Search

Nhập từ khóa tìm kiếm của bạn và nhấn enter

Liên Hệ

Name

Email *

Message *

Làm thế nào hacker lấy trộm dữ liệu thẻ tín dụng của bạn trong Cyber ​​Attack trên Target Cửa hàng

Chào mừng trở lại, hacker non trẻ của tôi!

Như hầu hết mọi người đã nghe, Target Corporation, một trong những nhà bán lẻ lớn nhất ở Mỹ và Canada, đã bị tấn công vào cuối năm ngoái và có khả năng 100 triệu thẻ tín dụng đã bị xâm nhập. Xảy ra ngay trước lễ Giáng sinh, nó làm giảm nghiêm trọng doanh thu, danh tiếng và giá cổ phiếu của Giáng sinh (giá trị của công ty đã giảm 5 tỷ đô la).




Mặc dù các chi tiết này vẫn còn sơ khai, nhưng tôi vẫn cố gắng đưa bạn vào những gì chúng tôi đã biết về cuộc tấn công này từ những chi tiết rò rỉ. Mục tiêu và các nhà điều tra pháp y tại iSight vẫn chưa tiết lộ bất kỳ chi tiết cụ thể nào, nhưng một số nguồn đáng tin cậy có thông tin về những gì thực sự xảy ra. Tôi sẽ cố gắng làm cho một số ý nghĩa từ những chi tiết sơ sài để tiết lộ những gì có thể xảy ra.

Cuộc tấn công mục tiêu từ tiêu đề

Vào ngày 19 tháng 12 năm 2013, Target đã thông báo rằng các hệ thống Bán Hàng (Point of Sale) trong các cửa hàng "gạch ngói" của họ đã bị tổn hại. Thật thú vị, Target.com của trang web của họ đã không bị tổn hại. Rõ ràng, có người đã đặt một khai thác zero-day trên thiết bị đầu cuối POS và đã thu thập thẻ tín dụng và thông tin cá nhân.
Một số người ngay lập tức nghi ngờ một thiết bị quét vớt thẻ - những thiết bị nhỏ này có thể được đặt trên máy quét thẻ tín dụng (máy ATM là một mục tiêu lớn) để thu thập dữ liệu từ trên dải thẻ.
Lý thuyết này đã được giải trừ ngay bởi thực tế là gần như mọi hệ thống POS trong tất cả các cửa hàng của Target đều bị tổn hại, có nghĩa là một thiết bị vật lý sẽ phải được đặt trong hơn 10.000 địa điểm thực. Điều đó dường như rất khó xảy ra.





Dưới đây là những điều chúng ta biết về sự vi phạm mục tiêu

Thứ nhất, cuộc tấn công dường như đến từ Đông Âu, có thể là Nga hoặc Ukraine. Mặc dù các nhà điều tra pháp y có thể theo dõi địa chỉ IP tới khu vực đó, nhưng những kẻ tấn công thường "đánh trả" cuộc tấn công của họ khỏi các máy chủ proxy ở phần trên của thế giới. Điều này sẽ làm cho nó giống như nó đến từ đó, nhưng nó cũng có thể dễ dàng đến từ Peoria, IL hoặc bất cứ nơi nào khác ở Bắc Mỹ.
Điều đó đang được nói, phần lớn tội phạm mạng liên quan đến thẻ tín dụng bị đánh cắp xuất phát từ Cộng hòa Liên Xô cũ phần lớn bởi vì chúng vượt quá khả năng thực thi pháp luật của Mỹ và các quốc gia khác. Ngoài ra, họ không có hiệp ước dẫn độ với phương Tây.
Sự hỗ trợ thêm cho nguồn gốc của cuộc tấn công Nga là phần mềm độc hại được sử dụng đã được nhìn thấy để bán trên các thị trường cybercrime đen tháng trước khi tấn công. Ngoài ra, khi phần mềm độc hại được kiểm tra, các nhận xét trong mã được bằng tiếng Nga.
Điều này không nhất thiết có nghĩa là cuộc tấn công đến từ Nga, như bất cứ ai có thể đã mua phần mềm và sử dụng nó, nhưng nó là bằng chứng xác thực mạnh mẽ.

Khai thác Zero-Day đã được sử dụng

Bởi vì phần mềm độc hại là một khai thác zero-day, không có phần mềm chống malware hoặc NIDS phát hiện ra nó. Hệ thống chống virus, chống malware và IDS phụ thuộc vào các chữ ký đã biết của phần mềm độc hại đã biết, như chúng tôi đã tìm hiểu trong hướng dẫn của tôi về việc trốn tránh Snort , IDS / IPS hàng đầu.
Nếu một phần của phần mềm độc hại đã không bao giờ được nhìn thấy trong tự nhiên, sau đó một chữ ký không tồn tại trong bất kỳ cơ sở dữ liệu chống phần mềm độc hại để phát hiện nó. Ngoài ra, thậm chí nếu một chữ ký đã tồn tại, thật dễ dàng để thay đổi chữ ký bằng cách biến đổi và / hoặc mã hóa nó, như tôi đã trình bày trong hướng dẫn của tôi về việc thay đổi chữ ký của payload Metasploitvà ngụy trang một chữ ký của khai thác .
Giờ đây dường như một người 17 tuổi đến từ St Petersburg, Nga đã phát triển phần mềm có tên BlackPOS. Lần đầu tiên nó xuất hiện trên thị trường chợ đen vào khoảng tháng 3 năm ngoái. Điều này không nhất thiết có nghĩa là anh ta thực hiện vi phạm an ninh. Có nhiều khả năng (như thường xảy ra trong các tình huống này), ông chỉ đơn giản phát triển mã và sau đó bán nó cho nhà thầu cao nhất.

