网络犯罪分子在十月截止日期前填补了加油站的交易骗局

  • A+
所属分类:未分类

从10月开始,加油站将对按卡付费机制中的盗卡行为负责。

加油站正准备在10月大幅度改变信用卡欺诈责任,届时加油站将发现自己遭受了打卡攻击的威胁。 研究人员说,与此同时,网络罪犯将以报复为目标的按需付费销售点机制。

燃油泵代表了非加密交易的最后堡垒。 与客户在内部付款时不同,这种泵送机制不需要芯片和PIN或芯片和签名方案,它们具有内置的加密功能,可以阻止大多数业余卡窃取工作。 取而代之的是刷卡并使用磁条。

Venafi的卡特里娜·多比斯基(Katrina Dobieski)在周四发布的一篇文章中写道,更糟的是,其中大多数交易也不符合《支付卡行业数据安全标准》(PCI DSS)规定。 PCI DSS 要求所有老式磁条交易中交换的数据都应在传输过程中进行加密; 并且也不应该存储数据,但如果是,则应加密数字。 她指出,气泵通常违反这两个原则。

“这种双重不安全的方法是不加密磁条信息,然后将其发送到后端计算机(根本不应该在其中存储),然后再存储(未加密),这在最好的情况下是不安全的,在最坏的情况下会很糟糕,” Dobieski写道。 她补充说:“似乎没有必要使用俄罗斯轮盘赌来在未加密的泵上继续刷未加密的卡,因为我们的敏感卡号将存储在未加密的加油站后台数据库中。”

使用芯片和PIN码(又名EMV)的付款方式更安全,因为它们使用一次性使用的加密数字签名,并且还可能要求客户输入更高级别的授权。 2015年10月,发卡机构的政策发生重大变化,这意味着对卡欺诈的责任落在了不执行基于芯片的交易的一方身上。 这通常意味着商人,这些商人已经大大取代了银行本身的旧违约行为,这些银行自己负责为欺诈交易补偿消费者。

但是,加油站的泵免于此更改,延长至2017年,然后再延长至2020年以符合规定。 这是因为安装新泵是一项昂贵的工作,对于许多人来说,这可能过高的成本,Dobieski指出。 根据合规组织Conexxus的说法 ,升级成本为25,000美元起,每个加油站的成本很容易就超过150,000美元。 但是也有其他费用。

Tripwire首席安全研究员特拉维斯·史密斯(Travis Smith)对Threatpost说:“燃料零售商面临的问题是,气泵可能需要彻底撕裂并更换硬件,这可能需要环境审查和批准。” “获得这些批准可能需要花费很多时间,这是将截止日期从2017年推迟到2020年的原因之一。”

SaltStack的首席技术官兼联合创始人托马斯·哈奇(Thomas Hatch)向Threatpost表示,最后期限或没有最后期限,所有这些都意味着,推动变革的唯一动力将是公司的底线。 对于大型连锁店和夫妻加油站而言,责任升级带来的威胁以及增强安全性的经济价值是进行升级投资的前提。

他说:“一个行业除非有赚钱的动力,否则不会改变。” “这就是为什么他们没有做出这些改变,这是简单的经济学。 这就是为什么我们有法规。 读卡器是一种新兴的威胁,需要对其进行管理。 但是,如果没有威胁,往往没有监管,公司就不会进行投资。 这是经济学的重要组成部分,安全性是根据消费者的感知来执行的,如果消费者感知到威胁是真实的还是想象的,那么公司和政治就会做出反应。”

不过,多别斯基认为,随着对卡片数据攻击的责任转移迫在眉睫,加油站的确将在接下来的10个月里花费时间,要么将其燃油泵最终升级到芯片和PIN,要么找到解决方法,例如实施令牌化或标记点对点加密。

在后者方面,一种解决方案“只是更新软件后端,以便在将磁条数据的高速缓存发送到银行之前对其进行加密,” Dobieski解释说。

史密斯补充说,还有更多平凡的方法可以阻止骗子。

他说:“我怀疑,对于许多较小的本地零售商而言,在升级到芯片和PIN设备的近期内,采取其他补偿控制措施来减轻其泵的欺诈风险将更具成本效益,” Threatpost。 “安装摄像头,减少总费用或要求客户在加油站内付款都是可以减少欺诈者利用其商店的可能性的所有选择。 像其他信息安全实践一样,防御者的游戏的一部分就是要使您的基础架构看起来比其他所有人都更轻松。 如果我是信用卡欺诈者,我将跳过带照相机的加油站,转向没有安全保障的街上加油站。”

研究人员说,与此同时,网络骗子将用卡数据填充他们的坦克,以不合规的机器为目标。

“数字支付卡的磁条存储着宝贵的财务信息,这些信息一旦被拦截,就会导致诸如卡号,持卡人姓名,有效期限和验证码之类的消费者信息被盗,” Digital Shadows策略与研究分析师Alex Guirakhoo告诉Threatpost。 “对于网络罪犯来说,这些是有吸引力的目标,他们可以使用数据创建欺诈性克隆卡; Track 1和Track 2数据通常在网络犯罪论坛和市场上以相对较少的价格出售。”

威胁不仅仅是假想的。 例如,根据维萨(Visa)的资料,在12月,北美加油站遭到了协同的网络攻击的攻击 ,目的是为了刮擦支付卡数据。 罪魁祸首是臭名昭著的FIN8网络犯罪团伙

付款安全专家保罗·汉普顿(Paul Hampton)在电子邮件声明中说:“黑客将加油机商人作为攻击目标并不奇怪。” 网络罪犯是利用漏洞并查找未加密数据的策划者。 接受信用卡付款的商家有义务保护交易的机密性和完整性,但不幸的是,没有遵循最佳实践,敏感数据容易受到攻击。”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: