视频: Как создать счетчик? Два базовых метода | After Effects (十二月 2024)
虽然Target仍然对攻击者如何设法破坏其网络并徘徊在超过7000万购物者的信息上保持沉默,但我们现在知道攻击中使用了RAM抓取恶意软件。
目标首席执行官格雷格·斯坦哈菲尔(Gregg Steinhafel)在接受Google采访时说:“我们不了解发生的全部情况,但我们知道的是,我们的销售点寄存器中安装了恶意软件。我们已经建立了很多东西。” CNBC讨论了最近的违规行为。 该公司最初表示,假期期间在其零售店之一购物的4000万人的支付卡信息已受到影响。 Target上周表示,还有7000万人的个人信息也被盗,而且2013年全年进入商店的购物者都处于危险之中。
匿名人士在周末告诉路透社,攻击中使用的恶意软件是RAM抓取工具。 RAM抓取工具是一种特定类型的恶意软件,它针对存储在内存中的信息,而不是保存在硬盘驱动器上或通过网络传输的信息。 尽管这类恶意软件并不新鲜,但安全专家表示,使用这种技术对零售商的攻击数量最近有所增加。
攻击记忆
RAM抓取器在计算机内存中查找数据,以在处理数据时捕获敏感数据。 根据当前的支付卡行业数据安全标准(PCI-DSS)规则,所有支付信息在存储在PoS系统上以及传输到后端系统时都必须进行加密。 虽然攻击者仍然可以从硬盘驱动器上窃取数据,但是如果数据经过加密,他们将无法执行任何操作,而且数据在网络上传输时被加密的事实意味着攻击者无法嗅探流量以窃取任何东西。
这就是说,PoS软件正在处理信息的那一刻,攻击者只有很小的机会可以抓住数据。 该软件必须临时解密数据才能查看交易信息,而恶意软件会抓住这一时刻从内存中复制信息。
RAM抓取恶意软件的增加与零售商在加密敏感数据方面变得越来越好这一事实有关。 Zscaler安全研究副总裁迈克尔·萨顿(Michael Sutton)表示:“这是一场军备竞赛。我们提出了一个障碍,攻击者会进行调整并寻找其他方法来获取数据。”
只是另一种恶意软件
重要的是要记住,销售点终端本质上是计算机,尽管连接了读卡器和键盘等外围设备。 他们有一个操作系统并运行软件来处理销售交易。 它们连接到网络以将事务数据传输到后端系统。
就像任何其他计算机一样,PoS系统也可能感染恶意软件。 Sophos的高级安全顾问Chester Wisniewski说:“传统规则仍然适用。” 由于员工使用该计算机访问托管恶意软件的网站,或者不小心打开了电子邮件的恶意附件,因此PoS系统可能受到感染。 该恶意软件可能利用了计算机上未打补丁的软件,或者利用了导致计算机感染的许多方法中的任何一种。
维斯涅夫斯基说:“商店工作人员在销售点终端上享有的特权越少,被感染的可能性就越小。” 他说,处理付款的机器非常敏感,不应允许网上冲浪或安装未经授权的应用程序。
一旦计算机受到感染,恶意软件就会在内存中搜索特定类型的数据,在这种情况下,就是信用卡和借记卡号。 找到编号后,它将保存到一个文本文件中,该文件包含已收集的所有数据的列表。 在某个时候,恶意软件然后通常通过网络将文件发送到攻击者的计算机。
任何人都是目标
尽管零售商目前是内存解析恶意软件的目标,但Wisniewski表示,任何处理支付卡的组织都将很容易受到攻击。 他说,这类恶意软件最初用于酒店和教育领域。 Sophos将RAM刮板称为Trackr Trojan,其他供应商将其称为Alina,Dexter和Vskimmer。
实际上,RAM刮板不仅仅适用于PoS系统。 Sutton说,网络罪犯可以打包恶意软件,以在通常加密信息的任何情况下窃取数据。
Visa于去年4月和8月发布了两次安全警报,警告商人使用内存解析PoS恶意软件的攻击。 Visa在八月份表示:“自2013年1月以来,Visa看到涉及零售商家的网络入侵有所增加。”
目前尚不清楚恶意软件是如何进入目标网络的,但很明显有些失败。 萨顿说,该恶意软件不仅安装在一个PoS系统上,还安装在全国各地的许多计算机上,“没有人注意到”。 他补充说,即使该恶意软件对于防病毒软件来说太新了,无法检测到它,但它正在将数据从网络中传输出去这一事实也应该引起危险。
对于个人购物者,不使用信用卡实际上不是一种选择。 这就是为什么定期监视报表并跟踪其帐户上的所有交易很重要的原因。 萨顿说:“您必须用自己的数据来信任零售商,但也要保持警惕。”
