Lunedì, 30 Marzo 2015 12:48

PoSeidon, la nuova frode per le carte di credito

Una volta era il dio del mare, oggi con lo stesso nome chiamano anche una specie di virus informatico che si impossessa delle "chiavi" per accedere indebitamente alle carte di credito. Diamo un'occhiata ai dettagli tecnici, quantomeno per imparare a difendersi ed evitare di venir truffati.

Coloro che si occupano di "smascherarlo" lo hanno chiamato "PoSeidon". Solo che non ha nulla a che fare con la divinità delle profondità marine, ma parliamo di un virus informatico che attacca i "PoS", le macchinette per i pagamenti con carta di credito o bancomat nei vari esercizi commerciali.

I ricercatori del team di Cisco hanno battezzato così l'ultimo malware realizzato appositamente per attaccare i "Point of Sale", i PoS appunto, degli esercizi commerciali con una tecnica nota come "memory scraping": il software malevolo analizza la memoria RAM dei terminali infetti e quindi, attraverso la lettura delle stringhe conservate in chiaro con i dati delle carte di pagamento appena "strisciate", si impossessa indebitamente dei relativi codici.

Ancora più in dettaglio, il virus per scardinare le barriere difensive delle macchinette PoS adopera un keylogger, ossia un programma (detto anche loader) che carica il virus accanto ad un "lettore di memoria" (detto memory scraper) che invece si impossessa della memoria del PoS contenete i codici.

E quindi, il primo passo è il furto delle credenziali di accesso, al fine di entrare da remoto all'interno del sistema PoS. Infatti, la procedura finge di cancellare dal registro di sistema le password criptate insieme ai profili degli utenti - come dovrebbe normalmente avvenire alla fine dell'acquisto -  ma facendolo con carta inserita e cliente ancora "non servito" obbliga quest'ultimo a digitare nuovamente i codici per memorizzarli separatamente. Ecco che, una volta inseritisi i codici nell'apparecchio, il virus carica in modo permanente il file loader - che si prodiga di mettere in contatto il PoS con un server esterno - ed il memory scraper - che copia la memoria RAM del PoS, andando a leggere le sole sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3, ossia i codici che identificano le diverse tipologie di circuiti di carte (VISA, Mastercard, American Express e via dicendo).

In finale, dopo aver verificato che i codici acquisiti dal memory scraper siano corrispondenti a codici validi di carte di credito, il virus comunica direttamente con un server esterno, assolutamente illecito, che archivia tali preziosissimi dati per "usi futuri". Ed è proprio questa fase rende PoSeidon pericolosissimo: invece di mettere in pratica il furto dei dati ed applicarlo subito per acquisti indebiti dallo stesso esercizio commerciale - cosa che permetterebbe un riconoscimento facile dell'acquisto illegittimo e soprattutto del terminale infetto - questo virus va ad alimentare in modo indipendente un apposito database per utilizzi assolutamente scorrelati, nel tempo e nel luogo, dall'infezione al terminale PoS.

Un esempio per capirci: oggi strisciate la carta alla IperCOOP di Roma, e senza che nessuno se ne accorga il vostro nome, numero e codice della carta viene memorizzato in un server illecito gestito dai furfanti. I quali, magari dopo giorni, lo useranno per acquisti a vostro titolo su mercati assolutamente diversi dall'IperCOOP.

Addirittura, spesso i codici rubati vengono rivenduti sul mercato "underground" di tutto il mondo ed essere impiegati per clonare carte di pagamento o creare false identità digitali. Ancora, il controllo da remoto da parte dei malintenzionati consente a questi di operare al di fuori dei confini del Paese in cui attaccano, rendendo di fatto impossibile un loro riconoscimento ed una loro associazione con il PoS infetto.

Volete sapere qual'è il punto debole della rete PoS su cui si insinua il virus? Ebbene, è la negligenza dei gestori di negozi e punti vendita nell'implementare le misure minime di sicurezza: circa il 90% dei lettori di schede hanno password di default e codici di autenticazione che richiamano le marche o i modelli degli stessi apparati. Tutto ciò rende lo scenario degli attacchi ai sistemi PoS altamente redditizio e poco rischioso: non sorprende l'insistenza con cui i delinquenti continuano ad impegnarsi nello sviluppo di nuove specifiche famiglie di malware.

 

FONTE: http://www.ilfattoquotidiano.it

Letto 584 volte