روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در طول همهگیری، مردم مجبور شدند در خانهها خود را حبس کنند و خرید خود را به صورت آنلاین انجام دهند. نتیجه،کاهش قابلملاحظه استفاده از دستگاههای پوز و خودپرداز بود. اکنون، همانطور که سال گذشته پیشبینی کرده بودیم، بسیاری در حال بازگشت به روشهای معمول زندگی خود هستند: آنها بازدید از فروشگاهها و برداشت پول نقد را از سر گرفتهاند و از این رو تهدید بدافزار PoS/ATM نیز رفته رفته دارد خطرناک میشود. مجرمان سایبری این روزها راههای جدیدی را برای سرقت از بانکها و سازمانها به کار میگیرند و تعداد حملات نیز در حال افزایش است. با نفوذ به ترمینال ATM یا PoS، مهاجمین میتوانند دهها هزار دلار را یک شبه به دست آورند. این خطر در مدلهای قدیمیتر ATM بالاتر است، زیرا تعمیر یا تعویض آنها دشوار است و به ندرت از نرمافزار امنیتی استفاده میشود.
پایانههای PoS نیز به همان اندازه مورد حمله قرار میگیرند: تعداد کمی از مردم به این واقعیت فکر میکنند که این ماشینها نیز نیاز به محافظت دارند، زیرا رمز حسابهای بانکی صدها مشتری را در اختیار دارند. این دستگاهها را میتوان تقریباً در هر فروشگاه، رستوران یا هر نوع موسساتی پیدا کرد، اما دسترسی به آنها برای کلاهبرداران نیز آسانتر است. دلیل حملات به دستگاههای ATM هم همین است: به دلیل تعداد زیاد پایانههای PoS، اکثر مالکین که از سیستمعاملهای منسوخ استفاده میکنند خیلی دیر نسبت به بهروزرسانی تجهیزات خود اقدام میکنند (ناگفته نماند سیستمعاملهای منسوخ، نرمافزارهای قدیمی و بعضاً آسیبپذیر را اجرا میکنند). مهاجمین همواره در تلاشند برای حمله به ترمینالهای پوز و دستگاههای خودپرداز بدافزارهایی را توزیع کنند که از قبل وجود داشتهاند و به طور گسترده نیز استفاده میشدند. در نتیجه، هم تهدید از سوی این حملات و هم تعداد رخدادها رو به افزایش است.
متودولوژی
ما چشمانداز تهدید حملات بدافزار ATM/PoS و چگونگی تغییر آن را در سالهای 2020-2022 مشاهده کردیم. به طور خاص، تعداد دستگاههای خودپرداز و پایانههای PoS آسیبدیده، جغرافیای حملات و خانوادههای تهدید را که توسط مجرمان سایبری برای هدف قرار دادن قربانیان استفاده میشوند، بررسی نمودیم. برای این منظور، آمار تهدیدات شبکه امنیتی کسپرسکی (KSN) - سیستمی برای پردازش دادههای ناشناس مرتبط با تهدیدات سایبری که بهطور داوطلبانه توسط کاربران کسپرسکی به اشتراک گذاشته شده است- را برای دوره بین ژانویه 2020 تا آگست 2022 تجزیه و تحلیل کردیم.
یافتههای کلیدی
- در هشت ماه اول سال 2022، تعداد دستگاههای منحصربهفرد تحت تأثیر بدافزار ATM/PoS نسبت به مدت مشابه در سال 2020، 19 درصد و در مقایسه با سال 2021 نزدیک به 4 درصد رشد داشته است.
- با بهبودی پس از رکود سال 2020، تعداد حملات به طور پیوسته در حال رشد بود و ما انتظار داریم که فعالیت جرایم سایبری بیشتر افزایش یابد.
- ثابت شد که HydraPOS و AbaddonPOS فعال ترین خانوادهها هستند. TOP-5 همچنین شامل Ploutus، RawPOS و Prilex میشد.
