收銀系統的 POS 機是怎麼被黑客攻擊控制,並盜竊資料的?
&> 國土安全部周五表示,過去一年中,情報部門已經對多家感染「Backoff」惡意軟體的企業網路做出了響應。此外,許多受害的公司很可能並不清楚自己的網路已被感染。另一方面,7家POS系統提供商也確認,多家客戶受到惡意軟體的影響。
Source: 美國千餘商店收銀系統遭攻擊:泄露交易數據 U.S. Finds "Backoff" Hacker Tool Is Widespread - NYTimes.com
本人處在POS機這個行業,從經驗上看,這個問題我覺樓主解讀有誤,這裡面被黑的不是POS機,而是POS機的收銀系統。首先POS機用的不是windows系統,大部分是嵌入式Linux系統,或者wince系統,一般的木馬程序幾乎沒有執行的可能性。
其次是POS機一般會從三個方面保證POS的安全性:
1.專線操作。如果是無線POS,那麼就走APN撥號。網線就是拉專線,走電話線更沒有木馬傳播的可能性。2.安全晶元保證。POS的加密解密動作都是有加密晶元保證的,而加密晶元都是要過國際的PCI等認證。不只是安全晶元,讀卡器,機具都有過一大堆的認證,大部分認證的技術含量是比較高的,足夠保證POS的安全。3.專人管理。這個就不說了,POS機的使用都需要授權,後天也有異常檢測機制。凡是涉及金融交易的,沒有人敢夠承擔相應的責任。再過POS認證的時,有一些評分機制,其中有一項需要抵擋住專家用幾百萬美元的設備攻擊系統8個小時(超市休息的時間)。如果不是對POS系統和銀行系統有極深的了解,並且投入上千萬的資金,很難入侵POS機(當然最堅固的密碼系統抵擋不住你非得設置123456這個密碼,希望你懂我的意思)。所以我覺得這個應該是木馬侵入了POS的進銷存管理軟體,這樣的話會獲取到一些銀行卡信息,但是從目前國內的用卡情況看,對我們造不成什麼影響。謝邀。樓上已經回答的相當清楚了,翻牆出去找了一下相關的新聞,在此補充一下,從報導的內容來看,這種病毒是侵入pos機本身,然後將pos機得到的信用卡數據傳出去,從系統架構來講,pos機確實容易入侵,前提是系統基於win開發,洞可能比較多,而且網路化經營,據我所知國外有很多的專業it公司是幫助客戶處理pos數據的,像target這樣的公司自己建一套機房配套人馬來干這件事明顯不如it外包。所以如果入侵,最好下手的地方應該是外包公司,而且如果採用的是常鏈鏈路,攻擊的可能性就大大提升了。國內pos機是拔號的居多,都是接入銀聯繫統,從安全性來講,銀聯的網路是專網,常年有人打理,被攻破的可能性是不大的,無它,數據鏈路臨時,雙端加密傳數據,只開必要的埠,單是這幾樣就讓攻擊的可能性少了很多。但是單台的pos上被人種了木馬,這個絕對是有可能的,關鍵是數據要傳出去,在中國信任危機這麼嚴重的情況下,幾乎是不可能的。----------------------------------------------------------------------------------補充一下:
謝謝樓下Yang的資料,借著詞典花了點時間看看Target的分析報告,新聞里所說的POS系統入侵,整個過程是黑客先入侵了供應商的網路,此供應商的網路有帳號可以訪問Target的網,在獲得了進入Target的網路許可權後,可能利用Target網路中的缺陷,進入到POS系統的伺服器,通過伺服器再給每台POS機上安裝一個內存駐留程序,記錄下所有的數據,然後通過防火牆將數據傳出。從整個過程來看,Target的系統至少存在幾個問題:1、授權外部人員訪問公司內部網路;2、網段之間沒有足夠的安全劃分;3、防入侵、防毒軟體的多次警告被忽略,網路人員存在責任心的問題;4、防火牆向外的數據包沒有給以足夠的重視,11G的數據傳輸至少應該引起網管人員的警覺。如果能解決系統設計上的問題,人員加強管理,這種入侵幾乎是不可能發生的。
謝邀我不知道國外的收銀系統是怎樣的網路架構。國內呢,大部分是內部區域網。收銀系統分客戶端和服務端,客戶端一般是不聯入互聯網的。服務端也就是伺服器,按道理也是不聯互聯網,為了安全所有的這一套應該是獨立的,專用交換機,專門一個區域網絡。但是,現在企業很多都是連鎖經營,有些會有專用光纖,也就是專線,這個比較安全,相對來說仍然是獨立的。這種可能只適用同城。。其它的為了數據傳輸,伺服器就不得不接入互聯網了,這就給入侵提供了路線。 那先說下獨立區域網的入侵,一般是通過U盤,手機等第三方usb口工具感染病毒或者惡意軟體,然後擴散至整個區域網。這種情況更多的是會對數據進行惡意破壞,比較難泄露,當然也不是沒有可能傳輸出數據,我們知道軟體是經常更新的,雖然專業人士絕對不會讓它聯網自動升級,但有很多人會在伺服器切換網路,只要一聯網,就OK了。這種情況更像釣魚,餌料已經放進去,就等魚吃了。 至於另一種,服務端之間通過互聯網交換數據的,那更像撒網捕魚。入侵起來就容易得多。補充:至於pos機,國內是通過電話撥號,聯繫銀行,在國內pos機本身入侵應該有可能吧,但是數據傳輸很難,要入侵,應該是從銀行卡,或者電信撥號接入口,或者銀行本身入手。
