今年8月,美国国土安全局发布公告指出Backoff恶意软件感染POS机活动,该政府机构声称这个恶意软件可能已经感染超过1000家美国企业。在今年年初,FBI发出类似公告指出其他RAM-scraping恶意软件变体,但尽管有这些警告,目前新研究表明攻击者仍然在继续利用Backoff,带来破坏性影响。
在高级威胁检测供应商Damballa的第三季度感染情况报告中,该供应商对部分企业客户的Backoff恶意软件感染进行了监测,这些客户允许该供应商扫描其POS流量。虽然安全专家描述Backoff为RAM-scraping POS恶意软件的相当标准的变体,但Backoff已经引起广泛关注,因为过去一年的一些零售商数据泄露事故都有它的参与,包括Neiman Marcus、Sally Beauty Supply、P.F. Chang以及最近的Dairy Queen事件。
根据Damballa的研究,从潜在Backoff受害者的数量来看,这些零售商还只是冰山一角。从8月初(US-CERT在7月31日发布第一个Backoff公告)到9月初,该供应商发现Backoff感染了增加了57%。尽管美国国土安全局发出警告,其中还为零售商提供了如何避免Backoff的指导,Damballa发现,9月初到9月底,感染了又增加27%。
Damballa首席技术官Brian Foster表示,太多零售商仍然依赖传统防病毒技术来保护POS系统的安全,尽管美国国土安全局在公告中提出了很多额外的预防措施,包括保护正被攻击者利用来传播Backoff的远程桌面应用,以及配置防火墙为仅接受已知IP地址和端口的通信。
在这种情况下,Backoff的作者将可以继续稍微改动该恶意软件的代码来绕过杀毒产品。为了证明这个过程对于攻击者是多么简单,Damballa的研究人员对55款AV产品测试了Sinowal恶意软件,发现45款产品能够检测它。然后,研究人员更改Sinowal恶意软件为Windows Help程序文件,这个过程只用了不到两分钟,并发现55款AV产品中只有一个产品可以检测到新的文件。
Foster指出,面对即将到来的美国假日购物期,零售行业对Backoff的响应情况尤其让人担忧,这段时期是这些公司最有利可图的时期,但如果他们像在2013年Target那样受到攻击,情况就不是这样了。
“企业没有很好地将其POS流量转移到中央位置,从而让他们可以监控恶意活动,”Foster表示,“我敢肯定,在这个购物季结束时,杀毒产品可以很好地检测Backoff,但到那时,攻击者可能已经转移到其他变体。”
Foster呼吁零售商重新思考他们是如何保护POS环境,并提高通常不高的安全预算,在今年早些时候,咨询公司IDC Retail Insights发现美国零售业每家商店的安全支出为整体技术预算的2%。
从消费者的角度来看,Foster表示,移动钱包(例如新推出的Apple Pay平台、谷歌Wallet等)可能提供比使用支付卡更安全的购物体验。消费者也应密切关注银行和信用卡公司对任何异常活动的公告。
最重要的是,Foster鼓励消费者保护好自己的钱包,并对没有部署必要安全措施来抵御Backoff和其他肯定会出现的POS恶意软件变体的零售商进行惩罚。
“你可以看看Target及其事故后声明,他们声称这是对其业务的重大打击,但随后我们看到所有其他零售商也受到打击,”Foster表示,“所以,我希望看到消费者让零售商对保护其数据负责任。”
