- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Warum POS-Systeme ein leichtes Opfer sind


RAM-Scraping ist eine bewährte Angriffsmethode, die in den letzten Jahren mit dem Ziel umfunktioniert wurde, Zahlungssysteme zu hacken
Ein POS-System ist einfach ein Windows-PC mit einigen angeschlossenen Geräten, wie zum Beispiel einem Belegdrucker, einem Barcode-Scanner und einer Kassenschublade

(16.12.15) - Cyberkriminelle arbeiten daran, in Zahlungssysteme von Hotels einzudringen und heimlich Informationen zu den Kreditkarten von ahnungslosen Gästen zu erbeuten. Ein großer bekannter Hotelkonzern ist das jüngste Opfer in einer Reihe von Hotels und Resorts, deren Systeme von Point-of-Sale (POS)-Malware kompromittiert wurden. Der Konzern hat nicht autorisierte Malware, die es auf Daten zu Zahlungskarten in einigen Kassenterminals abgesehen hatte, erkannt und Maßnahmen zur Beseitigung ergriffen. Dieser unberechtigte Eingriff hat Kartennummern, Sicherheitscodes und Namen der Inhaber freigegeben, die zwischen dem 18. November und 5. Dezember 2014 sowie zwischen dem 21. April und 27. Juli 2015 in Hotels übernachtet haben. Es waren sämtliche Personen betroffen, die etwas im Souvenirshop gekauft hatten oder in Cafés und Restaurants bezahlt hatten, die zu den Hotels oder zu Franchiseobjekten in den USA gehörten.

Es ist noch nicht bekannt, wie die Angreifer Zugang zum POS-System bekommen haben. Es gibt dafür jedoch eine Vielzahl von Methoden. Zum Beispiel kann es sein, dass sie mittels Brute-Force-Angriffen auf nachlässig geschützte Administrator-Anmeldeinformationen zugreifen konnten. Sobald sie heimlich den Zugang erlangt hatten, könnten die Angreifer RAM Scraping und Keylogging-Funktionen verwendet haben, um Daten zu sammeln und auszufiltern. Das ist vor allem deshalb möglich, weil die Daten des Karteninhabers bei der Verarbeitung im Kassenterminal nicht verschlüsselt werden. Dies ist eine bekannte Schwachstelle in Zahlungssicherheitsstandards.

"RAM-Scraping ist eine bewährte Angriffsmethode, die in den letzten Jahren mit dem Ziel umfunktioniert wurde, Zahlungssysteme zu hacken" so Bogdan Botezatu, Sicherheitsexperte bei Bitdefender. "Diese Malware hat sich zu einer komplexen und weitreichenden Malware-Familie entwickelt und enthält jetzt Social-Engineering-Dateinamen, Bot- und Netzwerkfunktionalitäten. Sie verfügt nun über verbesserte Datenfilterungskapazitäten und kann nach bestimmten Datenreihen suchen, die wie Kreditkartennummern aussehen. Diese unauffällig und innerhalb von Sekunden gestohlenen Informationen werden dann als Textdatei gespeichert".

Die Mehrheit der Eingriffe in PoS-Systeme treten in den USA auf, wo Magnetstreifen und das Durchziehen der Karte in einem Lesegerät mit anschließender Unterschrift noch weit verbreitet sind. Der Magnetstreifen der Kreditkarte hält die Mehrheit der kritischen Zahlungsdaten bereit und ist in drei Bereiche unterteilt.

Die Spuren 1 und 2, die in einem unverschlüsselten Format gespeichert werden, sind die Angriffspunkte für Cyberkriminelle. Die Datendiebe versuchen mithilfe von Malware, diese unverschlüsselten Informationen zu stehlen. Damit lassen sich dann gefälschte Karten erstellen oder illegale Online-Käufe tätigen.

Das aktuelle Zahlungssystem erfordert nur die Unterschrift des Käufers, um einen Kauf zu authentifizieren. Chip-und-PIN-Karten wie in Europa sind mit einem eingebetteten Mikrochip versehen und verlangen die PIN-Nummer des Käufers. Das macht es für Cyber-Kriminelle schwieriger, sich den Kreditkartenbetrug zu Nutze zu machen. Deshalb sind Europäer bisher etwas sicherer unterwegs.

