Varnostni strokovnjaki vdrli v plačilne terminale

Trije najbolj razširjeni POS-terminalni na modrem planetu so polni varnostnih lukenj. Te lahko nepridipravi s pridom izkoristijo za krajo podatkov tako o kreditnih karticah kot PIN številkah. To so hekerji dokazali na varnostni konferenci Black Hat 2012.

Številni POS-terminalni širom sveta so luknjasti kot švicarski sir!

Pred kratkim so nas evropski strokovnjaki za varnost bankomatov opozorili na novo skimming napravo, ki je niti pozoren uporabnik bankomata ne more opaziti. Kot da to ni bilo dovolj, so hekerji na varnostni konferenci Black Hat 2012 še dokazali, da so trije najbolj razširjeni POS-terminali na modrem planetu polni varnostnih lukenj. Trenutno še ni znano, za katere POS-terminale gre, saj raziskovalci tega podatke niso želeli razkriti. S tem so proizvajalcem teh naprav dali dovolj časa, da odpravijo vse varnostne luknje, ki ogrožajo varnost njihovih uporabnikov.

Varnostni strokovnjaki so na konferenci Black Hat 2012 pokazali, kako lahko nepridipravi na sila enostaven način pridobijo dostop do različnih komponent POS-terminalov. To vključuje zaslon, tiskalnik potrdil, bralnik magnetnega zapisa in celo tipkovnice za PIN številko. Nepridipravi varnostne luknje POS-terminalov namreč lahko izkoristijo zgolj z uporabo namensko izdelane pametne kreditne kartice EMV (sistem Čip in PIN). Te kartice so dejansko obogatene s škodljivo programsko kodo, ki se aktivira v trenutku, ko trgovec kartico vstavi v bralnik ranljivega POS-terminala.

Nepridipravi vse podatke iz POS-terminala pridobijo na podoben način, le da vstavijo za to posebej izdelano pametno kreditno kartico EMV. Kriminalci lahko ranljivost POS-terminalov izkoristijo še za goljufanje trgovcev, da je bil njihov nakup odobren s strani banke (čeprav temu v resnici ni tako) ter za blokiranje plačila na način, da POS-terminal kupcu natisne veljavno potrdilo o plačilu. Nekatere plačilne terminale z na dotik občutljivimi zasloni je hekerjem uspelo celo »preleviti« v igralno konzolo. Nanje so namestili dirkaško igro in zaslon uporabili za igranje.

Vsi proizvajalci ranljivih POS-terminalov so bili o ranljivosti njihovih naprav že obveščeni. Eden od njih je začuda že pripravil varnostni popravek. Ta bo na terminale zašel šele čez nekaj mesecev, saj mora predhodno pridobiti ustrezne certifikate. Če bo šlo tako naprej, bo verjetno varneje, če bomo denar dvigovali na bankah in bomo storitve in blago plačevali kar z gotovino.