首先普及下pos機的一些基本知識。 首先,pos機也分好幾類,不是所有的pos機都可以入侵。 其次,pos機和銀行其實沒直接關係。 pos機在我們腦海中好像是個刷銀行卡消費的機器,其實它英文名叫pointofsales,全稱叫銷售點情報管理系統。這個系統里的一個模塊,具有電子資金交易功能。 如果某人問,這個pos系統會不會被黑,答案是當然可以。
先說超市的pos系統。
大家去超市都可以看到,收銀台是一排,有許多pos終端。這些終端和伺服器組成一個內部的區域網絡,結合進銷存,財務鏈等行業特定的軟體進行整個超市系統的管理。這樣的pos機本身不存儲任何數據,所有數據都會存到伺服器上,伺服器一般會做成應用+數據的雙機HA,在加上一個異地容災。系統絕大部分是linux或者類unix系統。所以你看到了,任何一台應用伺服器或者資料庫伺服器或者容災伺服器被攻陷了,都有全部被黑掉的可能。這個原理和攻擊網站伺服器這樣的是一樣的。 再說說刷卡機。 一般小型商戶都會配刷卡機。刷卡機是由銀聯支付平台提供的,所以能支持所有銀聯的借記卡和信用卡。境外也有自己的支付平台,國際通用的就是visa還有mastercard。產生一筆交易後,其實是和銀聯平台進行結算的,之後銀聯才會和具體的銀行進行結算。銀聯平台和銀行之間的節點一般都用mpls的vpn。唯一通道。並且加密強度大,所以被黑的可能很小很小。那麼從商戶到銀聯平台呢? 商戶到銀聯平台有兩種通信方式,一種是走gsm網路,通過gsm簡訊。另外一種是走電話線,撥號。 走電話線撥號和我們普通的adsl原理差不多,只不過它不是明文走的,它在撥上對方的ppoe伺服器的同時,也會撥上對方的vpn伺服器,握手成功後,就可以通信了。主要授權方式還是刷卡人的卡號和密碼。所以不排除有某些很變態的牛人設計了硬體木馬,讀取了按鍵操作碼,磁卡信息等。如果說是通過偵聽vpn通道,抓包來實現入侵的。我認為這種牛人應該不會出現在生活中……他應該是站在食物鏈頂端的男人。 所以怎麼被黑? 第一,有伺服器的入侵伺服器。第二,沒伺服器的設計附加上去軟硬體,截獲。第三,直接入侵到銀行的vpn通信網路中…… 回答好了。謝謝。謝邀。POS機獨立出來看,實際上就是一台有銀行客戶端的PC機,一般通過網線,WiFi或者各大運營商連接網銀系統。商店內使用的POS機,可以執行刷卡操作,記錄流水。有的黑客,只需要破解進入WiFi然後掃描內部埠發現開發的服務後便可以執行各種入侵操作。
資料來源:《掘金黑客》
PS:而目前看到的手持POS機,沒有機會研究,猜測是通過運營商網路進入內部金融系統。這方面水平有限,請大牛補充。謝謝。謝邀!不過,這個問題已經有非常好的分析報告,我就不瞎扯了美國國會參議院商業、科學及交通委員會關於Target事件的調查報告A 「Kill Chain」
Analysis of the 2013
Target Data Breach senate.gov 的頁面
沒人覺得這可能是想黑pos的人發的貼?
目前國內尚無POS機本身被入侵的報道。後台管理 倒是有可能。
謝邀。沒有實際做過POS機系統,但無非也是常規架構。POS機做為客戶端其實僅收集消費數據,對整個系統無管理許可權或許可權最低級別,即使入侵也得不到重要數據。在傳輸部位,雖然POS以各種方式先連入公網,但最終要接入銀行系統的專網,專網由加密線路建設(曾在某稅務機關項目見過有專用加密網及備用網路與銀行對接),入侵難度相當大,除非帶兵攻佔網路節點機房...所以個人認為可以入侵的唯一弱點就在伺服器所在位置,而且是真正值得通過入侵來獲取的數據所在地。
pos機必須要接入電腦終端,當把終端控制後pos機流入的資料不是都可以瞄到了嘛,當然這只是其中一種辦法而已啦
pos端在設計時要過pci, pboc之類的認證,針對pos端的風險進行評估,如加硬體攻擊等風險。pos跟後台是通訊是密文。不排除廠商作假,所以攻擊pos端是有可能的。
瀉藥。這個真心不懂。但是一句話能概括所有問題。網路沒有核心,網路必然會被攻擊,只要存在鏈路,就有攻擊成功的可能和方法。
有一部關於信息泄露的小說《Bullseye Breach: Anatomy Of An Electronic Break-in》,裡面提到了Bullseye這家連鎖超市發生的信用卡數據泄露,值得一看。
我本人對銀行POS機了解不多。
pose機也是個計算機,本身由具有網路連接能力;如果,實現pose機使用的是同樣操作系統,例如安卓或linux啥的,破解植入一個截取卡信息的木馬還是有可能的,再通過網路傳出。。。
推薦閱讀:
※如何看待餘額寶於2014年2月再次爆出漏洞的情況?
※DDoS(分散式拒絕服務)攻擊是無解的嗎?
※如何看待招行一網通強制改為手機登錄並使用弱密碼?
※交友軟體是怎麼知道我的姓名和電話號碼的?
※HMAC與MAC演算法在密碼學的區別?