איך מתמודדים עם גניבת פרטי כרטיסי אשראי מארגונים?

מאת אלכס גצין, מנהל פרויקטים בתחום אבטחת המידע בחברת Extreme.

פריצות וגניבות פרטי כרטיסי אשראי בשנים 2013-14 חשפו פרטים של יותר ממאה מיליון כרטיסי אשראי ונתון זה אינו כולל את פרטי הלקוח. חברות האשראי, בנקאות ומסחר סופגות הפסדים ותובעות את חברות הביטוח למימוש פוליסות. חברות אלה נמצאות תחת רגולציה כבדה ומשקיעות משאבים רבים בפתרונות מידור הסיכונים וההפסדים (השקעת המשאבים גדלה ב-2016 לעומת אשתקד במרבית הארגונים בכ-20-40%) בהתאם.

בשנת 2016 תופעת הונאות אשראי וגניבת פרטי כרטיסים צפויה להתרחב בהתבסס על ספקולציות, בפרט לאור המעבר לסליקה מבוססת כרטיס פיזי בסטנדרט  EMV, מעבר לסליקת כרטיסים מבוססי צ’יפ ותעודה דיגיטלית+העברת אחריות ההפסדים לבית העסק אם בית העסק לא תמך בטכנולוגיה. העולם עובר לכרטיסי אשראי עם צ’יפ = כרטיס אשראי חכם שימנע הונאות "פיזיות" (גניבת כרטיס אשראי), מעבר שינתב את פשע ההונאות בכרטיסי אשראי למרחב הדיגיטלי.

הגורמים שהוזכרו, התקפות מוצלחות על הקופות החכמות (POS) והמעבר לסטנדרט שיקשה על הונאות כרטיס פיזי יגבירו את פעילות התוקפים בגניבת פרטי אשראי. מקור הסיכון הדומיננטי להפסדים הוא נמוך בשרשרת עיבוד האשראי – בחולייה החלשה כמובן, ה POS-וסביבת מחייתו הטבעית, המפעיל של הקופות החכמות ובית העסק.

הקופות החכמות קיימות במגוון צורות, יישומים, פלטפורמות ובהתאם, גם סביבתן הטבעית מגוונת – מחומרה ומ”ה ייעודיים ועד יישומי קופות WEB וענן!

הקופות החכמות נבדלות זו מזה במערכות ההפעלה, פלטפורמה, יכולות ועוד, אך למרות המגוון, רוב הקופות הדיגיטליות בשטח הן גרסאות של מערכת הפעלה חלונות.  קופות דיגיטליות מבוססות WINDOWS הן הנפוצות בעולם ומהוות יעד התקפה נפוץ.

נקודות התקיפה של הקופות הדיגיטליות:

1. קופת ה-PC שאליה מחובר ה-POS- התקפות פישינג ו-APT, ניצול פגיעויות והפצת תוכנות זדוניות ייעודית לגניבת מידע אשראי.
2. ה-POS עצמו – הפעלת RAM SCRAPING על הזיכרון הנדיף של מכשיר ה-POS  עצמו בטרם מידע האשראי מוצפן או קורא מגנטי מושתל ‘card skimmer’ על גוף קורא הכרטיס.
3. דרך התקשורת – האזנה לכבל שבין קורא הכרטיס לקופה, תקיפות הרכיבים או תיווך התקשורת כאשר מדובר ב-POS שאינו מקומי.
4. שותפים, ספקים ושירותים – מהווים מקור נוסף לסיכון זליגת מידע האשראי.

חקר פרצות, התקפות וגניבת פרטי אשראי מראה כי עיקר הפריצה לארגון והדבקות אשר הובילו לזליגת פרטי אשראי מסיביות בשנים 2011-2015, נכנסו לארגון דרך:

• רשת שותף עסקי או ספק
• כלי שליטה ותמיכה מרחוק
• VPNים מול סניפים או שותפים עסקיים

האמצעי הדומיננטי לגניבת פרטי האשראי:

• RAM SCRAPER מתוך זיכרון המחשב שמהווה קופה אלקטרוני אליה מחובר קורא הכרטיס.
• העתקה של פרטי אשראי לא מוצפנים הנשמרים מקומית על עמדות פרוצות.

