23.01.2021

Миллионы терминалов: платежные устройства оказались уязвимы перед хакерами

Исследователи кибербезопасности обнаружили критические уязвимости в мобильных терминалах — они позволяли злоумышленникам получить доступ к данным кредитных и дебетовых карт, с которых оплачивались покупки. Эксперты отмечают, что взломать терминал можно только при наличии физического доступа к нему, однако выявить его компрометацию без дополнительных средств защиты практически невозможно.

Миллионы мобильных POS-терминалов были подвержены опасным уязвимостям, которые позволяли мошенникам похищать средства с банковских карт, сообщает Forbes.

Как рассказали ИБ-специалисты Тимур Юнусов и Алексей Стенников на конференции Black Hat EU,

в миллионах платежных устройств Verifone и Ingenico, являющихся крупнейшими производителями на рынке, использовались пароли по умолчанию, позволявшие любому человеку, который находился рядом, попасть в сервисное меню терминала.

С помощью этого меню злоумышленник мог записать на устройство вредоносное ПО, которое перехватывает данные кредитных карт, когда ими оплачивают покупку.

Устройства обычно зашифровывают данные кредитных карт, но делают это в той же внутренней системе, которая уже контролируется вредоносной программой, что делает эту функцию бесполезной. Таким образом, мошенник получает всю необходимую информацию, чтобы начать списывать средства с карты.

Единственная сложность, с которой могут столкнуться злоумышленники, это получение доступа к терминалу. Для того, чтобы установить вредоносный софт, мошеннику требуется прямой доступ к устройству и достаточно длительный промежуток времени. По оценке исследователей, на это у хакера уйдет от пяти до десяти минут.

Также злоумышленник мог получить несанкционированный доступ к POS-терминалу при помощи взлома внутренней IT-системы магазина.

«В большинстве случаев POS-терминал принадлежит банку, а доступ к нему имеют арендаторы (сотрудники торговых организаций) или компании, осуществляющие техническое обслуживание. Используя обнаруженные уязвимости, недобросовестный сотрудник может воспользоваться физическим доступом к устройству для его модификации. По нашим оценкам, до 90% POS-терминалов, подверженных этим уязвимостям, продолжают работать в торговых организациях», — заявил один из исследователей Тимур Юнусов.

Представитель компании Verifone сообщил о том, что затронутые устройства были «устаревшими», и компания не знала об уязвимостях, используемых хакерами.

«Наши последние исправления и обновления программного обеспечения, доступные для всех клиентов, устраняют эти уязвимости. В настоящее время заказчики находятся на разных этапах внедрения этих исправлений», — добавил он.

Представитель Ingenico также подтвердил, что все уязвимости были выявлены, и компания сразу же предприняла надлежащие меры безопасности, включающие соответствующие исправления. Также он добавил, что компания внимательно следит за ситуацией, чтобы избежать повторения этой проблемы.

Директор по информационной безопасности компании Oberon Евгений Суханов в беседе с «Газетой.Ru» отметил, что обнаруженные уязвимости в сервисных меню двух крупнейших производителей POS-терминалов оплаты имеют довольно высокий уровень критичности.

«Они открывают широкие возможности для компрометации кредитных карт покупателей, особенно с учетом риска «инсайдерского» мошенничества», — сказал Суханов.

Эксперт пояснил, что взломать терминал через интернет не получится, однако после «инфицирования» устройства им можно управлять удаленно и получать копии кредитных и дебетовых карт, которые были на нем использованы.

«Без дополнительных средств защиты периметра магазина (такие решения встречаются не очень часто, особенно в сегменте розничного малого бизнеса) отследить скомпрометированный терминал не получится. Производители уже информированы о найденной уязвимости и в ближайшее время готовят обновление операционной системы терминалов для ее устранения. Учитывая широкий охват таких POS, для покупателей из России данные риски тоже актуальны», — заключил Суханов.