О вирусах в настольных компьютерах и мобильных устройствах знают все. Многие даже знают, как от них защититься. Но вредоносные программы могут таиться там, где их не ждут, например в кассовых аппаратах магазина. Портал Банки.ру разбирался, чем опасны зараженные POS-терминалы и как защититься от этой угрозы.

В октябре этого года компания Group-IB опубликовала свой ежегодный отчет о тенденциях развития киберпреступлений. В нем особое внимание уделено сегменту атак на POS-терминалы, который, по данным авторов исследования, развивается очень быстрыми темпами. Как считают аналитики Group-IB, атаки на терминалы проводятся двумя методами: с помощью заражения троянцами и путем подмены POS-терминалов.

Кассовые аппараты бывают разные: от самых простых (автономных контрольно-кассовых машин) до современных POS-терминалов, которые обладают наиболее широкими возможностями. Но широкие возможности, как это часто бывает, сопровождаются уязвимостью перед угрозами.

Долгое время специалисты недооценивали угрозу заражения POS-терминалов. Однако взлом сети крупнейшего американского ретейлера Target, обнаруженный в декабре 2013 года, все изменил. Как оказалось, в POS-терминалах магазинов Target около трех недель «паслась» вредоносная программа, выкрадывающая данные карт, которыми расплачивались клиенты. По признанию компании, всего за этот срок было скомпрометировано 40 млн карт. 

Следующий скандал разразился в сентябре 2014 года. Американская торговая сеть Home Depot распространила заявление, что POS-терминалы компании были заражены специализированным троянцем на протяжении четырех месяцев. В этот раз в подпольные кардерские магазины утекли данные 56 млн карт. И это было лишь началом грандиозной киберграбительской кампании KAPTOXA, в ходе которой, по оценкам экспертов, были украдены данные карт едва ли не каждого жителя США.

Афера с подменными терминалами начинается с подготовки специальной микропрограммы (прошивки) для POS-терминала популярной модели. Подготовленный терминал продается кардеру, который устраивается на должность кассира в магазин, использующий такие же аппараты. Стоит терминал с «хитрой» прошивкой достаточно недорого, порядка 15–20 тыс. рублей, что по карману даже начинающему кардеру.

Злоумышленник меняет терминал на очень похожий свой и спокойно работает: принимает деньги и карты, сдает кассу... На вид – никакого криминала. При этом его POS-терминал не просто транслирует данные карты при оплате, но и бережно сохраняет все данные карт клиентов, необходимые для изготовления копии: дамп содержимого магнитной полосы и ПИН-код. Собранные данные злоумышленник извлекает из устройства с помощью своего же рабочего компьютера и отправляет в кардерский магазин, на продажу.

Второй способ – кража данных посредством троянской программы – более затратен, зато безопаснее (кардерам нет необходимости «светиться») и несравнимо эффективнее. Схема основана на том, что POS-терминалам необходим доступ к Интернету для связи с банком. Чтобы провернуть эту операцию, нужно три инструмента: сканер портов (для обнаружения уязвимых POS-терминалов), набор эксплойтов, позволяющий заражать компьютеры через Интернет, и собственно POS-троянец. Стоимость этого комплекта уже выше и составляет несколько тысяч долларов. Но эти затраты окупаются с лихвой.

Есть и более бюджетный вариант хакерского набора – можно исключить из него недешевый набор эксплойтов, а заражение производить вручную, отправляя на электронные адреса торговых организаций вредоносный спам, содержащий троянец-загрузчик. Троянец, проникнув в сеть атакуемой организации, найдет POS-терминалы и «поселит» там POS-троянца.

Разумеется, POS-терминал шифрует платежные данные, включая ПИН-код, перед отправкой в банк. Однако чтобы что-то зашифровать, надо сначала это что-то загрузить в память. POS-троянец, работающий в фоновом режиме, постоянно сканирует память компьютера. Обнаружив готовые к шифрованию платежные данные, он сохраняет их в отдельной области памяти или на жестком диске компьютера. А затем передает на сервер злоумышленника в форме запроса HTTP POST или даже просто по электронной почте.

Оба этих метода кражи данных карт заканчиваются продажей украденных дампов и ПИН-кодов через кардерский интернет-магазин. Покупатель, расположенный практически всегда в другой стране, записывает приобретенные данные на белый пластик (чистые карты с магнитной полосой) и снимает деньги через банкомат.

Такая схема, заметим, может работать лишь для карт, не оснащенных EMV-чипом, причем не только потому, что кардеры не умеют копировать чипы. При выполнении оплаты с помощью чипа все платежные данные шифруются непосредственно в чипе и в POS-терминал попадают уже зашифрованными. Красть такие данные бесполезно: ни троянец, ни самый хитрый подложный терминал ничем кардеру не поможет.

Именно поэтому в России, где большинство карт оснащены чипом, это явление не носит массового характера, до США нам в этом отношении далеко. Однако и у нас такие инциденты исчисляются сотнями. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов рассказал порталу Банки.ру, что «за 2015 год на территории России было зафиксировано 440 попыток заражения вредоносными программами, нацеленными на кражу данных с POS-терминалов. Всего в мире подобных попыток было 11 512. Эти цифры говорят о непопулярности данной атаки на территории России в связи с массовым распространением карт с EMV-чипами, против которых такие программы бессильны».