I POS realizzati da due dei maggiori produttori del settore, Verifone e Ingenico, circa due milioni, contenevano vulnerabilità e falle in tema di sicurezza, tali da rendere “semplice” il furto dei dati delle carte di credito in seguito ad un attacco hacker.
È quanto rilevato dagli esperti di cyber security Timur Yunosov e Aleksei Stennikov e comunicato al convegno Black Hat Europe 2020.
Uno scenario di rischio davvero allarmante, se consideriamo che con l’avvento del sistema contactless e l’incentivazione dei pagamenti digitali (ad esempio con l’iniziativa del cashback introdotta dal Governo) a fronte dell’emergenza pandemica da COVID-19, il pagamento virtuale con carta sta diventando un gesto sempre più comune.
A causa della nuova vulnerabilità da poco resa pubblica, i pratici POS, dispositivi destinati al riconoscimento delle principali carte di pagamento e all’inserimento del PIN, sono quindi più a rischio di attacco criminal hacker di quanto si possa immaginare.
Sono già disponibili gli aggiornamenti per coprire le falle, ma ovviamente i pos restano al rischio finché gli utilizzatori non li installano.
Due milioni di POS a rischio attacco
La prima mancanza di tali terminali per il pagamento digitale risiede nella scelta di password predefinite, circostanza che permette a chiunque abbia accesso fisico al POS di poter arrivare al menu per il settaggio delle impostazioni.
All’interno di questi menu si possono trovare funzionalità che potevano essere abusate per inserire malware sui terminali di pagamento. Questi programmi possono, fra le altre cose, registrare e trasmettere dati sensibili relativi alle carte di pagamento utilizzate su quel POS.
Anche se i terminali di pagamento coprono con crittografia i dati delle carte di credito, tale codice era presente all’interno dello stesso dispositivo su cui era installato il malware. Tale dettaglio rende la cifratura protettiva del tutto inutile. Un criminal hacker avrebbe così tutte le informazioni necessarie per clonare le carte di credito e iniziare a rubare soldi alle persone senza che nessuno sospetti nulla.
L’attacco hacker ai POS nella pratica
Il primo e fondamentale ostacolo alla buona riuscita di un attacco hacker ai POS sta nella disponibilità materiale del terminale per il tempo sufficiente a scaricare il malware. Yunosov, del Cyber R&D Lab, sostiene che servirebbero dai cinque ai dieci minuti per connettersi ai dispositivi via USB e installare lo sniffer di bancomat.
Ma i criminal hacker avrebbero potuto capitalizzare la presenza di un’ulteriore vulnerabilità attraverso la rete interna: se un attaccante avesse trovato un modo per entrare nei sistemi informatici di un negozio, avrebbe potuto installare i malware sui terminali per iniziare a rubare le informazioni della carta di credito.
Fortunatamente, tali falle nei sistemi di sicurezza dei POS sono state comunicate alle aziende in tempo utile e sono state risolte. Infatti, già due anni fa sono iniziati i primi colloqui fra i due esperti di cyber security e le due ditte produttrici dei terminali di pagamento.
Da quanto rivelato dalle due compagnie, gli attacchi di questo tipo sarebbero stati pochi e di scarso valore, stante la necessità di avere accesso fisico al POS, con pianificazione e ricerca preliminare dei terminali “papabili” per poterli colpire.
Non è il primo attacco ai POS
Anche se tali problematiche in tema di sicurezza potrebbero non essere note ai più, gli attacchi che hanno come obiettivo i POS non sono affatto nuovi.
Ad esempio, il malware Alina è attivo già dal 2012, creato col preciso scopo di estrarre i dati delle carte di pagamento e decifrare i codici. Nella sua ultima variante, datata 2020, il malware utilizzava traffico DNS anomalo diretto verso domini nameserver.
E la lista prosegue con il caso di GlitchPOS, un malware capace di estrarre i dati che più interessano alle organizzazioni criminali, ovvero numero di carta di credito e PIN, attraverso un memory grabber. Tale software era in vendita in formato “plug & play” sul deep web per un importo inferiore a 300 dollari.
Lo scorso mese, novembre 2020, ha visto invece salire agli onori delle cronache il malware ModPipe. Questo programma rivolto precisamente verso i terminali di pagamento di strutture ricettive quali bar, ristoranti e hotel, opera attraverso un backdoor modulare su POS su cui sia installato il software gestionale Oracle Micros Restaurant Enterprise Series (RES) 3700. Anche se attualmente non pare essere in grado di estrarre e decifrare i dati sensibili delle carte di pagamento, secondo Martin Smolàr, l’esperto di cyber security che ha ricostruito la struttura del malware, non è da escludere che possa farlo in futuro.
Le rassicurazioni dei produttori di POS
Citando le parole di Verifone: “La società di sicurezza ha certificato che le nostre ultime patch e gli aggiornamenti software, disponibili per tutti i clienti, pongono rimedio a queste vulnerabilità. I clienti sono attualmente in diverse fasi di implementazione di queste patch o aggiornamenti software”.
Come sempre invitiamo gli utenti a scaricare l’ultima versione disponibile per ridurre al minimo i rischi di sicurezza.
Per quanto riguarda la seconda azienda coinvolta, un portavoce di Ingenico ha dichiarato: “Sono state identificate diverse vulnerabilità che hanno un impatto sui terminali di pagamento Ingenico POS Telium 2. Sono state immediatamente sviluppate misure di sicurezza adeguate a implementare correzioni”.
“Ingenico non è stata messa a conoscenza di alcun accesso fraudolento ai dati di pagamento risultanti da queste vulnerabilità, già risolte al 100%. La società sta monitorando attentamente la situazione per evitare il ripetersi di questo problema”.
Con l’aumentare delle transazioni digitali già un fatto accertato anche precedente alla COVID-19, non sorprende che ci sia un’attenzione – giustamente – più alta attorno a tutte le tecnologie abilitanti.
Se queste sono veramente destinate a diventare la struttura portante, l’attenzione che poniamo anche sugli aspetti di sicurezza non deve essere sottovalutata.
Non abbassiamo la guardia.
@RIPRODUZIONE RISERVATA