حملات بدافزاری خودپرداز/پوز: چطور کووید 19 بر این چشمانداز اثر گذاشت و در ادامه باید منتظر چه باشیم؟
در سال 2020، تعداد حملات به طور قابل توجهی در مقایسه با سال 2019 کاهش یافت (به گزارش بدافزار ATM/PoS برای سالهای 2017–2019 مراجعه کنید). به طور خاص، تعداد سیستمهای تحت تأثیر از بیش از 8000 در سال 2019 به کمتر از 5000 در سال 2020 کاهش یافت. عوامل متعددی پشت این موضوع وجود دارد. در آمریکای لاتین، یکی از "بی قرارترین" مناطق از نظر فعالیت بدافزار ATM/POS، بسیاری از دستگاهها در طول دوران قرنطینه و محدودیت های رسمی خاموش شدند. جدای از آن، تعداد ماشینهای پول نقد در سراسر جهان رو به کاهش است: برای مثال، تعداد کل دستگاههای خودپرداز در بریتانیا از سال 2015 هر سال کاهش یافته است. در عربستان سعودی، تعداد ماشینهای عامل در سال 2021 10 درصد کاهش یافت.
در نتیجه، مهاجمین با بازار رو به کاهشی مواجه شدند. این روند همچنین میتواند به خرج کمتر مصرفکنندگان در طول شیوع کووید-19 در سال 2020 مرتبط باشد. طبق آمار بانک مرکزی ایرلند، خریدهای کمتر با کارت و برداشتهای نقدی کمتری انجام شده است. برنامههای واکسیناسیون موفق و برداشتن محدودیتهای کووید به مصرفکنندگان این امکان را داده است که به سبک همیشگی زندگی خود بازگردند و الگوهای خرج کردن عادی در حال بازگشت هستند. در سال 2021، تعداد دستگاههای تحت تأثیر بدافزار ATM/PoS نسبت به سال گذشته 39 درصد افزایش یافت. در هشت ماه اول سال 2022، تعداد دستگاههای منحصربهفرد که تحتاشعاع بدافزار ATM/PoS قرار گرفتند نسبت به مدت مشابه در سال 2020، 19 درصد و در مقایسه با سال 2021 نزدیک به 4 درصد رشد داشته است. با این تفاسیر میتوان رشد تراکنشهای ATM/PoS و افزایش مرتبط در فعالیت مهاجم را در آینده پیشبینی کرد.
کدام مهرهها باید بیشتر مراقب باشند؟ «بیقرارترین» مناطق در طول سالهای 2020 تا 2022
روسیه در سال های 2017-2021 پیشرو بود. دستگاه های خودپرداز این کشور نسبتاً قدیمی است و هک کردنشان برای مجرمین اصطلاحاً مثل آبِ خوردن است. تجهیزات قدیمیتر برای اکثر خانوادههای بدافزار آسیبپذیر هستند و از سطح امنیت سایبری نسبتاً پایینی برخوردار هستند. بسیاری از نسخههای ویندوز مورد استفاده در دستگاههای خودپرداز مدتهاست که پشتیبانیشان تمام شده، اما همچنان خدماترسانی دارند. برزیل، یکی از اعضای ثابت TOP در 2017-2022، وضعیت مشابهی دارد: خودپردازهای آن نیز نسبتا قدیمیاند. علاوه بر این، مهاجمین در منطقه مشغول ایجاد انواع جدیدی از بدافزارهای موجود بوده اند.زیمبابوه در سال 2021 در TOP-5 اولین حضور خود را کلید زد و در سال 2022 در بین رهبران باقی ماند.
این کشور دارای روابط اقتصادی قوی با چین است که به بسیاری از نقاط آفریقا سرمایه گذاری و نیروی انسانی صادر میکند. این نقش کلیدی در رشد اقتصادی زیمبابوه ایفا میکند: سرمایهگذاران چینی در حال روی کار آوردن مشاغل جدید هستند، مانند هتلها و انواع دیگر موسسات که قبلاً در آفریقا غیرمعمول بودند. این بهبود در زیرساخت جریانهای نقدی ایجاد کرده و منطقه را به یک هدف جذاب برای مجرمان سایبری تبدیل میکند.