Nichtsdestotrotz scheint POS Malware ein wachsendes Problem zu sein
Die Nachrichten zum Hotel-Hack kamen nur vier Tage nachdem eine andere Hotelkette bekannt gab, dass Hacker Zahlungssysteme in einigen der Einrichtungen infiziert und möglicherweise Daten zu Kreditkarten von Kunden gestohlen wurden. Auch andere Hotels sind bereits Opfer geworden.

Außerdem sollte nicht unter den Tisch gekehrt werden, dass es im Jahr 2014 in der Einzelhandelsbranche die meisten Angriffe auf Identitätsdaten gab. Nachdem diese Art von Verbrechen schon als "die am schnellsten wachsende Straftat Amerikas" bezeichnet wird, unterschrieb Präsident Obama sogar eine Anordnung zur Stärkung der Sicherheit von Kredit-, Debit- und anderen Arten von Zahlungskarten.

"Es gibt zwar keinen Königsweg, um Datensicherheit zu gewährleisten - der Präsident unterzeichnet aber diese Anordnung, um verstärkte Sicherheitsmaßnahmen umzusetzen, einschließlich der Sicherung von Kredit-, Debit- und anderen Zahlungskarten mithilfe von Mikrochips anstatt der Magnetstreifen und PINs, die im Moment standardmäßig verwendet werden", so das Weiße Haus.

Wie POS-Systeme geschützt werden können
Glücklicherweise gibt es mehrere Methoden, um Kassenterminals zu schützen.

"Ein POS-System ist einfach ein Windows-PC mit einigen angeschlossenen Geräten, wie zum Beispiel einem Belegdrucker, einem Barcode-Scanner und einer Kassenschublade" so Bogdan Botezatu. "Somit kann das System natürlich mit einer Antivirus-Lösung für Windows geschützt werden".

Um die Angriffsgefahr zu senken und die Immunität gegen Eingriffe im Jahr 2016 zu mildern, müssen die Unternehmen ihre Erkennungsfunktionen regelmäßig überprüfen. Die folgenden Maßnahmen sind ebenfalls zu empfehlen:

>> Bewerten Sie regelmäßig die Risiken und Schwachstellen des Systems.
>> Halten Sie das Betriebssystem und alle Endpoint-Security-Programme auf dem neuesten Stand.
>> Sichern Sie POS-Geräte gegen Software- und Hardware-Manipulation.
>> Patchen Sie Schwachstellen so schnell wie möglich.
>> Verwenden Sie Intrusion-Detection-Software, um abnormales Verhalten im Netzwerk zu erkennen.
(Bitdefender: ra)

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Hybride aus Daten-Diebstahl und Ransomware

    SophosLabs und Sophos Managed Threat Response haben einen Bericht über eine neue Ransomware veröffentlicht, die eine bisher noch nicht bekannte Angriffsmethode verwendet: Die sogenannte Snatch-Ransomware geht mit variierenden Techniken vor und veranlasst unter anderem einen Neustart übernommener Computer im abgesicherten Modus, um verhaltensorientierte Schutzmaßnahmen, die speziell nach Ransomware-Aktivitäten wie das Verschlüsseln von Dateien Ausschau halten, zu umgehen. Sophos geht davon aus, dass Cyberkriminelle damit eine neue Angriffstechnik etabliert haben, um fortschrittliche Schutzmechanismen auszuhebeln. Neben der neuen Angriffstaktik belegt ein weiterer interessanter Fund, dass sich ein anderer Trend fortzusetzen scheint: Kriminelle filtern immer häufiger Daten heraus, bevor die eigentliche Ransomware-Attacke startet. Die entwendeten Daten könnten zu einem späteren Zeitpunkt für Erpressungen, auch in Zusammenhang mit der DSGVO, verwendet werden. Ähnliches Verhalten konnten die SophosLabs zum Beispiel bei Ransomware-Gruppen wie Bitpaymer feststellen.

