POS - Point Of Sale and criminals

תקיפה של קופות רושמות ומערכות סליקה

White paper

By Amitay Dan

הקדמה

לאחרונה אנחנו שומעים על  מקרים רבים של פריצה לקופות רושמות הקרויות גם Point Of Sell.

האקרים שחלקם פועלים כחלק מקבוצות פשע מאורגנות, תוקפים קופות רושמות ומערכות לסליקת אשראי.

מאחר שקל יותר לחדור למערכות המחשוב של הסופר השכונתי,מאשר לבנק, ומכיוון שמחזור המכירות היומי במרכולים הגדולים,או בחנויות ענק,הינו גדול במיוחד, מטרות אלו הינן אטרקטיביות במיוחד.

איסו, מוצלח מביא פרטי אשראי,ולכן גם כמות של 300 לקוחות סולקים ביום,יכולים להביא למכפלת רווח לא רעה בכלל.

רק כדי להבין עד כמה פשוטה הפריצה,תשאלו את עצמכם כמה עמדות מחשב חשופות ראיתם בפעם האחרונה שביקרתם ברשת ידועה לממכר ציוד להרכבה עצמית.

 אם מעניין אותכם לקורא חומר נוסף,כאי לנסות את הספר האלקרוני הבא ולצפות בשקפים של הרצאה בנושא.

מבחינת התמודדות,ישנה צמיחה של פתרונות,כגון פתרון זה, אך מימושי תשלום כמו של Aplle Pay מאיצים את הדרך לעבר מעבר לשיטות תשלום ורטואליות ללא שימוש בכרטיס פלסטיק, ומנגד גורמים לכל הביצים להיערם בסל של חברה גדולה,מה שיגרום להאקרים את השרתים,ולגנבים פשוטים שעד היום הסתפקו בלכייס אותנו,לשדוד מכשיר אלקטרוני לצורך שוד מתוחכם.

תקיפות עמדות POS

פגיעה זו יכולה להתבצע בשלוש דרכים עיקריות:

1.חדירה על ידי תוכנה.

2.חדירה על ידי הטמנה פיזית של מכשיר שמצוטט לנתונים שעוברים בקופה.

3.חדירה למערכות שתומכות בקופה,בשרתים מרוחקים.

מבחינת הגדרה,קופה יכולה להיות עמדה שאתם רגילים לראות במסעדה או בסופר,אך גם מכשיר נייד לסליקה של כרטיס אשראי,כיום קופה הינה גם המצלמה בנייד שלכם שמצלמת את הכרטיס אשראי.

מטרת מסמך זה הינה להעלות רעיונות מוצלחים לדרך שבה התוקפים פועלים,או לדרכים אפשריות שכדאי להיות מודעים אליהן.

תקיפה יצירתית

 

 אם נשים את עצמנו בעמדת התוקף,יעלו די מהר דרכים נוספות מלבד חדירה אקטיבית למקום קיים.

1.עמדות משומשות- באתרים רבים כמו eBay  נמכרות עמדות מכירה משומשות ,לאחר רכישת המערכת,אפשר לבדוק את הכונן הקשיח,לחקור אותו ולנסות לדלות נתונים על עסקאות שבוצעו בו בעבר.

2.דרך נוספת היא לשכור קופות או מכשירי סליקה ניידים או נייחים ולשתול בתוכם התקני ציטוט יחודיים שנמכרים בדיוק למטרה זו.  לאחר מכן השוכר  הבא ישתמש במוצר הנגוע וכל הפרטים שיעברו בו יחשפו לתוקף.

3.אופציה אחרת ,ומעניינת לא פחות הינה למכור מכשירים משומשים עם התקני ציתות  (שוב eBay) וכך להגיע ללקוחות בטוחים בצורה מתוחכמת.

4.חדירה לבית עסק והטמנה של מכשיר ציטוט\תוכנה במכשיר הנגועים (די נפוץ כיום).

5.שימוש בהרשאות של אפליקציות למצלמה כדי לאתר צילום של כרטיס אשראי,לצורך חיוב (PayPal) 

עמדות קיוסק

ממקום קצת שונה כדאי להזכיר עמדות קיוסק שתפקידן לאפשר שירותים לאנשים מזדמנים.

עמדות אלו לרוב יותקנו בבתי מלון לצורך גלישה באינטרנט,או באתרים אחרים לצורך מכירת כרטיסים

(תחבורה ציבורית,בתי קולנוע,עמדות מכירה לתיירים)

How to get the IP logs of links, or how to mix evil QR code with live IP tracking via the Internet

Tools for URL included tracking
http://blasze.tk
http://bit.do

For legit cover:

http://mcaf.ee
http://ow.ly/url/shorten-url
tinyurl.com
Here you can find some info about bad QR

https://appsec-labs.com/portal/security-assessment-of-mobile-qr-readers-%E2%80%93-a-comparison/
http://www.zdnet.com/blog/security/hackers-using-qr-codes-to-push-android-malware/9522
http://www.h-online.com/security/news/item/Android-trojan-hides-behind-QR-code-1353160.html

I like the idea of mixing the tracking of the victim IP with evil QRs
Warning:The example included live tracking of your IP.
For my example,I decided to take an article, about the new uses of QRs in Israel,this to get history background about the street names:

http://www.israelhayom.co.il/article/222131

lets make it short

http://mcaf.ee/jk7p0

until now it's seems legit..
now its the time to track it:

hXXp://blasze.tk/JSHM7K
 
from here you can track logs:

http://blasze.tk/track/WAUURZ/

Lets cover it with another shorten url service

hXXp://ow.ly/C5MTg

alternative (included QR ad a bonus)

hxxp://bit.do/ONE-PLUS-ONE-FREE-INVITE

From here you can track the logs

hXXp://bit.do/ONE-PLUS-ONE-FREE-INVITE-

Next step,lets see what Facebook did to my link

Sept. 29, 2014, 9:54 p.m. 37.187.88.123 Click to Map 37.187.88.123 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11 ns3367955.ip-37-187-88.eu
Sept. 29, 2014, 9:59 p.m. 31.13.102.122 Click to Map 31.13.102.122 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)
Sept. 29, 2014, 9:59 p.m. 31.13.102.122 Click to Map 31.13.102.122 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)
Sept. 29, 2014, 9:59 p.m. 31.13.102.118 Click to Map 31.13.102.118 facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)


Solutions:
Be paranoid

Ill mention couple of services,which might be helpfull:

1. Unfurlr
(track the link redirecting
unfurlr.com
http://itunes.apple.com/us/app/unfurlr/id522402427?mt=8
https://play.google.com/store/apps/details?id=com.mailchimp.unfurlr&feature=nav_result#?t=W251bGwsMSwxLDMsImNvbS5tYWlsY2hpbXAudW5mdXJsciJd
2.Secure QR reader (you can read AppSec article)
3.https://www.virustotal.com
(focus on viruses more then tracking)
4.http://onlinelinkscan.com/(focus on viruses more then tracking)


P.S

As a tip, you might use an Iphone apps for emails, which allows you to track the reader IP, it's called iTrackMail.
Doing so,can give you the Geolocation of the target.

The solution,is to block images view in your iPhone/Android or any other phone. (as well as in your PC)

https://itunes.apple.com/app/id533886215?mt=8&ign-mpt=uo%3D4mail.com