Mục tiêu Các Hệ thống Windows chưa được Xuất bản

Dường như Target đang sử dụng hệ điều hành Windows chưa được vá trên hệ thống POS của họ. Đây là một ý tưởng tồi tệ, nhưng phổ biến. Rõ ràng, các lỗ hổng của Windows được lưu trữ tốt và để chúng không được vá chỉ là yêu cầu cho sự cố.
Rõ ràng, các nhà phát triển của các hệ thống POS-như bất kỳ hệ thống nào khác dùng thẻ tín dụng-phải được chứng nhận PCI-DSS. Khi họ được chứng nhận, nếu họ nâng cấp hoặc vá hệ điều hành, họ phải trải qua quá trình chứng nhận một lần nữa. Do đó, họ không muốn nâng cấp hoặc vá vì họ sẽ có thêm thời gian và chi phí để xác nhận lại. Điều này chống lại khuyến khích rõ ràng là phản trực quan đến các mục tiêu của PCI-DSS, nhưng ở đó bạn có nó.
Một ý tưởng tốt hơn là phát triển một hệ điều hành độc quyền, nơi các lỗ hổng chưa được biết (tăng cường an ninh thông qua sự tối tăm), nhưng các nhà phát triển POS không muốn đầu tư thời gian và tiền bạc để làm như vậy. Miễn là họ không, các cuộc tấn công như thế này sẽ tiếp tục.

Tấn công Một POS & Pivot đến phần còn lại

Những kẻ tấn công dường như đã thỏa hiệp một hệ thống trên mạng và sau đó xoay từ một hệ thống đó tới mọi hệ thống POS trong mạng mục tiêu Hoa Kỳ. Điều này rất giống với những gì tôi vừa thảo luận trong hướng dẫn gần đây của tôi về xoay vòng .
Một hệ thống này có thể đã bị thỏa hiệp bởi một cái gì đó dường như vô hại như một liên kết độc hại được gửi từ email hoặc tập tin đính kèm tập tin PDF độc hạiNếu chỉ một người trên mạng nhấp vào liên kết, có thể thỏa hiệp toàn bộ mạng.

Exfiltrate (Hủy bỏ) Dữ liệu đến một Web Server

Một khi các kẻ tấn công đã có phần mềm độc hại tại chỗ trên mỗi hệ thống POS, sau đó họ chuyển dữ liệu đến một máy chủ tập trung trong mạng mục tiêu. Từ kho lưu trữ đó, và khi hệ thống của Target trở nên bận rộn nhất, họ đã lọc dữ liệu tới một máy chủ web bị tổn hại (dường như máy chủ web này là một kẻ đồng lõa không nghi ngờ) ở Nga.
Điều này dường như làm tê liệt quá trình lọc. Nói cách khác, quá nhiều dữ liệu bình thường đã được di chuyển vào và ra trên đường ống vào thời điểm đó các kỹ sư an ninh đã không phát hiện giao tiếp bất thường này. Nó có lẽ cũng được mã hóa, làm cho việc phát hiện thậm chí còn khó khăn hơn, như tôi đã chứng minh trong hướng dẫn của tôi về lọc dữ liệu được mã hóa bằng cryptcat .
Bây giờ chúng ta biết rằng họ đã có thể loại bỏ 11 GB dữ liệu, và vào thời điểm các nhà nghiên cứu pháp y đã truy xuất dữ liệu tới máy chủ web bị xâm nhập, nó đã bị xóa sạch.

Bán Số thẻ tín dụng

Thông thường, khi bọn tội phạm không gian mạng ăn cắp thông tin thẻ tín dụng, họ thực sự không sử dụng nó vì đó là cách dễ dàng nhất để bị bắt. Thay vào đó, họ thích bán chúng trên thị trường chợ đen sâu dưới dạng số tín dụng bị đánh cắp. Bằng cách này, họ có thể tự bảo vệ bản thân khỏi đường mòn nếu ai đó bị bắt bằng cách sử dụng số thẻ bị đánh cắp.
Nói chung, số thẻ bị đánh cắp bán với giá từ $ 5 đến $ 50 mỗi cái, tùy thuộc vào chất lượng (American Express, Thẻ Platinum, v.v.) và giới hạn tín dụng. Điều này có nghĩa là nếu 100 triệu thẻ đã bị đánh cắp từ Target, thì lấy cho bọn tội phạm sẽ nằm trong khoảng từ 500 triệu đến 5 tỉ đô la!
Vào ngày Thứ hai, ngày 20 tháng 1 năm 2014, các quan chức thực thi pháp luật ở Texas đã bắt giữ hai người Mexico với 96 số thẻ này trong tài khoản của họ. Rõ ràng từ thông tin này không chỉ là số lượng được bán, nhưng thẻ giả mạo đang được tạo ra với thông tin dải từ bị đánh cắp từ khách hàng mục tiêu.

Và đó là cách nó có thể đi xuống

Như đã nói ở trên, chưa có thông tin chi tiết chính thức nào được công bố, nhưng có lẽ nó đã đi xuống như thế nào. Vì các hệ thống POS dễ bị tổn thương mục tiêu sử dụng cũng được sử dụng trong các chuỗi khác, tôi sẽ không ngạc nhiên nếu chúng ta bắt đầu nghe về các cửa hàng khác bị tấn công cũng như trong những tuần tới. Hãy trở lại, những hacker non trẻ của tôi, vì tôi sẽ cập nhật thông tin này khi tôi tìm hiểu thêm về hack có tính lịch sử này.

0 nhận xét:

Post a Comment