隨著網(wǎng)絡(luò)安全威脅的不斷擴散，POS機、ATM機等支付終端設(shè)備正在成為日益凸顯的被攻擊對象。近日，美國第二大家居建材用品零售商家得寶(Home Depot)遭遇POS機攻擊，影響了全美國大約2200家門店，受影響的客戶數(shù)以百萬計，被盜的信息包含用戶信用卡號碼、郵政編碼等重要隱私數(shù)據(jù)，這些被盜信息已經(jīng)被黑客放在一家網(wǎng)站上出售。去年年底，當(dāng)時美國第二大零售商塔吉特(Target)公司因被黑客入侵，造成了至少1.1億用戶的個人信息泄露。時隔不久，北美著名中餐餐飲連鎖企業(yè)P.F. Chang’s也發(fā)表聲明稱確認大量用戶數(shù)據(jù)已經(jīng)泄露。由于此類攻擊事件越來越多，趨勢科技提醒相關(guān)企業(yè)務(wù)必重視支付終端設(shè)備的安全防護。

有跡象顯示，家得寶此次遭受的攻擊與針對Target 和P.F. Chang’s遭受的攻擊類似，很可能是來自烏克蘭、俄羅斯的同一黑客所為，黑客采用了名為BlackPOS的惡意軟件發(fā)動攻擊，該惡意軟件已經(jīng)被趨勢科技監(jiān)測為“TSPY_MEMLOG.A”惡意程序。早在2012年，BlackPOS的源代碼就已經(jīng)被泄露，使得其它網(wǎng)絡(luò)犯罪分子可以通過特定的渠道獲取源代碼，并加以改進，以更高效的執(zhí)行攻擊任務(wù)。在侵入目標(biāo)系統(tǒng)之后，“TSPY_MEMLOG.A”會偽裝成一個已安裝的殺毒軟件廠商的軟件服務(wù)，以避免被檢測到。

“TSPY_MEMLOG.A”的另一個新特點是，它會調(diào)用“CreateToolhelp32Snapshot ”API來列出并遍歷所有正在運行的進程。不同于利用了“EnumProcesses” API的變種，“TSPY_MEMLOG.A”通常使用正則表達式來搜索支付卡的內(nèi)容，這也被稱為“跟蹤數(shù)據(jù)”。惡意程序搜索的數(shù)據(jù)會被傳送到一個特定的網(wǎng)絡(luò)位置上，然后會被上傳到由攻擊者控制的FTP服務(wù)器。

趨勢科技(中國區(qū))資深產(chǎn)品經(jīng)理蔣世琪表示：“此類專門針對POS、ATM機等終端設(shè)備的惡意軟件，通常通過內(nèi)網(wǎng)的惡意鏈接或者黑客直接攻擊系統(tǒng)而且被植入終端設(shè)備中，在用戶發(fā)現(xiàn)信息被竊取之前，都會靜靜地駐留在終端中以竊取數(shù)據(jù)，這增加了防范的難度。而隨著電子支付的日益流行，針對POS機、ATM機等支付終端設(shè)備的攻擊也在不斷增多。”

由于黑客可以通過多種途徑來入侵支付終端設(shè)備，因此趨勢科技建議銀行、零售商等企業(yè)實施多層次安全解決方案，以確保他們的網(wǎng)絡(luò)不受現(xiàn)有系統(tǒng)、應(yīng)用的漏洞所影響。此外，犯罪分子還會利用已知的內(nèi)部應(yīng)用程序來隱藏他們的蹤跡，因此企業(yè)還要檢查系統(tǒng)組件是否已經(jīng)被修改。IT管理員還可以通過惡意程序的入侵跡象與行為，來確定他們的網(wǎng)絡(luò)是否被BlackPOS所侵入。

要掌控惡意軟件的入侵跡象，用戶可以部署趨勢科技威脅發(fā)現(xiàn)設(shè)備TDA，趨勢科技TDA 提供了完整的攻擊分析，從“偵測 - 分析 – 加固 - 響應(yīng)”四個階段進行攻擊生命周期研究及提供解決信息，可強化現(xiàn)有的信息安全防護措施并與其整合，形成一套完整且針對客戶環(huán)境量身定制的個性化防御方案，讓企業(yè)在符合成本效益的情況下保護其信息、通訊與數(shù)字資產(chǎn)。