Embora os standards de segurança na indústria dos pagamentos com cartão (PCI-DSS) ofereçam uma forte segurança desde a transação inicial, devido ao facto de os dados serem guardados nos próprios sistemas do retalhista, “não se trata de um modelo invulnerável”, como destaca Rui Duro, Sales Manager da Check Point em Portugal. “Há um período de tempo muito curto em que os dados do cartão de crédito do cliente - incluindo o nome, número de cartão, data de validade e os três dígitos de segurança - estão em texto simples. Isto deve-se ao facto de os sistemas do processo de pagamento trabalharem com dados desencriptados, o que representa uma falha de segurança que é aproveitada pelas ferramentas ‘RAM scraping’ ”.

Quando os dados de um cartão são lidos por um POS, são guardados temporariamente numa memória de acesso aleatório enquanto se processa a autorização da compra (antes permanecem encriptados). Do mesmo modo, do outro lado, quanto o servidor começa a processar a transação do utilizador, os dados são temporariamente desencriptados e armazenados na memória. A informação é visível durante una fração de segundo, mas é tempo suficiente para que estas ferramentas de malware façam o seu trabalho.

Estas ferramentas firam, portanto, desenhadas para serem ativadas no preciso momento em que ocorre a transação, e assim obter os números de cartão da RAM à medida que novos dados são carregados para essa memória. “Posteriormente, a informação é copiada de forma silenciosa para um ficheiro de texto e, quando um determinado número de scrapers é conseguido, todos os dados são, então, enviados para os cibercriminosos”, comenta Rui Duro.

De acordo com a Check Point, devido ao facto de que tanto os sistemas como os POS das lojas estão ligados à Internet, é provável que a infeção original tenha sido realizada por métodos convencionais: ou depois de se clicar num link de uma página web maliciosa ou de se abrir um ficheiro anexo a uma mensagem de email dirigida a algum funcionário da empresa. Outra opção pode ser ainda a existência de uma vulnerabilidade aproveitada pelos atacantes para obterem acesso remoto à rede.

Proteção para o POS

Com o objetivo de bloquear futuros exploits baseados em “RAM scraping” ou outros ataques contra os POS das lojas, as recomendações para os proprietários deste tipo de elementos são as seguintes: 

• Usar passwords complexas nos POS e alterar a configuração que vem de fábrica.
• Atualizar as aplicações dos POS. Do mesmo modo que se faz com o demais software da empresa, também os POS devem contar com as últimas atualizações para reduzir a sua exposição a vulnerabilidades.
• Contar com um firewall para proteger os POS e isolá-los de outras redes.
• Utilizar ferramentas antivírus e mantê-las completamente atualizadas
• Restringir o acesso à Internet dos POS ou sistemas similares para prevenir uma exposição acidental a qualquer ameaça de segurança.
• Desativar o aceso remoto aos terminais POS.

Ainda assim, as empresas deveriam ainda considerar contramedidas adicionais para adicionar novas capas de proteção contra infeções de malware. As soluções de emulação apresentam-se como uma alternativa perfeita para identificar e isolar ficheiros maliciosos antes que penetrem na rede empresarial.

 “Como conclusão, é importante destacar que estas novas ameaças não só afetam o sector retalhista, como podem chegar a qualquer empresa que processe um determinado volume de pagamentos com cartões, desde espaços de restauração e lazer, organismos financeiros ou hospitais. Todas as organizações que utilizam constantemente este tipo de POS deveriam prestar uma cuidadosa atenção à possibilidade de serem vítimas de um ataque e tomar as medidas pertinentes”, conclui Rui Duro.