 Для повышения уровня безопасности платежной системы, Visa остаётся приверженной стратегии оказания всесторонней помощи своим участникам и клиентам в понимании их обязанностей в области обеспечения безопасности данных о держателях карт и защите платежной индустрии. Для реализации принципов этой стратегии Visa публикует Оповещения об угрозах безопасности данных в случае обнаружения в отрасли уязвимостей, подверженных активно развивающимся видам атак, а также для информирования о лучших практиках безопасности.
Участники платежной системы могут распространять эти оповещения своим партнерам, чтобы помочь обеспечить их осведомленность об уязвимостях, подверженных активно развивающимся видам атак и своевременное принятие ими мер по снижению рисков.
Клавиатурные шпионы: перехват нажатий клавиш и снимков экрана
В последние недели Visa зафиксировала рост числа атак с использованием клавиатурных шпионов в среде торогово-сервисных предприятий. Клавитаруный шпион — это вредоносное программное обеспечение, реализующее методы перехвата и записи нажатий клавиш, широко доступное в сети Интернет.
Клавиатурные шпионы, как и другие виды вредоносного программного обеспечения, могут распространяться как составные части троянов и вирусов, пересылаемых по электронной почте и активизирующихся при открытии опасного вложения в письмо или при переходе по заражённой ссылке. Также они могут быть установлены злоумышленником при наличии у него локального или удаленного доступа к компьютеру жертвы.
Определенные виды клавиатурных шпионов, зафиксированные Visa, пересылают данные о держателях карт на адреса электронной почты, либо передают их по прямому IP-соединению на узлы сети, контролируемые злоумышленниками. Обычно в таких случаях злоумышленник обладает возможностью установки клавиатурного шпиона на POS-систему благодаря наличию небезопасных механизмов удаленного доступа и недостаточно защищенной конфигурации сетевого оборудования. Анализ рядя клавиатурных шпионов показал, что для передачи данных за пределы сети организации они применяют протоколы FTP и SMTP, используя их стандартные порты (20, 21 и 25).
Рекомендуемые способы снижения рисков, связанных с клавиатурными шпионами
Принимая во внимание тот факт, что обнаружение клавиатурных шпионов может быть весьма проблематично, следующие меры должны быть применены в рамках поддержки соответствия организации требованиям стандарта PCI DSS с целью минимизации риска компрометации критичных систем, таких как POS-системы, серверы обработки транзакций и серверы баз данных:
Отключить ненужные механизмы удаленного доступа. В случае необходимости такого доступа, он должен включаться только на период его непосредственного использования. Не использовать стандартные и простые пароли, применять только те приложения для удаленного доступа, которые реализуют стойкие механизмы безопасности. Всегда применять двухфакторную аутентификацию.
Обеспечить безопасную конфигурацию сети. Организации должны использовать выделенный межсетевой экран, реализуя строгие правила контроля входящего и исходящего сетевого трафика, разрешая только соединения на те порты и сервисы, которые необхоимы для ведения бизнеса. Отключить FTP, SMTP и иные небезопасные порты в случае отсутствия необходимости в таких сервисах.
Непрерывно отслеживать, какие программы установлены на всех системах, своевременно обнаруживать неизвестные приложения и принимать соответствующие меры (удаление, отключение, безопасное конфигурирование и т. д.) для минимизации риска компрометации данных.
Выполнять периодические проверки наличия любых неизвестных устройств, в том числе устройств, подключенных к клавиатурам и мышкам.
Выполнять периодические проверки наличия в своих системах клавиатурных шпионов, идентифицированных Visa в ходе расследований инцидентов компрометации данных (см. Таблицу 1).
Установить современное антивирусное программное обеспечение и поддердживать его в актуальном состоянии. Если антивирусное программное обеспечение поддерживает эвристический анализ, следует его включить с целью обнаружения ранее неизвестных видов клавиатурных шпионов. Большинство антивирусных систем способны их обнаружить.
Установить анти-шпионское программное обеспечение с целью обнаружения клавиатурных шпионов и их удаления из систем организации.
Применять системы мониторинга сети и узлов (IDS/IPS), с целью своевременного обнаружения попыток соединений с IP-адресов злоумышленников или на их IP-адреса. Эта мера даст организации шанс предотвратить передачу клавиатурным шпионом накопленных критичных данных за пределы сети.
В случае обнаружения факта нарушения безопаности, немедленно оповестите банк-эквайер. Также Вы можете обратиться в Службу контроля мошеннческих действий Visa: cemeafraudcontrol@visa.com.
Таблица 1. Клавиатурные шпионы, идентифицированные Visa
(по состоянию на 11 марта 2010 года)
Имя файла |
Размер |
MD5 |
bpkhk.dll |
489 984 |
35f5478e190cc6614a6a5d4f1f380855 |
bpk.exe |
1 090 560 |
663267d3ed4af3582ea57ba03fb0da92 |
401 408 |
18bc32bb8a8d5a85cdafad5a4ecc4c73 |
bpkr.exe |
747 520 |
7231b6c5ca6addd905db7677200833e2 |
fstsmtp.exe |
1 560 661 |
80ee23ede41504b1a83654334148306f |
xxx.exe |
Неизвестен |
994ffae187f4e567c6efee378af66ad0 |
SMTPListener.exe |
Неизвестен |
5e289e10a2f3fe6b3080825f5dbf588f |
dll32.exe |
438 272 |
bae0fb25bcf05a5da7fde8dce759ee0d |
ToolKeylogger.exe |
2 007 040 |
4cf8307cac714fe4f2cbc5d46f5cf243 |
ToolKeylogger.xml |
6,432 |
3f4ad41f10ec18a7f27f2339ee500dda |
Англоязычный оригинал: http://usa.visa.com/download/merchants/key-logger-key-stroke-and-screen-capture.pdf.
| 
