.000 de tranzactii prin card ar fi putut fi compromise in cadrul unui spionaj care a durat 16 zile in februarie.
O parte dintre datele furate proveneau de la tranzactii efectuate cu doi ani in urma, insa pe parcursul bresei se pare ca au fost furate si date ale cardurilor folosite de clienti in timp real, in timpul procesului de autorizare a tranzactiei si verificare a cardului, a declarat compania.
"Informatia a fost furata in timp ce cardurile erau trecute prin POS", a declarat un purtator de cuvint. Daca acest lucru este adevarat, inseamna ca hackerii incep sa se axeze pe furtul datelor de pe carduri atunci cind sint folosite in loc sa incerce sa obtina informatiile stocate pe sisteme.
In mod ironic, incercarile atacatorilor de a obtine datele in tranzit sint, cel mai probabil, un raspuns direct la eforturile retailerilor de a implementa controalele de securitate cerute de Payment Card Industry Data Security Standard (PCI), spune Avivah Litan, analist in cadrul Gartner Inc.
Standardul PCI, care a fost creat de companiile majore de carduri de credit, interzice comerciantilor sa stocheze date despre platile cu cardul in sistemele lor si cere sa cripteze datele pe care au voie sa le pastreze in unele cazuri.
Litan spune ca, pe masura ce tot mai multe companii se conformeaza standardului, hotii de carduri sint fortati sa isi abata atentia de la bazele de date, care erau tintele lor traditionale. Iar succesul aparent al hotilor care au penetrat sistemele de securitate de la Hannaford si Okemo va incuraja si alti atacatori sa aplice aceeasi strategie, a avertizat analistul Gartner.
Din pacate, "gaura" ar putea fi chiar in apararea PCI. Hannaford, spre exemplu, spune ca tranzactiile clientilor sai au fost compromise chiar daca firma a fost certificata (anul trecut si din nou anul acesta, in februarie) ca fiind la punct cu standardele PCI.
Bob Russo, manager general al PCI Security Standards Council, a declarat saptamina trecuta ca nu exista suficiente informatii despre spargerile de la Hannaford si Okemo pentru a fi siguri daca regulile PCI trebuie schimbate. Russo a promis ca, daca vor fi necesare masuri aditionale de siguranta, aceste schimbari vor fi facute cu promptitudine.
Precautii si metode de furt
Conform regulilor existente, o companie nu are nevoie sa cripteze informatiile despre plata in timp ce acestea se afla in tranzit in propria retea interna.
Chiar daca Bob Russo sustine ca standardele PCI sint bune si ca fraudele au loc pentru ca firmele nu le implementeaza cum trebuie, criptarea datelor privind platile efectuate cu cardul inainte chiar sa ajunga la POS este o modalitate de a reduce riscurile de furt al datelor in tranzit, spune analistul Avivah Litan. Insa instrumentele care ar permite companiilor sa faca acest lucru abia se nasc, a adaugat ea. In aceasta etapa, instalarea uneltelor ar cere o investitie masiva de timp si efort din partea utilizatorilor.
O alta metoda ar putea fi monitorizarea mai atenta a retelelor corporatiste pentru semnale care spun ca au loc invazii in sisteme, spune Ken Pappas, strateg pe securitate in cadrul Top Layer Networks Inc., o companie care vinde sisteme de prevenire a unor astfel de intruziuni in sistem. Spre exemplu, observind unde merge traficul de date ar putea da managerilor un semnal clar privind legitimitatea transmisiilor.
Tehnicile prin care se efectueaza aceste jafuri de date in tranzit nu sint atit de noi. In mod tipic, infractorii obtin mai intii acces la reteaua vizata, profitind de o vulnerabilitate care nu a fost inca detectata sau rezolvata. O data ce obtin accesul, pot instala programe software nocive care detecteaza traficul de date in care sint interesati, spre exemplu datele privind tranzactiile prin carduri de debit sau de credit.
Ultimele stiri pe BankNews.ro:
- Consumer Index Romania 2025: Romanii resimt presiunea inflatiei si devin mai prudenti in consum
- Salt Bank trece de 700.000 de clienti
- Peste 80% dintre cei mai mari chiriasi din Romania platesc sub 5% din cifra de afaceri pentru ocuparea spatiilor de birouri moderne
- Gala Premiilor UNSICAR 2025 marcheaza 25 de ani de activitate ai organizatiei
- SigurantaOnline.ro: Volumul 4 din The Websters a fost lansat oficial
- Analiza de piata: Efectul modificarilor fiscale din 2025 asupra antreprenorilor romani
- Cushman & Wakefield ECHINOX, mandat exclusiv pentru vanzarea platformei Electroputere Craiova
- EY Romania - CJUE redefineste granitele transformarii substantiale in regulile de origine: lectii-cheie din cauza C-86/24 CS STEEL despre originea nepreferentiala in dreptul vamal UE
- Functiile financiar-fiscale au nevoie de un nou tip de profesionisti care folosesc tehnologia si inteligenta artificiala alaturi de competentele in fiscalitate
- Meta Estate Trust, rezultate la 9 luni 2025: profit net in crestere si active totale mai mari cu 10% fata de 2024
- Cargus: Crestere de 15% a volumelor de colete in weekendul de Black Friday, sustinuta de clientii internationali si de vanzarile din segmentul fashion
- Studiu Deloitte: veniturile afacerilor de familie, estimate sa creasca cu 84% in 2030 fata de 2020 la nivel global
- ETF BET Patria - Tradeville, cel mai mare ETF cu investitii in actiuni romanesti, atinge 700 milioane lei in active totale si 31 de mii de investitori
- 2Performant: Platforma BusinessLeague.com a generat mai multe vanzari fata de anul trecut in perioada Black Friday
- Piata industriala si logistica din Romania atinge un nivel record in 2025 - cererea de spatii creste cu 64%, iar zona Bucuresti-Ilfov domina, din nou, inregistrand peste doua treimi din tranzactii