  • Windows-Zero-Day-Exploit zur Rechteausweitung

    Kaspersky-Technologien haben eine Zero-Day-Schwachstelle im Windows-Betriebssystem gefunden. Der darauf basierende Exploit ermöglichte es Angreifern, höhere Privilegien auf dem attackierten Gerät zu erlangen und Schutzmechanismen im Google Chrome Browser zu umgehen - wie es in der WizardOpium-Kampagne geschah. Ein Patch wurde bereits veröffentlicht. Die neue Windows-Schwachstelle wurde von Kaspersky-Forschern aufgrund eines anderen Zero-Day-Exploits gefunden. Bereits im vergangenen November hatten die Exploit-Prevention-Technologien, die in den meisten Produkten des Unternehmens integriert sind, einen Zero-Day-Exploit in Google Chrome gefunden. Dieser Exploit ermöglichte es den Angreifern, beliebigen Code auf dem Computer des Opfers ausführen. Im Rahmen weiterer Untersuchungen dieser Kampagne, die die Experten WizardOpium tauften, wurde nun der Exploit im Windows-Betriebssystem gefunden.

  • Phishing ist ein langfristiges Problem

    Akamai Technologies hat den "State of the Internet"-Sicherheitsbericht 2019 "Phishing - Baiting the hook" veröffentlicht. Die Forschungsergebnisse zeigen, dass Cyberkriminelle unternehmensbasierte Entwicklungs- und Bereitstellungsstrategien wie Phishing-as-a-Service nutzen, um die größten Technologiekonzerne der Welt anzugreifen. Knapp 43 Prozent der beobachteten Domains zielten auf Microsoft, PayPal, DHL und Dropbox ab. Der Bericht legt offen, dass Phishing nicht mehr nur eine E-Mail-basierte Bedrohung ist, sondern auch Social Media und mobile Geräte umfasst. Es handelt sich um ein weitreichendes Problem, das alle Branchen betrifft. Da sich die Angriffsmethoden weiterentwickeln, entstehen neue Techniken, etwa für Attacken auf geschäftliche E?Mails (Business E?Mail Compromise, BEC). Laut dem FBI führten BEC-Angriffe zwischen Oktober 2013 und Mai 2018 zu weltweiten Verlusten von mehr als 12 Milliarden US-Dollar.

  • Ziel des Angriffs kann sogar geblacklisted werden

    Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency Response Team (ERT) von Radware eine zunehmende Anzahl von TCP-Reflection-Angriffen überwacht und verteidigt. Bei solchen Angriffen werden nicht nur die eigentlichen Ziele in Mitleidenschaft gezogen, sondern auch nichts ahnende Netzwerkbetreiber, deren Ressourcen benutzt werden, um die Attacke zu verstärken. Im Extremfall wird das Ziel des Angriffs als vermeintlicher Urheber der Attacke sogar von den einschlägigen Service-Anbietern auf deren Blacklists gesetzt. TCP-Reflection-Angriffe wie die SYN-ACK Reflection waren bis vor kurzem bei Angreifern weniger beliebt. Der Mangel an Popularität war hauptsächlich auf die falsche Annahme zurückzuführen, dass TCP-Reflection-Angriffe im Vergleich zu UDP-basierten Reflexionen nicht genügend Verstärkung erzeugen können. Im Allgemeinen haben TCP-Angriffe eine geringe Bandbreite und die Wahrscheinlichkeit ist geringer, dass eine Internetverbindung gesättigt wird. Stattdessen werden TCP-Angriffe genutzt, um durch hohe Paketraten (Packets Per Second - PPS) viele Ressourcen von Netzwerkgeräten zu binden und so Ausfälle zu provozieren.

  • Sicherheitsprognosen für 2020

    Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet. Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits in den vergangenen beiden Jahren konnte im Business-Umfeld ein Anstieg von Schwachstellen festgestellt werden und gerade in diesem Jahr wurde immer mehr Malware entwickelt, die sich auf Unternehmen konzentriert anstatt auf Verbraucher.