Il POS è al giorno d’oggi uno tra i metodi di pagamento più utilizzati.
Per questo ha attirato l’attenzione del criminali informatici già da tempo. Se anche nel 2020 abbiamo assistito ad una diminuzione significativa di questo genere di truffe, il ritorno alla normalità post Covid ha confermato che si trattava solo di un trend momentaneo dovuto al fatto che le transazioni nei negozi erano diminuite. Per fare un raffronto basti pensare che in tutto il 2020 ci sono stati all’incirca 5000 dispositivi infettati mentre nel 2022 un numero di poco inferiore è stato raggiunto in 8 mesi.

pos malware

Come funzione un attacco Point Of Sale?
Come mai i criminali informatici hanno scelto di prendere di mira questo metodo di pagamento?
E soprattutto, come riescono ad infettare i POS e con quali conseguenze per le vittime?

A tutte queste domande daremo risposta in questo articolo.

  1. Di che cosa stiamo parlando
  2. Un po’ di storia
  3. Veicoli per l’infezione
  4. Come funziona un malware Point-Of-Sale
  5. Tipi di malware
  6. Buone pratiche per proteggere il vostro negozio
  7. Difendersi da clienti
  8. Conclusioni

I virus che colpiscono i POS

Il POS è ideato per eseguire transazioni elettroniche, può calcolare gli importi e permettere la scelta tra diverse opzioni di pagamento e deve necessariamente essere connesso ad Internet per poter verificare i dati, le disponibilità e quindi autorizzare i pagamenti. Come ogni dispositivo ha un sistema operativo a bordo (normalmente si tratta di Windows o Unix).

Un malware del POS è un software malevolo scritto con l’intenzione di rubare informazioni personali di un cliente mentre utilizza un POS per fare degli acquisti in negozio. In particolare prende di mira i dati di pagamento, che vengono raccolti mentre il macchinario elabora la transazione e che sono poi riutilizzati dal malvivente per ottenere un guadagno.

Un po’ di storia sui virus informatici dei POS

Il primo malware dedicato alla strumentazione POS nasce nel 2008, si trattava di RawPOS.
RawPOS virus è un malware tecnicamente semplice ma che può mettere tutt’oggi sotto scacco i dispositivi per il pagamento elettronico nei punti vendita al dettaglio. Il 2014 è stato un anno davvero critico, tanto che gli operatori del settore lo hanno soprannominato “l’anno dei più grandi attacchi al dettaglio”.

Nel 2015 ci fu una variante che prese di mira casinò e resort in svariate parti del mondo, tra cui America Latina, Canada, Stati Uniti, Europa, Medio Oriente. Oggi ancora a distanza di molti anni, con la diffusione sempre più capillare di questi dispositivi non si fa che assistere ad un’espansione di questa minaccia, con malware sempre più numerosi e sempre più dispositivi infettati di anno in anno.

virus informatici del pos

Veicoli di infezioni dei POS malware

Ci sono diversi modi in cui un malintenzionato può installare il malware sul dispositivo POS, ovvero:

  • Accesso da remoto: Il malvivente può sfruttare delle vulnerabilità o utilizzare credenziali rubate
  • Phishing: Anche in questo caso le tecniche di ingegneria sociale possono fornire agli hacker una porta di accesso. Normalmente i link o file sono inviati con campagne mirate, e hanno nomi fuorvianti per confondere più facilmente la vittima.
  • Reti wireless non sicure
  • Pennette USB: E’ possibile che il malware venga trasferito a partire da una unità di archiviazione rimovibile che contiene l’eseguibile dannoso
  • Aggiornamenti software farlocchi

Come funziona un malware Point-Of-Sale

Gli attacchi Point of Sale sono condotti necessariamente in più fasi, l’aggressore infatti deve innanzitutto ottenere l’accesso al dispositivo, poi infettarlo, copiare i dati (che di norma viaggiano crittografati attraverso il POS) e poi trovare il modo di recuperare i dati rubati e utilizzarli per trarne profitto. Ecco come riescono a portare avanti tutti i passaggi.

