快速致富之路:POS机攻击分析

-回复 -浏览
楼主 2018-07-15 01:50:33
举报 只看此人 收藏本贴 楼主

前言

想快速致富吗?

Hi,新年过完了

大家的腰包还足够鼓嘛

弟弟、妹妹、侄子、侄女、外甥、外甥女

爸妈、七大姑八大姨、叔叔婶婶大伯大娘

老公老婆、男朋友女朋友

一大堆人有木有掏空您的钱包


我想睡觉睡到自然醒!

我想到欧洲旅行!

但一想到还有那么多人等着我“孝敬”

就不得不上紧发条认真工作

每天做着发财梦却从未成真

这不,新的一年给大家送来新的致富手段

是的,我们要说的就是POS机攻击

POS系统即销售时点信息系统,是指通过自动读取设备(如收银机)在销售商品时直接读取商品销售信息(如商品名、单价、销售数量、销售时间、销售店铺、购买顾客等),并通过通讯网络和计算机系统传送至有关部门进行分析加工以提高经营效率的系统。POS系统最早应用于零售业,以后逐渐扩展至其他如金融、旅馆等服务行业,利用POS系统的范围也从企业内部扩展到整个供应链。


POS是一种多功能终端,把它安装在信用卡的特约商户和受理网点中与计算机联成网络,就能实现电子资金自动转帐,它具有支持消费、预授权、余额查询和转帐等功能,使用起来安全、快捷、可靠。


方法演示


first day

1攻击道具


道具准备,两台笔记本,两台POS机,一台用来攻击,一台用来验证;两张卡片,一张能正常消费的黑卡磁条卡,另一张用来复制的废卡。


2攻击过程


现场过程也很简单:持卡人先写出黑卡的账号和密码,不让别人看到,用来核对最后攻击者破解的结果。然后攻击者伪装成消费者,在输密码过程中对POS机动动手脚,假装完成消费。而后面的消费者在在动了手脚的POS上刷黑卡时,攻击者就窃取到了这张黑卡的相关信息。


3攻击方式及结果


经分析攻击者可能是利用了POS机设备里面的漏洞,并替换了设备里面关键应用软件成功地破解了银行卡账号和密码,并复制伪卡成功消费!


到此为止,大家看看就算了,莫要当真,此致富方法切不可取,本文旨在供大家娱乐,同时,也给大家说明POS机的安全


POS机安全
first day

1POS机安全权限问题


从攻击过程分析,攻击者使用蓝牙下载攻击程序并成功安装,替换了POS机中关键应用程序,同时,攻击者很可能获取了POS机系统root权限。


据此分析该案例POS机可能存在两种情况:一是POS机中没有进行最小安全配置;二是攻击者利用了某种漏洞获取了POS机的root权限,打开了USB数据传输的设置并安装了攻击程序。针对第二种情况,行业规范中同样要求:设备应对每个协议和接口都进行漏洞扫描和评估,确保没有漏洞或者存在的漏洞已经被解除。


2POS机应用程序安装认证问题


分析该案例中攻击者可能通过替换POS机设备关键应用程序,从而窃取持卡人的银行卡账号和密码敏感信息。而实际攻击过程中成功地安装了一个攻击程序,说明该POS机可能缺失对安装新应用的认证功能,或者此认证功能保护强度不够,很容易被屏蔽,从而失去作用。


安全建议
first day

1对广大持卡人建议


该案例中使用的银行卡是磁条卡,与之前所有银行卡盗刷案件类似。相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。为了减少防不胜防的诈骗行为,建议大家把手中的银行磁条卡换成银行IC卡。


2对收单机构和商户的建议


随着中国支付产业发展、支付服务方越来越多、POS机具不断布放,商户申请使用POS机越来越容易,但随之而来的POS机被移机、篡改、攻击的风险也越来越高。在本次攻击中,攻击者仅是用了一到两分钟即对POS机进行了攻击,达到目的。中国人民银行和银联对POS机具使用有明确的安全管理要求,收单机构和商户应严格遵循POS机使用安全规定,不得非法改造和攻击POS机具,同时应对采购使用的机具进行安全审查和维护。


分享是一种美德,收藏并分享朋友圈,记得点赞哟!!!

安百科技-国际领先的攻击自免疫体系产品与安全服务提供商

我要推荐
转发到