セキュリティ研究者のAlekseiStennikovとTimurYunusovは、最近、POSの最大のメーカー2社の脆弱性を発掘しました。 (PoS) デバイス–VerifoneおよびIngenico.
ブラックハットヨーロッパ中に提示された脆弱性 2020 サイバー犯罪者がクレジットカードデータを盗むことを可能にした可能性があります, クローン端末, 他の形態の金融詐欺を実行します. 購入者と小売業者の両方が影響を受ける可能性があります. すなわち, 影響を受けるデバイスには、VerifoneVX520が含まれます, ベリフォンMXシリーズ, とインジェニコテリウム 2 シリーズ.
脆弱性はベンダーに開示されました, パッチが利用可能になりました. でも, すべての関係者がパッチを適用するまでに時間がかかる場合があります.
VerifoneおよびIngenicoPoSの脆弱性の説明
2つのメーカーのPoSデバイスの欠陥の1つは、デフォルトのパスワードの使用を許可していました, ハッカーにサービスメニューへのアクセスを提供する可能性があります. 取得したら, このアクセスにより、マシンを操作できるようになる可能性があります’ 悪意のあるコマンドを実行するコード. いくつかの脆弱性は少なくとも10年間存在しています, と他の人のために 20 年. 古い欠陥は、ほとんどが使用されなくなったレガシー要素にあります.
ハッカーはPoSのバグをどのように悪用できますか? 1つの方法は、脆弱なPoS端末に物理的にアクセスすることです。. これが不可能な場合, インターネット経由でリモートアクセスできます. どちらにしても, ハッカーは任意のコード実行を実行することを目的としています, バッファオーバーフロー攻撃, および特権の昇格と管理者制御を保証するその他の悪意のある手法. 最終目的, もちろん, 財務データを盗むことです.
ネットワークへのリモートアクセスを取得するにはどうすればよいですか? ネットワークとPoSデバイスへのゲートを開くフィッシングまたは別のタイプの攻撃を介して. PoSデバイスはコンピューターです, そしてそれらがネットワークとインターネットに接続されているかどうか, サイバー犯罪者は、通常のコンピューター攻撃と同じようにアクセスを試みることができます. 攻撃者は暗号化されていないカードデータにアクセスすることもできます, Track2とPINの詳細を含む, 支払いカードを盗んで複製するのに役立つ可能性があります.
セキュリティ上の理由から, 小売業者はPoSデバイスを別のネットワークに保持することを強くお勧めします. 攻撃者がWindowsシステムを介してネットワークにアクセスした場合, 彼らがPoS端末に到達するのは難しいでしょう.
VerifoneとIngenicoの両方が、脆弱性に関する知識を確認しています. 攻撃を防ぐためのパッチはすでにリリースされています. 野生で悪用されている欠陥についての情報はありません. 詳細については、 研究者’ 報告.
の 2018, ポジティブテクノロジーズの研究者は報告しました mPoSの脆弱性 (モバイルPOS) ベンダーに影響を与えるデバイスSquare, SumUp, iZettle, とPayPal. 発見はブラックハット会議でも発表されました. 攻撃者はクレジットカードに請求される金額を変更する可能性があります, または顧客に他の支払い方法を使用するように強制する, 磁気ストライプのように.