VISA警告针对加油站PoS系统的持续性网络攻击
根据VISA发布的安全警报,北美汽油供应商(就是各种加油站)的POS系统正日益受到网络犯罪集团协调的攻击的威胁
根据VISA发布的安全警报,北美汽油供应商的POS系统正日益受到网络犯罪集团协调的攻击的威胁。
根据Visa Payment Fraud Disruption(PFD)的数据,在2019年夏季,发现了三起针对组织的此类攻击,其最终目的是窃取支付卡数据。
该警报是继11月发出的警告之后的又一警告,该警告还提到,这些商家成为目标其原因在于“他们缺乏安全技术(例如,EMV芯片,点对点加密,令牌化等),并且他们没有合乎PCI DSS (Payment Card Industry Data Security Standard)”。
攻击北美汽油供应商
PFD披露,第一起攻击事件中,不知名黑客使用钓鱼邮件成功上传RAT并感染目标厂商的一个系统。
RAT使得黑客直接进入商家的内部网络系统,获得足够权限去后渗透并黑下公司POS系统。因为公司并没有将CDE (持卡人数据环境)和一般网络区别开来。
进入最后阶段的攻击,黑客部署RAM读取工具获得其商家客户的支付信息。
第二起和第三起攻击事件中,黑客使用了黑客组织FIN8的恶意工具和TTP(战术,技术和程序)
作为第二次攻击的一部分,黑客使用未知向量来获取网络访问权限,并使用专门针对磁条卡交易的RAM读取工具恶意负载感染POS环境。
VISA披露“在攻击中使用该恶意软件还创造了一个临时的输出文件,wmsetup.tmp,这是用来容纳抓取的支付数据,此文件先前FIN8和FIN8相关的恶意软件的攻击中被识别。”
PFD还在第三次攻击中发现了FIN8以前的活动中使用的恶意软件样本,该恶意软件样本用于FIN8攻击一个北美酒店商的事件中。
在除了这三次的攻击之外,VISA还发现了基于Ursnif RM3变体(又名Gozi / Gozi-ISFB)的新恶意软件,Ursnif是通常通过鱼叉式网络钓鱼攻击和漏洞利用工具包提供的模块化银行恶意软件。
VISA补充说:“虽然在针对汽油供应商的攻击中未发现此攻击中使用的恶意软件,但FIN8可能会在针对汽油供应商的未来操作中使用此恶意软件。”
磁条卡POS系统面临越来越大的威胁
因为这一时间,PFD将北美汽油供应商的POS系统列为容易被攻击的对象。
VISA PFD 称,”关键点在于,这次的攻击向量不是通过在加油站简单粗暴装个skimmer,而是它针对了整个POS系统。 这要求黑客进入厂商的内网,并且这需要更多的技术。汽油供应商应该要对这类的事件提高警惕,并且小心处理那些仍然支持磁条卡的POS机,这样可以很大概率降低被攻击风险。”
VISA为商户和收单方提供了一系列旨在减轻此类威胁的措施:
•利用此报告中包含的IOC来检测,补救和阻止使用POS恶意软件变体的攻击。
•使用强密码保护远程访问,确保仅必要的个人具有远程访问权限,在不使用时禁用远程访问,并对远程会话使用两因素身份验证。
•启用EMV技术以实现安全的亲自付款(芯片,非接触式,移动和QRcode)。
•为每个管理员用户提供他们自己的用户凭据。还应该仅向用户帐户提供对工作职责至关重要的权限。
•打开反恶意软件的启发式(行为分析)以搜索可疑行为,并更新反恶意软件的应用程序。
•监视网络流量中是否存在可疑连接,并记录系统和网络事件。
•尽可能实施网络分段,以防止恶意软件传播并限制攻击者的立足点。
•维护补丁程序管理程序,并将所有软件和硬件固件更新为最新版本,以限制攻击面的零日漏洞。
•如果确认或怀疑有违规事件,请参阅Visa 于2019年10月发布的“ 如果受到损害,该怎么办(WTDIC)”。
根据Visa Payment Fraud Disruption(PFD)的数据,在2019年夏季,发现了三起针对组织的此类攻击,其最终目的是窃取支付卡数据。
该警报是继11月发出的警告之后的又一警告,该警告还提到,这些商家成为目标其原因在于“他们缺乏安全技术(例如,EMV芯片,点对点加密,令牌化等),并且他们没有合乎PCI DSS (Payment Card Industry Data Security Standard)”。
攻击北美汽油供应商
PFD披露,第一起攻击事件中,不知名黑客使用钓鱼邮件成功上传RAT并感染目标厂商的一个系统。
RAT使得黑客直接进入商家的内部网络系统,获得足够权限去后渗透并黑下公司POS系统。因为公司并没有将CDE (持卡人数据环境)和一般网络区别开来。
进入最后阶段的攻击,黑客部署RAM读取工具获得其商家客户的支付信息。
第二起和第三起攻击事件中,黑客使用了黑客组织FIN8的恶意工具和TTP(战术,技术和程序)
作为第二次攻击的一部分,黑客使用未知向量来获取网络访问权限,并使用专门针对磁条卡交易的RAM读取工具恶意负载感染POS环境。
VISA披露“在攻击中使用该恶意软件还创造了一个临时的输出文件,wmsetup.tmp,这是用来容纳抓取的支付数据,此文件先前FIN8和FIN8相关的恶意软件的攻击中被识别。”
PFD还在第三次攻击中发现了FIN8以前的活动中使用的恶意软件样本,该恶意软件样本用于FIN8攻击一个北美酒店商的事件中。
在除了这三次的攻击之外,VISA还发现了基于Ursnif RM3变体(又名Gozi / Gozi-ISFB)的新恶意软件,Ursnif是通常通过鱼叉式网络钓鱼攻击和漏洞利用工具包提供的模块化银行恶意软件。
VISA补充说:“虽然在针对汽油供应商的攻击中未发现此攻击中使用的恶意软件,但FIN8可能会在针对汽油供应商的未来操作中使用此恶意软件。”
磁条卡POS系统面临越来越大的威胁
因为这一时间,PFD将北美汽油供应商的POS系统列为容易被攻击的对象。
VISA PFD 称,”关键点在于,这次的攻击向量不是通过在加油站简单粗暴装个skimmer,而是它针对了整个POS系统。 这要求黑客进入厂商的内网,并且这需要更多的技术。汽油供应商应该要对这类的事件提高警惕,并且小心处理那些仍然支持磁条卡的POS机,这样可以很大概率降低被攻击风险。”
VISA为商户和收单方提供了一系列旨在减轻此类威胁的措施:
•利用此报告中包含的IOC来检测,补救和阻止使用POS恶意软件变体的攻击。
•使用强密码保护远程访问,确保仅必要的个人具有远程访问权限,在不使用时禁用远程访问,并对远程会话使用两因素身份验证。
•启用EMV技术以实现安全的亲自付款(芯片,非接触式,移动和QRcode)。
•为每个管理员用户提供他们自己的用户凭据。还应该仅向用户帐户提供对工作职责至关重要的权限。
•打开反恶意软件的启发式(行为分析)以搜索可疑行为,并更新反恶意软件的应用程序。
•监视网络流量中是否存在可疑连接,并记录系统和网络事件。
•尽可能实施网络分段,以防止恶意软件传播并限制攻击者的立足点。
•维护补丁程序管理程序,并将所有软件和硬件固件更新为最新版本,以限制攻击面的零日漏洞。
•如果确认或怀疑有违规事件,请参阅Visa 于2019年10月发布的“ 如果受到损害,该怎么办(WTDIC)”。
关于作者
评论0次