-
06/07/2013
-
797
-
1.308 bài viết
Nguy cơ mất tiền vì quẹt thẻ thanh toán POS
Một loại mã độc mới với tên gọi GamaPoS vừa được các chuyên gia của hãng bảo mật Trend Micro phát hiện ra và đã lây nhiễm nhiều tổ chức tại Mỹ và Canada. Loại mã độc này sẽ lấy cắp tiền của người dùng khi họ quẹt thẻ để thanh toán tại các máy POS.
Theo đó các chuyên gia bảo mật của Trend Micro đã phát hiện thấy loại mã độc GamaPoS được phát tán và lây nhiễm tại 13 tổ chức ở 13 khác nhau của Mỹ và tại Vancouver ở Canada. Đây là loại mã độc được phát tán bởi một mạng lưới máy tính ma có tên gọi Andromeda.
Loại mã độc này sẽ theo dõi bộ nhớ của các máy bán hàng hỗ trợ thẻ (POS - Point of Sale) và sẽ lấy cắp tiền và thông tin thẻ mỗi khi người dùng sử dụng thẻ để thanh toán qua các máy POS bị lây nhiễm mã độc. Quá trình đánh cắp dữ liệu sẽ diễn ra khi thiết bị đọc thẻ trên máy POS thực hiện quá trình giao dịch giữa thẻ người dùng và ngân hàng.
Trên thực tế việc hacker tấn công vào hệ thống thanh toán của máy POS đã tăng nhanh trong những năm gần đây, điều này đòi hỏi các tổ chức tài chính phải đảm bảo các thủ tục truy cập từ xa vào thiết bị của mình, khiến các hacker gặp khó khăn hơn khi tấn công vào máy POS.
Do vậy, nhóm hacker đứng đằng sau mã độc GamaPoS đã sử dụng một cách thức tiếp cận khác. Thay vì tấn công trực tiếp vào hệ thống của máy thanh toán POS từ Internet, loại mã độc này sẽ tấn công vào hệ thống mạng nội bộ của các công ty, nơi được trang bị hệ thống máy POS.
Ban đầu các hacker sẽ gửi các thư rác, các email giả mạo, bao gồm các tài liệu về tiêu chuẩn an toàn dữ liệu thanh toán thẻ hoặc giả mạo các bản cập nhật cho hệ thống dịch vụ khách hàng... từ bộ phần mềm Oracle Micros POS.
Những tài liệu này có chứa các macro gây hại, với những đoạn mã tự động thực thi, sẽ cài đặt một cửa hậu (backdoor) trên máy tính một khi các file tài liệu bị người dùng vô tình kích hoạt. Các máy tính bị lây nhiễm sẽ trở thành một phần của mạng máy tính ma Andromeda, đã được phát hiện từ năm 2011 và ngày càng có xu hướng mở rộng tại Mỹ trong năm nay.
Các hacker sau đó sử dụng backdoor Andromeda để cài đặt mã độc GamaPoS trên các hệ thống bán hàng có kết nối với máy POS. Như vậy mục tiêu của hacker khi tấn công vào máy POS đã thành công theo cách trung gian, thay vì tấn công trực tiếp như trước đây.
Hacker thậm chí còn sử dụng cửa hậu này để tải những công cụ chuyên dụng mà sau đó có thể sử dụng để hack các hệ thống khác từ mạng lưới của các tổ chức đã bị nhiễm mã độc.
Trend Micro cho biết mình phát hiện thấy GamaPoS đã bị lây nhiễm tại nhiều tổ chức ở các lĩnh vực khác nhau, bao gồm các công ty kinh doanh và chăm sóc vật nuổi, nhà hát, kinh doanh nội thất, chăm sóc sức khỏe tại nhà, bán lẻ trực tuyến và kinh doanh hàng điện tử tiêu dùng...
“Những lĩnh vực kinh doanh sử dụng thẻ Visa, Discovery và Maestro (các loại thẻ tín dụng và thẻ ghi nợ) sẽ đối mặt với nguy cơ mất dữ liệu của người dùng khi bị lây nhiễm GamaPOS”, Trend Micro cho cảnh báo.
Hiện các chuyên gia bảo mật vẫn chưa tìm được ra một giải pháp hiệu quả nào để ngăn chặn tác dụng của loại mã độc GamaPOS này, tuy nhiên khuyến cáo các bộ phận IT tại các doanh nghiệp cần phải cập nhật hệ thống thường xuyên, sử dụng các bộ lọc spam hiệu quả để tránh mã độc phát tán trên email của tổ chức mình quản lý.
