יום רביעי, 1 באוקטובר 2014

POS - Point Of Sale and criminals




תקיפה של קופות רושמות ומערכות סליקה
White paper
By Amitay Dan

הקדמה


לאחרונה אנחנו שומעים על  מקרים רבים של פריצה לקופות רושמות הקרויות גם Point Of Sell.
האקרים שחלקם פועלים כחלק מקבוצות פשע מאורגנות, תוקפים קופות רושמות ומערכות לסליקת אשראי.

מאחר שקל יותר לחדור למערכות המחשוב של הסופר השכונתי,מאשר לבנק, ומכיוון שמחזור המכירות היומי במרכולים הגדולים,או בחנויות ענק,הינו גדול במיוחד, מטרות אלו הינן אטרקטיביות במיוחד.

איסו, מוצלח מביא פרטי אשראי,ולכן גם כמות של 300 לקוחות סולקים ביום,יכולים להביא למכפלת רווח לא רעה בכלל.

רק כדי להבין עד כמה פשוטה הפריצה,תשאלו את עצמכם כמה עמדות מחשב חשופות ראיתם בפעם האחרונה שביקרתם ברשת ידועה לממכר ציוד להרכבה עצמית.


 אם מעניין אותכם לקורא חומר נוסף,כאי לנסות את הספר האלקרוני הבא ולצפות בשקפים של הרצאה בנושא.

מבחינת התמודדות,ישנה צמיחה של פתרונות,כגון פתרון זה, אך מימושי תשלום כמו של Aplle Pay מאיצים את הדרך לעבר מעבר לשיטות תשלום ורטואליות ללא שימוש בכרטיס פלסטיק, ומנגד גורמים לכל הביצים להיערם בסל של חברה גדולה,מה שיגרום להאקרים את השרתים,ולגנבים פשוטים שעד היום הסתפקו בלכייס אותנו,לשדוד מכשיר אלקטרוני לצורך שוד מתוחכם.


תקיפות עמדות POS


פגיעה זו יכולה להתבצע בשלוש דרכים עיקריות:

1.חדירה על ידי תוכנה.
2.חדירה על ידי הטמנה פיזית של מכשיר שמצוטט לנתונים שעוברים בקופה.
3.חדירה למערכות שתומכות בקופה,בשרתים מרוחקים.


מבחינת הגדרה,קופה יכולה להיות עמדה שאתם רגילים לראות במסעדה או בסופר,אך גם מכשיר נייד לסליקה של כרטיס אשראי,כיום קופה הינה גם המצלמה בנייד שלכם שמצלמת את הכרטיס אשראי.


מטרת מסמך זה הינה להעלות רעיונות מוצלחים לדרך שבה התוקפים פועלים,או לדרכים אפשריות שכדאי להיות מודעים אליהן.


תקיפה יצירתית
 
 אם נשים את עצמנו בעמדת התוקף,יעלו די מהר דרכים נוספות מלבד חדירה אקטיבית למקום קיים.

1.עמדות משומשות- באתרים רבים כמו eBay  נמכרות עמדות מכירה משומשות ,לאחר רכישת המערכת,אפשר לבדוק את הכונן הקשיח,לחקור אותו ולנסות לדלות נתונים על עסקאות שבוצעו בו בעבר.


2.דרך נוספת היא לשכור קופות או מכשירי סליקה ניידים או נייחים ולשתול בתוכם התקני ציטוט יחודיים שנמכרים בדיוק למטרה זו.  לאחר מכן השוכר  הבא ישתמש במוצר הנגוע וכל הפרטים שיעברו בו יחשפו לתוקף.
3.אופציה אחרת ,ומעניינת לא פחות הינה למכור מכשירים משומשים עם התקני ציתות  (שוב eBay) וכך להגיע ללקוחות בטוחים בצורה מתוחכמת.

4.חדירה לבית עסק והטמנה של מכשיר ציטוט\תוכנה במכשיר הנגועים (די נפוץ כיום).

5.שימוש בהרשאות של אפליקציות למצלמה כדי לאתר צילום של כרטיס אשראי,לצורך חיוב (PayPal


עמדות קיוסק


ממקום קצת שונה כדאי להזכיר עמדות קיוסק שתפקידן לאפשר שירותים לאנשים מזדמנים.
עמדות אלו לרוב יותקנו בבתי מלון לצורך גלישה באינטרנט,או באתרים אחרים לצורך מכירת כרטיסים
(תחבורה ציבורית,בתי קולנוע,עמדות מכירה לתיירים)

המצור הדיגיטלי של טינדר על רצועת עזה והאזורים שמעבר לקו הירוק, ומה הקשר לצפון קוריאה?

For my English reader: I've found that Passport  feature which is part of Tinder Plus services , is not supported in Gaza and behind ...