10 کشور برتر در تعداد دستگاههای آلوده به بدافزار خودپرداز/پوز از 2020 تا 2022
سال 2020
|
کشور
|
دستگاهها
|
|
روسیه
|
952
|
|
ایران
|
891
|
|
برزیل
|
361
|
|
ویتنام
|
222
|
|
هند
|
210
|
|
آمریکا
|
165
|
|
ایتالیا
|
150
|
|
ترکیه
|
122
|
|
آلمان
|
121
|
|
چین
|
118
|
سال 2021
|
کشور
|
دستگاهها
|
|
روسیه
|
3036
|
|
ایران
|
495
|
|
زیمباوه
|
435
|
|
برزیل
|
245
|
|
هند
|
242
|
|
ویتنام
|
157
|
|
آمریکا
|
156
|
|
آلمان
|
134
|
|
چین
|
127
|
|
ایتالیا
|
120
|
سال 2022
|
کشور
|
دستگاهها
|
|
سوئیس
|
1498
|
|
روسیه
|
1411
|
|
ایران
|
315
|
|
زیمباوه
|
200
|
|
برزیل
|
121
|
|
هند
|
81
|
|
آمریکا
|
69
|
|
چین
|
63
|
|
ویتنام
|
49
|
|
آلمان
|
38
|
فعالترین بدافزارهای سال 2022
- HydraPoS با سهم شناسایی 36 درصد
- AbaddonPoS با سهم شناسایی 35 درصد
- Ploutus با سهم شناسایی 3 درصد
- RawPoS با سهم شناسایی 2 درصد
- Prilex با سهم شناسایی 2 درصد
نتیجهگیری و توصیههای امنیتی
تصور زندگی امروز بدون دسترسی آسان به خدمات خودکار برداشت وجه نقد دشوار است. سیستمهای تعبیه شده در دستگاه های خودپرداز و پایانههای PoS در این زمینه به ما کمک میکنند. هر چه این بازار پول بیشتری جمع کند، مهاجمین سایبری نیز حریصتر میشوند. علیرغم کاهش بزهکاریهای این حوزه در طول همهگیری، مهاجمین در دو سال گذشته دوباره فعالیتهای خود را افزایش دادهاند: حملات و شناساییها در حال افزایش است زیرا انواع جدیدی از خانواده بدافزارهای شناخته شده ظاهر شدهاند. مدلهای جدید کسبوکار جرایم سایبری مانند "بدافزار بهعنوان سرویس" آمدهاند تا کار مهاجمین را آسانتر کنند. کسب و کارها باید هوشمندتر از همیشه باشند و از سیستمها و داده های خود محافظت کنند. برای مصون ماندن از گزند حملات مربوط به دستگاهها پوز و خودپرداز توصیه ما این است که:
- از راهکاری چندلایه استفاده کنید. انتخاب مجموعه بهینهای از لایههای محافظتی برای دستگاههایی با سطوح مختلف قدرت پردازش و سناریوهای پیادهسازی بهترین انتخاب است.
- تکنیکهای خودمحافظتی[1] را در ماژولهای PoS اجرا کنید، مانند حفاظت موجود در Kaspersky SDK، که هدف آن جلوگیری از دستکاری کدهای مخرب در تراکنشهای مدیریت شده توسط آن ماژولها است.
- از سیستمهای قدیمیتر با امنیت بهروز محافظت کنید که برای ارائه طیف کاملی از ویژگیهای قابل استفاده در نسخههای قدیمیتر ویندوز و آخرین نسخهها بهینه شده است. این باعث میشود کسبوکارها مطمئن شوند در آیندهای قابل پیشبینی از خانوادههای قدیمیتر حمایت کامل خواهد شد و در صورت میشود آنها را آپگرید نیز کرد.
- راهکاری مانند Kaspersky Embedded Systems Security نصب کنید که از دستگاهها در برابر بردارهای مختلف حمله محافظت میکند. اگر دستگاه دارای مشخصات سیستم بسیار پایین باشد، این راهکار کسپرسکی همچنان آن را با سناریوی Default Deny محافظت میکند.
- برای مؤسسات مالی که مورد حملات مربوط به پوز و ATM قرار گرفتهاند، Kaspersky موتور Attribution Threat را توصیه میکند تا به تیمهای IR در یافتن و شناسایی فایلهای Prilex در محیطهای مورد حمله کمک کند.
- به تیم خود دسترسی به آخرین منابع هوش تهدید را بدهید. پورتال هوش تهدید کسپرسکی یک نقطه دسترسی واحد برای TI این شرکت است که دادههای حملات سایبری و اطلاعات جمعآوری شده را توسط کسپرسکی در بیست سال گذشته ارائه میدهد. کسپرسکی اعلام کرده است که برای کمک به کسبوکارها جهت فعال کردن لایه دفاعی مؤثر در این شرایط بحرانی، دسترسی رایگان به اطلاعات مستقل، بهروزرسانی پیوسته و منبع جهانی در مورد حملات سایبری و تهدیدات را ارائه خواهد داد.
[1] self-protection techniques
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