Theo đó các chuyên gia bảo mật của Trend Micro đã phát hiện thấy loại mã độc GamaPoS được phát tán và lây nhiễm tại 13 tổ chức ở 13 khác nhau của Mỹ và tại Vancouver ở Canada. Đây là loại mã độc được phát tán bởi một mạng lưới máy tính ma có tên gọi Andromeda.
Loại mã độc này sẽ theo dõi bộ nhớ của các máy bán hàng hỗ trợ thẻ (POS - Point of Sale) và sẽ lấy cắp tiền và thông tin thẻ mỗi khi người dùng sử dụng thẻ để thanh toán qua các máy POS bị lây nhiễm mã độc. Quá trình đánh cắp dữ liệu sẽ diễn ra khi thiết bị đọc thẻ trên máy POS thực hiện quá trình giao dịch giữa thẻ người dùng và ngân hàng.
GamaPoS được viết bằng .NET của Microsoft, đây là một điều khá bất thường với một loại mã độc tấn công vàn bộ nhớ RAM. Loại mã độc này được tích hợp 2 công cụ tấn công, bao gồm PsExec, được các hacker sử dụng để tấn công hãng bán lẻ Target vào năm ngoái và Mimikatz, công tụ tấn công có thể khai thác các lỗ hổng bảo mật của Windows.Trên thực tế việc hacker tấn công vào hệ thống thanh toán của máy POS đã tăng nhanh trong những năm gần đây, điều này đòi hỏi các tổ chức tài chính phải đảm bảo các thủ tục truy cập từ xa vào thiết bị của mình, khiến các hacker gặp khó khăn hơn khi tấn công vào máy POS.
Do vậy, nhóm hacker đứng đằng sau mã độc GamaPoS đã sử dụng một cách thức tiếp cận khác. Thay vì tấn công trực tiếp vào hệ thống của máy thanh toán POS từ Internet, loại mã độc này sẽ tấn công vào hệ thống mạng nội bộ của các công ty, nơi được trang bị hệ thống máy POS.
Ban đầu các hacker sẽ gửi các thư rác, các email giả mạo, bao gồm các tài liệu về tiêu chuẩn an toàn dữ liệu thanh toán thẻ hoặc giả mạo các bản cập nhật cho hệ thống dịch vụ khách hàng... từ bộ phần mềm Oracle Micros POS.
Những tài liệu này có chứa các macro gây hại, với những đoạn mã tự động thực thi, sẽ cài đặt một cửa hậu (backdoor) trên máy tính một khi các file tài liệu bị người dùng vô tình kích hoạt. Các máy tính bị lây nhiễm sẽ trở thành một phần của mạng máy tính ma Andromeda, đã được phát hiện từ năm 2011 và ngày càng có xu hướng mở rộng tại Mỹ trong năm nay.
Các hacker sau đó sử dụng backdoor Andromeda để cài đặt mã độc GamaPoS trên các hệ thống bán hàng có kết nối với máy POS. Như vậy mục tiêu của hacker khi tấn công vào máy POS đã thành công theo cách trung gian, thay vì tấn công trực tiếp như trước đây.
Hacker thậm chí còn sử dụng cửa hậu này để tải những công cụ chuyên dụng mà sau đó có thể sử dụng để hack các hệ thống khác từ mạng lưới của các tổ chức đã bị nhiễm mã độc.
Trend Micro cho biết mình phát hiện thấy GamaPoS đã bị lây nhiễm tại nhiều tổ chức ở các lĩnh vực khác nhau, bao gồm các công ty kinh doanh và chăm sóc vật nuổi, nhà hát, kinh doanh nội thất, chăm sóc sức khỏe tại nhà, bán lẻ trực tuyến và kinh doanh hàng điện tử tiêu dùng...
“Những lĩnh vực kinh doanh sử dụng thẻ Visa, Discovery và Maestro (các loại thẻ tín dụng và thẻ ghi nợ) sẽ đối mặt với nguy cơ mất dữ liệu của người dùng khi bị lây nhiễm GamaPOS”, Trend Micro cho cảnh báo.
Hiện các chuyên gia bảo mật vẫn chưa tìm được ra một giải pháp hiệu quả nào để ngăn chặn tác dụng của loại mã độc GamaPOS này, tuy nhiên khuyến cáo các bộ phận IT tại các doanh nghiệp cần phải cập nhật hệ thống thường xuyên, sử dụng các bộ lọc spam hiệu quả để tránh mã độc phát tán trên email của tổ chức mình quản lý.
Theo Dân trí
Chỉnh sửa lần cuối bởi người điều hành: