Los malwares no solo infectan dispositivos móviles o computadores, también es posible que puedan infectar una terminal punto de venta (TPV) y causar estragos en este aparato diseñado para el cobro con tarjeta.
El malware de punto de venta (malware POS) es un software malicioso escrito explícitamente para robar datos de pago de los clientes, como datos de tarjetas de crédito de los sistemas de pago minoristas. Los delincuentes utilizan software POS malicioso para vender datos en lugar de usarlos directamente.
¿Cómo funciona el malware?
Hay dos formas en que una tienda puede orientar los datos de la tarjeta de un cliente. El atacante podría infiltrarse en las bases de datos donde se almacenan los datos o interferir con los datos en el punto de venta.
Si bien se pueden usar métodos físicos para robar datos en ambos sentidos, estos métodos requieren acceso a equipos de punto de venta y, a menudo, tienen hardware costoso.
La industria de las tarjetas de pago utiliza un conjunto de estándares de seguridad que imponen el cifrado de extremo a extremo de los datos de pago confidenciales, que provienen de la banda magnética o el chip de la tarjeta, cuando se transmiten, reciben o almacenan.
El descifrado solo ocurre en la memoria de acceso aleatorio (RAM) del dispositivo POS, donde se procesa. El malware POS se dirige específicamente a la RAM para robar la información no cifrada, un proceso llamado «raspado de RAM».
Para realizar el raspado de RAM, el malware POS a menudo busca fallas de seguridad para ingresar al sistema. Esto puede incluir credenciales de inicio de sesión predeterminadas o sistemas de socios comprometidos.
Una vez dentro, el malware PoS puede seleccionar qué datos robar y cargar en un servidor remoto. No es de extrañar entonces que la mayoría de los programas maliciosos de POS vengan equipados con funciones de puerta trasera y de comando y control.
Tipos de malware POS
BlackPOS está diseñado para computadoras con Windows que forman parte de un sistema POS. No existe una función de extracción de datos fuera de línea en BlackPOS, y los datos robados se cargan en línea a servidores remotos.
Dexter es otro software malicioso para puntos de venta basado en Windows con algunas variables activas. Al igual que BlackPOS, analiza los volcados de memoria de las transacciones relacionadas con un software de POS específico que busca datos de la Pista 1 y la Pista 2.
TreasureHunt fue creado exclusivamente por un grupo particular de piratas informáticos que vendían datos de tarjetas de crédito robadas. Usa credenciales robadas o débiles para instalarse en el dispositivo y se dirige a los minoristas que aún usan sistemas de desplazamiento heredados.
ChewBacca Trojan tiene un registro de claves simple y un raspado de memoria para buscar expresiones de datos de banda magnética de tarjetas regulares. Si se encuentra un número de tarjeta, el servidor lo elimina y lo registra.
NitlovePOS recopila datos de tarjetas de pago de seguimiento uno y dos escaneando los procesos en ejecución de una máquina comprometida. Luego usa SSL para enviar los datos robados a un servidor web.
PoSeidon instala un registrador de teclas en el dispositivo comprometido y escanea la memoria del dispositivo en busca de números de tarjetas de crédito.
MalumPOS se enmascara a sí mismo como un controlador de pantalla en el dispositivo infectado. Luego rastrea las transacciones y se esfuerza en la memoria del dispositivo infectado para obtener información de pago.
Requisitos de seguridad de POS de PCI DSS
Pese a lo sofisticado de este software malicioso y los diversos tipos que hay, existe un estándar de seguridad que ayuda a proteger las TPV. Se trata del PCI DSS es el mayor estándar internacional de seguridad de datos para la industria de las tarjetas de crédito y débito.
Las compañías como American Express, Mastercard, JCB y Visa siguen sus lineamientos para mantener la confidencialidad de los datos bancarios de los tarjetahabientes.
El requisito 9 de PCI requiere la protección de los dispositivos POS. El cumplimiento del requisito 9.9 de las PCI DSS solo se aplica a las organizaciones que aceptan transacciones con tarjeta basadas en interacciones cara a cara entre cajeros y clientes. Los dispositivos más comunes que permiten este tipo de transacciones son los dispositivos terminal punto de venta y dispositivos de entrada de PIN.
El requisito 9.9 de las PCI DSS se centra en tres cuestiones principales, cada una de las cuales describe cómo realizar una secuencia de tareas específicas:
- Mantener una lista de dispositivos
- Inspección periódica de dispositivos por manipulación o sustitución
- Se está capacitando a los empleados para que reconozcan comportamientos sospechosos y denuncien alteraciones o modificaciones de dispositivos
Así que, solo asegurando los dispositivos y terminales pueden los delincuentes evitar manipularlos, robarlos o reemplazarlos, inspeccionar componentes o agregar dispositivos adicionales para recopilar datos de titulares de tarjetas mientras la transacción está en curso.
