Hackerii fura cardul intre POS si procesatorul de plati
Finante-Banci | Data Publicarii: 17-04-2008

Criminalii cibernetici s-au rafinat si au adoptat noi metode de furt al datelor de pe carduri, care par sa aiba succes, noteaza Cotidianul. Criminalii cibernetici au deschis un nou front in batalia pentru furtul datelor de pe carduri, folosite apoi pentru golirea acestora, relateaza ComputerWorld.

Dupa bresele de securitate dezvaluite luna trecuta de companiile Hannaford Bros. Co. si Okemo Mountain Resort - impreuna cu multe alte atacuri similare, deocamdata neconfirmate -, autoritatile au ajuns la concluzia ca hackerii au gasit noi metode pentru a ne goli cardurile. Mai mult, incidentele recente au stirnit intrebari legate de competenta standardelor de securitate ale industriei de plati prin card si daca acestea reusesc sa puna la dispozitia comerciantilor uneltele necesare pentru a evita furturile de pe card.

Ceea ce a ingrijorat autoritatile in cazul celor doi comercianti (Hannaford si Okemo) este faptul ca atacatorii au reusit sa fure datele de pe carduri in timp ce acestea (datele) se aflau in tranzit, fiind transmise de POS-urile magazinelor catre procesatorii de plati online pentru ca tranzactia sa fie autorizata.

Hannaford, un lant de supermarketuri cu sediul in Scarborough, Maine (SUA), a declarat ca atacatorii au plantat programe software speciale pe serverele a circa 300 de magazine, care au interceptat pina la 4,2 milioane de numere de carduri de credit si de debit de la POS-urile companiei si au trimis datele in loturi unui sistem din strainatate.

La doar doua saptamini dupa ce Hannaford a dezvaluit bresa de securitate, Okemo a raportat ca datele din peste 46.000 de tranzactii prin card ar fi putut fi compromise in cadrul unui spionaj care a durat 16 zile in februarie.

O parte dintre datele furate proveneau de la tranzactii efectuate cu doi ani in urma, insa pe parcursul bresei se pare ca au fost furate si date ale cardurilor folosite de clienti in timp real, in timpul procesului de autorizare a tranzactiei si verificare a cardului, a declarat compania.

"Informatia a fost furata in timp ce cardurile erau trecute prin POS", a declarat un purtator de cuvint. Daca acest lucru este adevarat, inseamna ca hackerii incep sa se axeze pe furtul datelor de pe carduri atunci cind sint folosite in loc sa incerce sa obtina informatiile stocate pe sisteme.

In mod ironic, incercarile atacatorilor de a obtine datele in tranzit sint, cel mai probabil, un raspuns direct la eforturile retailerilor de a implementa controalele de securitate cerute de Payment Card Industry Data Security Standard (PCI), spune Avivah Litan, analist in cadrul Gartner Inc.

Standardul PCI, care a fost creat de companiile majore de carduri de credit, interzice comerciantilor sa stocheze date despre platile cu cardul in sistemele lor si cere sa cripteze datele pe care au voie sa le pastreze in unele cazuri.

Litan spune ca, pe masura ce tot mai multe companii se conformeaza standardului, hotii de carduri sint fortati sa isi abata atentia de la bazele de date, care erau tintele lor traditionale. Iar succesul aparent al hotilor care au penetrat sistemele de securitate de la Hannaford si Okemo va incuraja si alti atacatori sa aplice aceeasi strategie, a avertizat analistul Gartner.

Din pacate, "gaura" ar putea fi chiar in apararea PCI. Hannaford, spre exemplu, spune ca tranzactiile clientilor sai au fost compromise chiar daca firma a fost certificata (anul trecut si din nou anul acesta, in februarie) ca fiind la punct cu standardele PCI.

Bob Russo, manager general al PCI Security Standards Council, a declarat saptamina trecuta ca nu exista suficiente informatii despre spargerile de la Hannaford si Okemo pentru a fi siguri daca regulile PCI trebuie schimbate. Russo a promis ca, daca vor fi necesare masuri aditionale de siguranta, aceste schimbari vor fi facute cu promptitudine.

Precautii si metode de furt

Conform regulilor existente, o companie nu are nevoie sa cripteze informatiile despre plata in timp ce acestea se afla in tranzit in propria retea interna.

Chiar daca Bob Russo sustine ca standardele PCI sint bune si ca fraudele au loc pentru ca firmele nu le implementeaza cum trebuie, criptarea datelor privind platile efectuate cu cardul inainte chiar sa ajunga la POS este o modalitate de a reduce riscurile de furt al datelor in tranzit, spune analistul Avivah Litan. Insa instrumentele care ar permite companiilor sa faca acest lucru abia se nasc, a adaugat ea. In aceasta etapa, instalarea uneltelor ar cere o investitie masiva de timp si efort din partea utilizatorilor.

O alta metoda ar putea fi monitorizarea mai atenta a retelelor corporatiste pentru semnale care spun ca au loc invazii in sisteme, spune Ken Pappas, strateg pe securitate in cadrul Top Layer Networks Inc., o companie care vinde sisteme de prevenire a unor astfel de intruziuni in sistem. Spre exemplu, observind unde merge traficul de date ar putea da managerilor un semnal clar privind legitimitatea transmisiilor.

Tehnicile prin care se efectueaza aceste jafuri de date in tranzit nu sint atit de noi. In mod tipic, infractorii obtin mai intii acces la reteaua vizata, profitind de o vulnerabilitate care nu a fost inca detectata sau rezolvata. O data ce obtin accesul, pot instala programe software nocive care detecteaza traficul de date in care sint interesati, spre exemplu datele privind tranzactiile prin carduri de debit sau de credit.

Cotidianul