Los sistemas de Punto de Venta (PoS) que pertenecen a al menos dos comerciantes de estaciones de servicio de América del Norte y una cadena de hospitalidad han sido atacados en los últimos meses por lo que Visa describió esta semana como grupos sofisticados de delitos informáticos que buscan recolectar datos de tarjetas de pago.
A diferencia de las operaciones de robo de tarjetas donde los delincuentes conectan skimmers ocultos a los lectores de tarjetas en las bombas de fuel y otros sistemas PoS, los últimos ataques han implicado el uso de malware en los sistemas de backend que los comerciantes usan para procesar transacciones de tarjetas. Como resultado, los ataques fueron mucho más sofisticados, dijo Visa en una alerta.
«Es importante tener en cuenta que este vector de ataque difiere significativamente del desnatado en las bombas de flamable, ya que la orientación de los sistemas POS requiere que los actores de la amenaza accedan a la red interna del comerciante, y requiere más destreza técnica que los ataques de desnatado», dijo la alerta de Visa.
La división de fraude de pagos de Visa ha identificado al menos tres ataques separados dirigidos a sistemas PoS desde agosto. Dos de ellos parecen haber sido llevados a cabo por FIN8, un grupo de amenazas que anteriormente se había asociado con numerosos ataques en sistemas PoS.
En uno de los ataques que Visa identificó este verano, la violación comenzó cuando un empleado de una de las cadenas de estaciones de servicio que fue golpeado, hizo clic en un enlace en un correo electrónico de phishing y descargó accidentalmente un troyano de acceso remoto. Los atacantes utilizaron el troyano para realizar un reconocimiento en la red violada y, finalmente, para moverse lateralmente al entorno PoS del comerciante donde desplegaron un raspador de memoria RAM para recolectar datos de la tarjeta de pago.
El modus operandi también fue very similar en el segundo incidente, pero los investigadores hasta ahora no han podido determinar cómo los atacantes obtuvieron acceso inicial a la crimson del comerciante, Visa dijo. En el segundo incidente, el comerciante objetivo de la estación de servicio aceptó transacciones con chips y pagos con banda magnética para pagos en la tienda y solo pagos con banda magnética en las bombas de fuel. El análisis de Visa muestra que los atacantes atacaron específicamente los datos de la banda magnética, dijo la compañía.
La alerta de Visa no mencionó cómo los atacantes obtuvieron acceso inicial a la purple de la compañía de hospitalidad, aunque también en ese caso, los atacantes atacaron el sistema PoS.
Grupos sofisticados de ciberdelincuencia
La telemetría de los dos últimos incidentes sugirió que FIN8 estaba involucrado, dijo Visa. El servidor de comando y regulate utilizado en el ataque contra el segundo comerciante y el archivo utilizado para almacenar datos de tarjetas de pago robadas, por ejemplo, se han vinculado previamente a FIN8. Del mismo modo, el malware que se utilizó en el ataque de la cadena hotelera también es algo que FIN8 ha utilizado en el pasado.
La alerta de Visa no identificó al grupo de cibercrimen detrás del primer ataque. Pero en el pasado tiene prevenido sobre un grupo llamado FIN6 que compromete múltiples entornos PoS a través de una herramienta de malware llamada Trinity POS o FrameworkPOS.
Los ataques de robo de tarjetas contra las cadenas de estaciones de servicio en unique están aumentando porque muchos aún no han implementado el estándar de tarjeta inteligente EMV para las transacciones de pago, dijo Visa. Las tarjetas con chip ofrecen una protección significativamente mejor contra el robo y la clonación de datos de tarjetas, en comparación con las tarjetas que usan bandas magnéticas para almacenar información de la cuenta y del titular de la tarjeta.
Visa, MasterCard, American Convey y otras compañías de tarjetas han requerido por algún tiempo que todas las organizaciones que aceptan transacciones con tarjetas de pago se pasen a la tecnología de tarjetas con chip EMV. La migración ha estado ocurriendo de manera gradual en todos los sectores industriales durante varios años. Los comerciantes de combustible tienen hasta octubre de 2020 para permitir la aceptación de chips en las bombas de combustible. Después de esa fecha, la responsabilidad por las infracciones pasará a los comerciantes que experimenten la infracción.
Visa y las otras asociaciones importantes de tarjetas de crédito también han recomendado el uso de cifrado punto a punto, tokenización y otras medidas para proteger los datos de la tarjeta. Algunas de estas medidas son requisitos obligatorios según el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
A pesar de tales medidas, la infraestructura de tarjetas de pago de EE. UU. Se ha rezagado considerablemente respecto de otros países que hace mucho tiempo se trasladaron a la tecnología de Chip y PIN. El uso continuo de bandas magnéticas ha hecho que el entorno de pagos de EE. UU. Sea un objetivo atractivo para los delincuentes en los últimos años.
«Los chips EMV se crearon para que sea costoso fabricar tarjetas falsificadas o robar dinero manipulando una tarjeta o una transacción», dice el investigador de amenazas de seguridad de Craig Youthful en Tripwire.
Las tarjetas habilitadas con chip y PIN proporcionan defensas más fuertes contra el mal uso cuando se pierden o son robadas, aunque cualquiera de las implementaciones elimina las amenazas de raspado de RAM descritas en la alerta de Visa, dice. «La eliminación de las bandas magnéticas obligaría a los adversarios a ajustar su oficio», pero no eliminaría por completo la amenaza, dice.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más suggestions
