Attacco ai POS: le difese

i POS realizzati da due dei maggiori produttori del settore, Verifone e Ingenico, circa due milioni, contenevano vulnerabilità e falle in tema di sicurezza, tali da rendere “semplice” il furto dei dati delle carte di credito in seguito ad un attacco hacker.

È quanto rilevato dagli esperti di cyber security Timur Yunosov e Aleksei Stennikov e comunicato al convegno Black Hat Europe 2020.

Uno scenario di rischio davvero allarmante, se consideriamo che con l’avvento del sistema contactless e l’incentivazione dei pagamenti digitali (ad esempio con l’iniziativa del cashback introdotta dal Governo) a fronte dell’emergenza pandemica COVID-19, il pagamento virtuale con carta sta diventando un gesto sempre più comune.

A causa della nuova vulnerabilità da poco resa pubblica, i pratici POS, dispositivi destinati al riconoscimento delle principali carte di pagamento e all’inserimento del PIN, sono quindi più a rischio di attacco criminal hacker di quanto si possa immaginare.

Sono già disponibili gli aggiornamenti per coprire le falle, ma ovviamente i POS restano al rischio finché gli utilizzatori non installano suddetti aggiornamenti.

Due milioni di POS a rischio attacco

La prima mancanza di tali terminali per il pagamento digitale risiede nella scelta di password predefinite, circostanza che permette a chiunque abbia accesso fisico al POS di poter arrivare al menu per il settaggio delle impostazioni.

All’interno di questi menu si possono trovare funzionalità che potevano essere abusate per inserire malware sui terminali di pagamento. Questi programmi possono, fra le altre cose, registrare e trasmettere dati sensibili relativi alle carte di pagamento utilizzate su quel POS.

Anche se i terminali di pagamento coprono con crittografia i dati delle carte di credito, tale codice era presente all’interno dello stesso dispositivo su cui era installato il malware. Tale dettaglio rende la cifratura protettiva del tutto inutile. Un criminal hacker avrebbe così tutte le informazioni necessarie per clonare le carte di credito e iniziare a rubare soldi alle persone senza che nessuno sospetti nulla.

L’attacco hacker ai POS

Il primo e fondamentale ostacolo alla buona riuscita di un attacco hacker ai POS sta nella disponibilità materiale del terminale per il tempo sufficiente a scaricare il malware. Servirebbero dai cinque ai dieci minuti per connettersi ai dispositivi via USB e installare lo sniffer di bancomat.

Ma i criminal hacker avrebbero potuto capitalizzare la presenza di un’ulteriore vulnerabilità attraverso la rete interna: se un attaccante avesse trovato un modo per entrare nei sistemi informatici di un negozio, avrebbe potuto installare i malware sui terminali per iniziare a rubare le informazioni delle carte di credito.

Fortunatamente, tali falle nei sistemi di sicurezza dei POS sono state comunicate alle aziende in tempo utile e sono state risolte. Infatti, già due anni fa sono iniziati i primi colloqui fra esperti di cyber security e le due ditte produttrici dei terminali di pagamento (Verifone e Ingenico).

Da quanto rivelato dalle due compagnie, gli attacchi di questo tipo sarebbero stati pochi e di scarso valore, stante la necessità di avere accesso fisico al POS, con pianificazione e ricerca preliminare dei terminali “papabili” per poterli colpire.

Anche se tali problematiche in tema di sicurezza potrebbero non essere note ai più, gli attacchi che hanno come obiettivo i POS non sono affatto nuovi.

Ad esempio, il malware Alina è attivo già dal 2012, creato col preciso scopo di estrarre i dati delle carte di pagamento e decifrare i codici. E la lista prosegue con il caso di GlitchPOS, un malware capace di estrarre i dati che più interessano alle organizzazioni criminali, ovvero numero di carta di credito e PIN, attraverso un software denominato tecnicamente “memory grabber”.

Lo scorso mese, novembre 2020, ha visto invece salire agli onori delle cronache il malware ModPipe. Questo programma rivolto precisamente verso i terminali di pagamento di strutture ricettive quali bar, ristoranti e hotel. Anche se attualmente non pare essere in grado di estrarre e decifrare i dati sensibili delle carte di pagamento, secondo Martin Smolàr, l’esperto di cyber security che ha ricostruito la struttura del malware, non è da escludere che possa farlo in futuro.

Le rassicurazioni dei produttori di POS

Citando le parole di Verifone: “La società di sicurezza ha certificato che le nostre ultime patch e gli aggiornamenti software, disponibili per tutti i clienti, pongono rimedio a queste vulnerabilità. I clienti sono attualmente in diverse fasi di implementazione di queste patch o aggiornamenti software”.

Diventa quindi importante per tutti gli utenti scaricare, o farsi scaricare, l’ultima versione disponibile per ridurre al minimo i rischi di sicurezza.

Per quanto riguarda la seconda azienda coinvolta, un portavoce di Ingenico ha dichiarato: “Sono state identificate diverse vulnerabilità che hanno un impatto sui terminali di pagamento Ingenico POS Telium 2. Sono state immediatamente sviluppate misure di sicurezza adeguate a implementare correzioni”.

“Ingenico non è stata messa a conoscenza di alcun accesso fraudolento ai dati di pagamento risultanti da queste vulnerabilità, già risolte al 100%. La società sta monitorando attentamente la situazione per evitare il ripetersi di questo problema”.

Con l’aumentare delle transazioni digitali, anche precedente alla COVID-19, non sorprende che ci sia un’attenzione – giustamente – più alta attorno a tutte le tecnologie abilitanti.

Se queste sono veramente destinate a diventare la struttura portante, l’attenzione da porre sugli aspetti di sicurezza non deve essere sottovalutata. Informarsi e pretendere gli aggiornamenti di sicurezza sui propri dispositivi di pagamento e non solo è indispensabile.

Occhi sempre aperti.

Related Posts