Fase 1: Ottenere l’accesso al dispositivo

Ci sono diverse tattiche che possono essere efficaci. La scelta di una piuttosto che un’altra dipende dalla situazione e dal tipo di malware che l’hacker vuole utilizzare. In alcuni casi è sufficiente una e-mail, in altri vengono effettuate chiamate o addirittura visite in negozio da parte di sedicenti addetti al POS o dipendenti di banca che cercano di persuadere il commerciante ad installare il malware.

Un’altra possibilità è che il criminale si camuffi tra i dipendenti, in modo da familiarizzare con le impostazioni specifiche del dispositivo che vuole violare.

Un’ultima strada è che il criminale trovi delle vulnerabilità e riesca ad accedere ad dispositivo a partire dalla rete a cui esso è collegato.

Fase 2: installazione del malware

L’installazione può avvenire in diversi modi, o manualmente se il criminale riesce ad accedere fisicamente al macchinario, o da remoto, nel caso di accesso dalla rete. Infine è possibile che sia lo stesso detentore dello strumento a installare il malware magari convinto che si tratti di un aggiornamento legittimo oppure inconsciamente, magari facendo clic su un link dannoso da una e-mail di phishing. Il malware infatti è, di solito, altamente personalizzato, in modo da confondersi con i file legittimi gestiti dalla società.

Esistono diversi tipi di malware a seconda che vengano prese di mira le informazioni dei clienti o dei venditori, è anche possibile che venga installato un malware capace di carpire informazioni in entrambe le direzioni ma l’installazione di questi ultimi richiede necessariamente l’accesso fisico al POS e ha un hardware costoso.

Finita l’installazione le macchine infette si trovano connesse ad una Botnet di POS che le riporta ad un server centralizzato.

Fase 3: Lettura dei dati

La prima preoccupazione del software è quella di nascondersi nel sistema per complicare il più possibile i lavori di rimozione. Dopo di che si attiva ed inizia ad eseguire il compito per cui è stato creato: raccogliere dati finanziari dei clienti. Questo passaggio presenta delle difficoltà, infatti i dati sono letti dal POS e poi trasferiti come testo cifrato, e gli algoritmi di cifratura utilizzati sono ancora inviolati. L’unico momento propizio per carpire illegalmente le informazioni è quando esse vengono memorizzate nella RAM subito prima che il POS prosegua criptandole. Questo processo va sotto il nome di “Raschiamento della RAM”.

Il malware cerca di individuare i frammenti delle informazioni contenute nella banda magnetica delle carte di interesse, come il numero di carta e i pin. E’ anche possibile che venga collegato un lettore aggiuntivo al lettore di schede ufficiale.

Fase 4: Trasmissione dei dati raccolti

Il software malevolo riesce quindi a collezionare le informazioni in chiaro, le raccoglie in un file di testo e li invia ad un server esterno. Dal momento che i terminali raramente sono connessi alla rete esterna, questi dati vengono spediti in un server di provisioning che poi provvede a inviarli ad un altro server dove il criminale informatico può consultarli.

Tipi di malware

Gli specialisti del settore si riferiscono a questo tipo di attacco come ad uno di scanning di processo, perché esso esamina le transazioni attive collezionando i dati utili. Ci sono tre tipi diversi di malware POS e sono: Keylogger, dumper di memoria e sniffer di rete. Riportiamo qui alcuni nomi di alcuni dei POS malware noti, con qualche informazione interessante:

  • BlackPOS: Malware che ruba i dati delle carte di credito dai punti vendita e le trasmette a un server remoto. E’ stato utilizzato per un massiccio attacco nel 2013. Non permette la trasmissione di dati offline.
  • MalumPOS: Si nasconde come un driver video nel sistema infetto e poi ruba dalla sua RAM i dettagli delle transazioni
  • PoSeidon: scoperto nel 2014 per la prima volta, installa un Keylogger, ovvero ruba i pin a partire dalle sequenze dei tasti pigiati.
  • Dexter: Utilizza i dump di memoria delle transazioni, si basa su windows
  • HydraPOS e AbbandonPOS sono stati i due POS malware più comuni tre il 2020 e il 2022. A loro sono state attribuiti il 71% degli attacchi in quel periodo.

