网络犯罪组织正积极利用加油站销售点管理系统(POS)网络的弱点以窃取信用卡数据,Visa披露指出。该公司的支付诈骗反制(Payment Fraud Disruption,PFD)小组正在调查几起事件,结果发现这些事件是因为一个名为Fin8的黑客组织成功对加油机厂商发动诈骗攻击而造成的。
Fin8是一个金融导向的黑客攻击团体,其因专门针对零售、饭店及医疗业发动量身订做的鱼叉式网络钓鱼攻击(Spear-phishing)而闻名。在每个案例中,攻击者先通过恶意电子邮件和其他未知手法而获得POS网络的访问权限。然后,他们会安装POS数据截取软件,该软件会充分利用老式无芯片的纯磁条信用卡先天安全性不足的漏洞行事。
这次黑客攻击似乎没有影响到更安全的芯片信用卡,但并不是所有的消费者都有这种卡,所以加油站仍然持续支持磁条信用卡读卡器。这些数据显然以未加密的形式被发送到供应商的主网络,网络窃贼已经找到了在该网络中拦截数据的方法。另一个安全问题是,这些POS系统并没有通过防火墙而与网络中其他不太重要的部分隔离开来,一旦网络遭到入侵,网络窃贼就可以取得从旁访问的权限。
面对攻击,持卡人能做的防护并不多,不过Visa已建议加油设备商必须对传输的数据进行加密,抑或使用芯片卡和个人识别码(PIN)码政策。“加油机供应商应密切注意这类攻击活动,并尽可能地部署支持芯片信用卡的设备,唯有如此才能大幅降低这些攻击的可能性,”Visa在12月的安全警示公告中建议指出。
今年稍早之际,Visa宣布,加油设备商必须在2020年10月之前完成芯片卡读卡器的支持与部署。在这个截止日之后,所有没有这种新技术的加油站都要为任何诈骗攻击的后果负责。但问题是,许多这类企业仍然使用非常老旧的技术,他们必须更换整个加油设备才行,估计每个加油站的置换成本将高达25万美元。据估计,美国所有兼营加油站的便利商店其总销售额约为225亿美元。
(首图来源:pixabay)