Krajobraz cyberzagrożeń w segmencie handlu detalicznego

Karta płatnicza i banknot. Co je upodabnia? Niewystarczająca siła zabezpieczeń.
Dane kart, są cennym aktywem i mogą być szybko spieniężone. Okresy wzmożonego ruchu (przedświąteczne zakupy), zachęcają atakujących do inwestowania w nowatorskie narzędzia.
Coraz więcej incydentów, generuje nagłówki w czasopismach branżowych oraz „dużych gazetach”. Pociąga to za sobą pytanie o bezpieczeństwo, zarówno kont pojedynczego użytkownika, jak i całych systemów płatniczych.
W zasadzie tylko niekorzystny bilans ekonomiczny, oraz konsekwencje prawne związane z wykryciem, powstrzymują hakerów od popełniania przestępstw. Niestety jest coraz więcej obszarów, które zostają skutecznie inwigilowane. Cyberprzestępcy słusznie zakładają, że korzystniej jest włamać się do serwera, w którym przechowywane są dane kart, niż do banku po gotówkę.
Jeśli właściciele sieci handlowych chcą, aby klienci nadal zaopatrywali się u nich w najrozmaitsze dobra, priorytetem powinna stać się właściwa ochrona transferu informacji klient-dostawca.

Mechanizm eksplorowania

Jak wiemy, w wyścigu zbrojeń ewoluują nie tylko technologie defensywne. Zgodnie z ostatnim raportem Verizon’a – 8% globalnych przypadków włamań, dotyczy sieci handlowych, a 35% szeroko rozumianego sektora finansowego.
FireEye odkrył, że najczęstszym wektorem ataków, może być: spear phishing, drive-be downloads, oraz SQL Injection. Atakujący wnika do dostawcy usług (np.: poczty,) tworząc tunel VPN, pomiędzy siecią dostawcy a siecią handlową. Hakuje kontroler domeny, który zapewnia autoryzację dla kas w punktach sprzedaży. Następnie malware, który zbiera dane kart, jest dystrybuowany do kas i przeszukuje aplikacje sprzedażowe, gromadząc informacje z paska magnetycznego karty.

Rady

  • zabezpiecz końcowe elementy zestawem: whitelisting+antywirus+antymalware
  • zapomnij o klasycznej detekcji opartej na sygnaturach i postaw na prewencję, wykorzystując technologię „ruchomego celu” (np.: MORPHISEC)
  • zadbaj o cykliczne, dwu-stopniowe (teoria+praktyka) szkolenia stażystów i pracowników
  • stosuj szyfrowanie asymetryczne „end-to-end”, które zaczyna się już od PIN-pada.
  • zainstaluj aktywny monitoring aktywności sieciowej
  • odseparuj system przechowywania danych z kart

„Skąpy, dwa razy traci”

Oprócz momentalnie odczuwalnych konsekwencji finansowych, nie możemy zapominać o tych ujawniających się po czasie, a mianowicie wizerunkowych. Pierwsze – choć dotkliwe – są policzalne, niestety drugie, zaskoczą Was niczym złodziej, i bezlitośnie ograbią z reputacji.