Além disso, a falta de segurança física permite que insiders e outsiders possam modificar dispositivos POS e sistemas, adicionando skimmers. Em um caso específico, um grande fornecedor foi encontrado usando a mesma senha padrão para todos os produtos, desde 1990. E essa senha foi documentada publicamente em um FAQ online, juntamente com nomes de empresas que usam esses dispositivos.
Cybercriminosos Visam Falhas nos Sistemas de Ponto de Venda
Os sistemas de ponto de venda (POS - Point Of Sale) estão sendo cada vez mais os alvos preferenciais dos cybercriminosos, devido aos controles de segurança deficientes nos pagamentos com cartões de crédito e com cartão de débito. Essa conclusão é resultado de um estudo encomendado pelas administradoras de cartões American Express, Visa e MasterCard à Trustwave, com foco, principalmente, em violações de cartões de pagamento a partir de transações geradas por pequenas empresas. O estudo trabalhou na investigação de 220 casos de violações de segurança de dados em todo o mundo, e descobriu que essa prática ganhou força no ano de 2010. A grande maioria dos casos teve a ver com problemas de segurança em dispositivos POS.
Por causa da existência de várias vulnerabilidades já bastante conhecidas, os sistemas POS continuam a ser o método mais fácil para os criminosos online, também conhecidos como "carders", obterem os dados necessários à execução de fraudes com cartões de pagamento. Além do mais, os dispositivos de POS fazem a leitura da tarja magnética que consta no verso do cartão, e que contém as informações da conta; assim, as transmitem para o processamento de pagamentos. Apesar de existirem regras obrigatórias de segurança que os programadores devem usar nos dispositivos, como a norma Payment Application Data Security (PADS), esses controles raramente são implementados de forma adequada. Na sequência dessas tantas vulnerabilidades que fazem a felicidade dos atacantes, muitas pequenas empresas dependem de integradores para suportar os dispositivos de POS, integradores esses com práticas questionáveis de segurança. Em mais de 80% dos casos de violação de privacidade de dados, os integradores tinham cometido erros nos sistemas de autenticação. De acordo com relatos da equipe de segurança da Trustwave, levando em conta a experiência que eles tem, muitos integradores de dispositivos de POS não estão qualificados e não apresentam as melhores práticas de segurança, deixando os seus clientes vulneráveis a ataques. Os sistemas POS são um alvo muito atrativo para os criminosos, pois a informação a que têm acesso nos cartões é mais completa. Se é desencadeado um ataque contra um site de comércio eletrônico, este pode revelar números de cartão de crédito e datas de expiração do cartão. E estas são informações úteis apenas nas chamadas fraude de cartão não presente, como a compra de mercadorias através de sites na Internet.
Recolhimento de Informações e Payment Card Industry Data Security Standard (PCI-DSS)
Em relação aos dispositivos POS, estes recolhem toda a informação contida da tarja magnética; dessa forma, é perfeitamente possível, por exemplo, clonar o cartão para uso em uma ATM ou em um estabelecimento comercial. Além de tudo, o aumento da conformidade dos seus sistemas com o código de boas práticas Payment Card Industry Data Security Standard (PCI-DSS), criado pela indústria de cartões, pode ajudar a aumentar a segurança do uso dos sistemas POS. Ela proíbe, por exemplo, que seja feito o armazenamento de dados da banda magnética no terminal POS e determina o uso de criptografia na transmissão. E mesmo assim, há muitas falhas nesses sistemas. Em 2010, o estudo da Trustwave também descobriu uma nova tecnologia nociva que era dirigida a aplicações de POS, com plena capacidade de extrair dados cifrados. De acordo com os pesquisadores, o malware específico de POS é o mais sofisticado que tem sido visto e semelhante ao das ATMs, que foi detectado em 2009.
Além disso, apesar de o PCI-DSS já estar bem difundido na América do Norte e na Europa, muitas outras áreas do mundo estão meio "out" o que diz respeito a adoção deste padrão. Por exemplo, a América Latina e a Ásia-Pacífico estão muito aquém de outras áreas do mundo no que diz respeito à identificação e reconhecimento de violação de dados, o que afeta negativamente o esforço global para combater o comportamento do cybercrime, que a cada dia consegue aperfeiçoar, de maneira inteligente e rápida, as suas técnicas de ataques.
Embora os standards de segurança na indústria dos pagamentos com cartão (PCI-DSS) ofereçam um forte sistema de segurança desde a transação inicial, devido ao fato de que os dados são guardados nos próprios sistemas do varejista, não se trata de um modelo isento de vulnerabilidades. Há um período de tempo muito curto em que os dados do cartão de crédito do cliente – incluindo o nome, número de cartão, data de validade e os três dígitos de segurança – estão em texto simples. Isto é por causa do fato de que os sistemas do processo de pagamento trabalham com dados sem nenhum sistema de criptografia, ou seja, desprotegidos, o que representa uma falha de segurança que é aproveitada pelas ferramentas "RAM scraping". Portanto, quando os dados de um cartão são lidos por um POS, eles são guardados temporariamente em uma memória de acesso aleatório, enquanto se processa a autorização da compra (antes disso eles permanecem encriptados). Do mesmo modo, do outro lado, quando o servidor começa o trabalho de processar a transação do usuário, os dados são temporariamente decriptografados e armazenados na memória. A informação é visível durante uma fração de segundo, mas é o tempo suficiente para que estas ferramentas de malware entrem em ação e façam o seu trabalho.
Protegendo Terminais de Vendas
Com o objetivo de bloquear futuros exploits baseados em "RAM scraping" ou outros ataques contra os pontos de vendas das lojas, as recomendações para os proprietários deste tipo de elementos são as seguintes: Usar senhas complexas nos pontos de vendas e alterar a configuração que vem de fábrica; Atualizar as aplicações dos POS. Do mesmo modo que se faz com o demais software da empresa, também os POS devem contar com as últimas atualizações para reduzir a sua exposição a vulnerabilidades; Contar com um firewall para proteger os POS e isolá-los de outras redes; Utilizar ferramentas antivírus e mantê-las completamente atualizadas; Restringir o acesso à Internet dos POS ou sistemas similares para prevenir uma exposição acidental a qualquer ameaça de segurança; Desativar o aceso remoto aos terminais POS. Mesmo assim, as empresas deveriam ainda considerar algumas medidas extras para adicionar novas camadas de proteção contra infecções de malware. Para isso, as soluções de virtualização, apresentam-se como uma alternativa perfeita para identificar e isolar arquivos maliciosos antes de penetrarem na rede empresarial.
Saiba Mais:
[1] Malware News http://www.net-security.org/secworld.php?id=18313