金融服务企业Visa本周警告,接连有两起网络攻击行动锁定加油站的销售终端系统(POS),并点名幕后黑手可能是以获利为主的FIN8黑客集团。
FIN8为一出于财务动机的黑客集团,过去主要锁定零售、饭店及娱乐产业的POS系统发动攻击,之前曾精心设计鱼叉式网络钓鱼攻击,以诱使受害者下载恶意程序,它在2017年曾一度消声匿迹,但安全企业于今年3月侦测到FIN8又复活了,且专门调查信用卡诈骗事件的Visa Payment Fraud Disruption(PFD)部门指出,FIN8把攻击目标延伸到加油站,今年夏天就发现两起源自于该组织的攻击行动。
这两起攻击事件的受害者都是北美地区的加油站,在第一起的安全事件中,黑客是利用网络钓鱼邮件诱使加油站员职场安全装了远程访问木马,黑客在渗透到加油站的内部网络之后,再伺机取得可进入POS环境的凭证,部署RAM搜括工具,以窃取顾客的信用卡信息。
而在第二起的安全事件中,黑客同样取得了加油站网络的访问权,只是渠道不明,之后同样也植入了RAM搜括工具来窃取信用卡信息。该加油站在店内使用芯片卡交易,但加油机上则使用磁条卡交易,后者才是恶意程序的目标。
PFD表示,这些加油站并未将持卡人数据环境(Cardholder Data Environment,CDE)与企业网络隔离,而让黑客更容易得手。
值得注意的是,过去针对加油站的攻击主要是通过安装银行卡盗读器(skimming)进行,但现在黑客则是借由黑进POS系统来植入搜括程序,代表黑客必须先入侵加油站网络,具备更强大的技术能力。
根据PFD的评估,加油站的POS未来将继续受到黑客的青睐,建议企业应该部署杀毒软件,强化远程访问的安全能力,激活EMV安全技术,让每个管理者使用独特的凭证并管制访问能力,也应定期侦测系统的可疑行动。