Dall’inizio dell’anno il numero di dispositivi POS compromessi da organizzazioni dedite al cybercrime ha subito un aumento a dir poco vertiginoso. Gli sviluppatori di malware si stanno infatti focalizzando sulla proliferazione e nel miglioramento di software maligno, malware appunto, scritto appositamente per i dispositivi Point-of-Sale (POS). A causa della poca attenzione verso le necessarie misure di sicurezza dei POS infatti, questi ultimi stanno diventando sempre più un obiettivo interessante per i criminali del 21esimo secolo.
Se infatti nel 2013 i malware di questo tipo si contavano sulle dita di una mano (BlackPOS, Alina, Dexter, JackPOS, Vskimmer), a settembre 2014 contiamo oltre 50 differenti varianti di malware per i terminali POS. Il più noto tra questi, BlackPOS, ha causato presso diverse catene di negozi negli USA dei furti massivi di carte di credito; numeri da brivido, come le informazioni relative ad oltre 40 milioni di carte di credito e debito trafugate dal terzo retailer statunitense, dopo che questo singolo malware ha contagiato oltre 1500 negozi appartenenti alla catena in questione. Anche la catena Neiman Marcus, Michaels Store è finita nel mirino dei cybercriminali e ben 110 milioni di carte sono state a rischio. Il malware BlackPOS era “embedded”, cioè inserito nei dispositivi POS presenti nelle casse all’uscita dei negozi, registrando numero di carta ed il famoso “Track 2” dalla banda magnetica, ovverosia il “codice di sicurezza”.
Tra le ultime “creature” troviamo invece la Nemanja Botnet, una recente nuova tipologia di POS malware che, dalla data della sua uscita, ha infettato oltre 1500 terminali POS, sistemi di contabilità ed altre piattaforme di back-office per il retail da catene in tutto il mondo. I ricercatori di IntelCrawler, società USA specializzata nel settore della cybercrime intelligence per il mondo bancario, hanno individuato 1478 host infetti in oltre 35 nazioni tra cui USA, Canada, Australia, Cina, Giappone, Israele ed Italia.
Lavoro con Andrew Komarov, amministratore delegato dell’azienda americana, per fronteggiare queste problematiche, informare tempestivamente e fornire il necessario aggiornamento formativo agli operatori del settore. Il problema è che oggigiorno qualunque attività commerciale utilizza terminali POS: ci preoccupano in particolar modo le piccole imprese ed i negozi di quartiere, non solo le grosse catene o la grande distribuzione, come succedeva invece sino a pochi mesi fa.
IntelCrawler è nota nel settore per essere stata la prima azienda a scoprire il malware BlackPOS e per avere iniziato da oltre un anno attività di ricerca e di contrasto a questo recente fenomeno criminoso. In Italia i servizi dell’azienda USA sono erogati in partnership con Security Brokers, di cui sono presidente, forte degli oltre vent’anni di esperienza nel settore della cybersecurity.
L’ultima scoperta è la botnet Nemanja, che sposta il classico approccio basato su botnet dai PC (il classico obiettivo del financial malware) ai terminali POS: Nemanja è stato scoperto a marzo ed include funzionalità di keylogging, oltre che ovviamente copia del numero di carta di credito e CVV ed invio dei dati trafugati ad un sistema di “Command & Control”, ovviamente anonimo, dal quale successivamente scaricano i dati illecitamente acquisiti.
IntelCrawler nel breve e medio futuro verrà integrato con i RAT (Remote Access Trojans) e con i troiani “classici”, agendo come un semplice modulo del malware stesso, così da poter essere utilizzato insieme ad altri moduli e funzionalità, quali keylogger ed intercettazione dei dati in transito sulla rete dell’obiettivo”. Gli esperti dell’azienda americana prevedono, come naturale conseguenza, un aumento significativo del numero di violazioni ai dati dei POS (quindi, le carte di credito che vengono “lette” quotidianamente da questi terminali).
I sistemi POS sono componenti critiche in ogni ambiente legato alla rivendita di servizi e prodotti e gli utenti, esercenti e titolari di carte di credito e debito, non sono sufficientemente informati sui rischi emergenti e sui nuovi scenari di frodi finanziarie; per contrastare questi fenomeni criminosi gli esperti di cybersecurity stanno analizzando le architetture, le superfici di attacco ed i meccanismi di difesa ad oggi esistenti, inclusi quegli “errori tipici” – anche nel nostro Paese – quali la gestione remota dei terminali POS (pensiamo anche alle biglietterie automatiche, ed ai nuovi vPOS ed mPOS, i POS virtuali e mobile, l’ultima novità in questo campo) tramite software e protocolli non sufficientemente sicuri.
In ultimo, gli attuali sistemi di Mobile POS ne fanno prevedere un loro probabile abuso per il riciclaggio di denaro rubato elettronicamente: ma questa è tutta un’altra storia….