אמצעי ההוצאה של מידע האשראי מתוך הרשת הפרוצה התרכזו ב:

• תעבורת FTP לשרתים חיצוניים בבעלות הפורצים
• VPN של שותפים
• שירותי שיתוף קבצים וטקסט זמינים ברשת האינטרנט

ההשלכות הישירות על הארגון הנפרץ מעבר לזליגת המידע עצמו הן עצומות, כפי שקרה למשל בחברת TARGET כשהתוצאה היתה פיצויים בסך 10 מיליון דולר ללקוחות, 40 מיליון דולרלבנקים, קנסות, הוצאות משפטיות ומנכ"ל שהתבקש לעזוב והוחלף על ידי מנכ"ל בעל רקע באבטחת מידע.

המלצות לארגונים \ בעלי אחריות אשר מתמודדים עם סיכונים של זליגת מידע אשראי

1. ליישם "מסקנות מהאירוע" על סמך המחקר הנ"ל ולקדם סקירה פנימית על בסיס הממצאים.
2. לגבש מדיניות אבטחה בנושא ניהול ספקים וחיבורים מרחוק שכוללת הגדרת רמת אבטחה, אפיקים מאובטחים להתקשרות וסקירה של הספק\שותף.
3. ליישם הפרדת סביבות(סגמנטמיה) ברשת, על ידי מדיניות FIREWALL, בדגש על סביבת אשראי, תקשורת לאינטרנט ותקשורת עם ספקים.
4. להעשיר ולמקד את המתודולוגיה הארגונית להתמודדות עם אירועי סייבר וסיכוני סייבר הן ברמת מדיניות והן ברמת נהלי תגובה.
5. ביסוס תרחישי תרגול סייבר שנתיים על סמך התרחישים שמתועדים במחקר.

מגמות וצפי להתקפות ואיומי אבטחת מידע ל2016

ארגונים ו CISO’s -אשר באחריותם הגנה על פרטי אשראי ישכילו ליישם:

• פיתוח ובקרת יישום מדיניות אבטחת מידע ומדיניות פרטנית להתמודדות עם התקפות PHISHING \ SOCIAL ENGINEERING והן העלאת מודעות עובדים והכשרתם לנושא.
• ניהול התקשרות \ בקרה של הספקים החיצוניים, סקירה מעשית שלהם ותרגול הבקרות בפועל.
• סגמנטציות הרשת, ניהול כלל ערוצי ההתקשרות, בדיקת הבקרות הרלוונטיות בפועל ויישום פתרונות לאיתור של ערוצים חשאיים .(covert channel)
• ניהול PATCH MANAGEMENT הערכת סיכונים ויישום פתרונות, במיוחד בסביבות רגישות ואינן נתמכות.LEGACY
• יישום פתרון FIM ו\או יישום APP CONTROL ארגוני.

*חשוב מאוד להתייחס אל הבקרות והאמצעים הנ”ל כמשלימים ולהתייחס אליהן כאל לקחים מתוך אירועים שנסקרו ולא כפתרון אחיד. יש ליישם אבטחה במתודולוגיית הגנת שכבות (Defense In Depth) שום פתרון אחד אינו מהווה הגנה מספקת למידע אשראי ונועד לכישלון.

לסיכום

מחזיקי פרטי (כרטיסי) האשראי נתונים תחת סיכונים מורכבים הנובעים כתוצאה מהצרכים העסקיים של החברות, הדואגות לשפר את זמינות וניידות פתרונות האשראי ללקוחות מחד ומאידך, זמינות, היכולת והמוטיבציה (רווחיות) של תוקפים להשיגם.

את רוב ההתקפות המוצלחות והרועמות אנו צופים בסביבת בתי העסק. האחריות של חברות האשראי לנזקים אינה מכסה אותם כאשר מדובר במידע אשראי שאבד מסביבתם, במיוחד היות ואין הם עמדו באחריותם לאבטחה נאותה. אין זה אומר שחברות האשראי אינן חסינות כלל, אך החוליה החלשה במקרה של פרטי האשראי היא סוחרים, בפרט בסביבת האשראי.