Buone pratiche per proteggere il vostro negozio

Se il “lavoro” degli hacker è quello di forzare le difese informatiche quello dei commercianti è anche evitare che riescano nel loro intento, ne va della credibilità e della fiducia del loro marchio agli occhi dei potenziali clienti. Esistono molti modi, come abbiamo visto, in cui un POS può essere violato, ma, per fortuna, esistono anche molti stratagemmi da mettere in campo per proteggere le realtà commerciali. Qui di seguito vi riportiamo dodici diversi suggerimenti:

  1. Verificate che le impostazioni configurate sul vostro terminare siano le migliori possibile: Inserite delle white list o delle restrizioni sull’esecuzione delle applicazioni. Se solo poche app sono permesse sarà più difficile l’installazione e l’esecuzione del malware.
  2. Utilizzate l’autenticazione multi fattore per difendervi dagli accessi non autorizzati al terminale
  3. Implementate tecniche di autoprotezione dei moduli POS per impedire al malware di manomettere le transazioni
  4. Installate gli aggiornamenti e sostituite le versioni obsolete dei software e verificate che ogni dispositivo che viene connesso sia aggiornato e sicuro
  5. Utilizzare un software di sicurezza
  6. Monitorate le attività sospette, esaminate i registri e se notate qualche cosa di irregolare o insolito rivolgetevi subito all’assistenza per scongiurare che si tratti di un attacco.
  7. Formate il personale, non è necessario che imparino solo a utilizzare lo strumento ma anche ad indentificare e prevenire le minacce.
  8. Isolare il vostro dispositivo POS su una rete per ridurre la superficie di attacco e facilitare il monitoraggio delle attività sospette.
  9. Usate la firma del codice, si tratta di un valore crittografico che funge da controllo. Garantisce che ogni programma venga controllato prima dell’esecuzione limitando le possibilità di compromissione.
  10. Usate dei lettori di chip, al contrario delle bande magnetiche i chip generano un codice di transazione univoco per ogni pagamento
  11. Limita l’accesso fisico al terminale
  12. Testate regolarmente il vostro sistema POS dal punto di vista della cyber security. Eseguite tutti i test e i controlli suggeriti

Requisiti di sicurezza POS PCI DSS

Per tutte quelle realtà commerciali che accettano transazioni con carta eseguite alla presenza fisica di cassieri e clienti ci sono dei requisiti di legge a cui è necessario conformarsi. Tutti i dispositivi sia indipendenti che connessi ad una rete devono essere adeguati a questo standard di sicurezza.

Le richieste fondamentali riguardano tre ambiti:

  • Mantenimento di un elenco dei dispositivi POS
  • Ispezione periodica per controllare se sia avvenuta una manomissione
  • Formazione specifica in materia di tutto il personale che ha accesso al POS

Difendersi da clienti

Dalla parte dei clienti ci sono sicuramente meno misure per difendersi dagli attacchi. Ciò non implica che non ci sia nulla da fare per salvaguardare le proprie finanze. Attivate una notifica di pagamento tramite la vostra banca, in questo modo gli acquisti fraudolenti potranno essere bloccati e disconosciuti prima di andare a buon fine. Esiste anche la possibilità di monitorare in tempo reale i tentativi di furto di identità

Conclusioni

Da anni ormai gli attacchi ai metodi di pagamento elettronico sono andati aumentando di frequenza. Gli attacchi ai POS non sono sofisticati come i trojan bancari o altri malware finanziari ma comunque riescono a  fruttare bene ai criminali che, per lo più, rubano le credenziali per rivenderle e non per utilizzarle in prima persona. Questo perché molto spesso i negozianti, poco avvezzi all’uso delle tecnologie di sicurezza informatica e poco informati hanno livelli di difesa molto bassi. Eppure le conseguenze per un commerciante il cui POS ruba dati sensibili dalle carte dei clienti sono davvero pericoloso, vanno dal danno di immagine ai provvedimenti giudiziari. Come abbiamo visto i metodi per difendere la propria reputazione da questi criminali esistono, è necessario però che vengano implementati ovunque. A beneficio di tutti, clienti e gestori.

Articoli che potrebbero interessarti: