روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در طول همه‌گیری، مردم مجبور شدند در خانه‌ها خود را حبس کنند و خرید خود را به صورت آنلاین انجام دهند. نتیجه،‌کاهش قابل‌ملاحظه استفاده از دستگاه‌های پوز و خودپرداز بود. اکنون، همانطور که سال گذشته پیش‌بینی کرده بودیم، بسیاری در حال بازگشت به روش‌های معمول زندگی خود هستند: آن‌ها بازدید از فروشگاه‌ها و برداشت پول نقد را از سر گرفته‌اند و از این رو تهدید بدافزار PoS/ATM نیز رفته رفته دارد خطرناک می‌شود.  مجرمان سایبری این روزها راه‌های جدیدی را برای سرقت از بانک‌ها و سازمان‌ها به کار می‌گیرند و تعداد حملات نیز در حال افزایش است. با نفوذ به ترمینال ATM یا PoS، مهاجمین می‌توانند ده‌ها هزار دلار را یک شبه به دست آورند.  این خطر در مدل‌های قدیمی‌تر ATM بالاتر است، زیرا تعمیر یا تعویض آن‌ها دشوار است و به ندرت از نرم‌افزار امنیتی استفاده می‌شود. 

پایانه‌های PoS نیز به همان اندازه مورد حمله قرار می‌گیرند: تعداد کمی از مردم به این واقعیت فکر می‌کنند که این ماشین‌ها نیز نیاز به محافظت دارند، زیرا رمز حساب‌های بانکی صدها مشتری را در اختیار دارند. این دستگاه‌ها را می‌توان تقریباً در هر فروشگاه، رستوران یا هر نوع موسساتی پیدا کرد، اما دسترسی به آن‌ها برای کلاهبرداران نیز آسان‌تر است. دلیل حملات به دستگاه‌های ATM هم همین است: به دلیل تعداد زیاد پایانه‌های PoS، اکثر مالکین که از سیستم‌عامل‌های منسوخ استفاده می‌کنند خیلی دیر نسبت به به‌روزرسانی تجهیزات خود اقدام می‌کنند (ناگفته نماند سیستم‌عامل‌های منسوخ، نرم‌افزارهای قدیمی و بعضاً آسیب‌پذیر را اجرا می‌کنند). مهاجمین همواره در تلاشند برای حمله به ترمینال‌های پوز و دستگاه‌های خودپرداز بدافزارهایی را توزیع کنند که از قبل وجود داشته‌اند و به طور گسترده نیز استفاده می‌شدند. در نتیجه، هم تهدید از سوی این حملات و هم تعداد رخدادها رو به افزایش است.

متودولوژی

ما چشم‌انداز تهدید حملات بدافزار ATM/PoS و چگونگی تغییر آن را در سال‌های 2020-2022 مشاهده کردیم. به طور خاص، تعداد دستگاه‌های خودپرداز و پایانه‌های PoS آسیب‌دیده، جغرافیای حملات و خانواده‌های تهدید را که توسط مجرمان سایبری برای هدف قرار دادن قربانیان استفاده می‌شوند، بررسی نمودیم.  برای این منظور، آمار تهدیدات شبکه امنیتی کسپرسکی (KSN) - سیستمی برای پردازش داده‌های ناشناس مرتبط با تهدیدات سایبری که به‌طور داوطلبانه توسط کاربران کسپرسکی به اشتراک گذاشته شده است- را برای دوره بین ژانویه 2020 تا آگست 2022 تجزیه و تحلیل کردیم.

یافته‌های کلیدی

•         در هشت ماه اول سال 2022، تعداد دستگاه‌های منحصربه‌فرد تحت تأثیر بدافزار ATM/PoS نسبت به مدت مشابه در سال 2020، 19 درصد و در مقایسه با سال 2021 نزدیک به 4 درصد رشد داشته است.
•         با بهبودی پس از رکود سال 2020، تعداد حملات به طور پیوسته در حال رشد بود و ما انتظار داریم که فعالیت جرایم سایبری بیشتر افزایش یابد.
•         ثابت شد که HydraPOS و AbaddonPOS فعال ترین خانواده‌ها هستند. TOP-5 همچنین شامل Ploutus، RawPOS و Prilex می‌شد.

حملات بدافزاری خودپرداز/پوز: چطور کووید 19 بر این چشم‌انداز اثر گذاشت و در ادامه باید منتظر چه باشیم؟

در سال 2020، تعداد حملات به طور قابل توجهی در مقایسه با سال 2019 کاهش یافت (به گزارش بدافزار ATM/PoS برای سال‌های 2017–2019 مراجعه کنید). به طور خاص، تعداد سیستم‌های تحت تأثیر از بیش از 8000 در سال 2019 به کمتر از 5000 در سال 2020 کاهش یافت. عوامل متعددی پشت این موضوع وجود دارد. در آمریکای لاتین، یکی از "بی قرارترین" مناطق از نظر فعالیت بدافزار ATM/POS، بسیاری از دستگاه‌ها در طول دوران قرنطینه و محدودیت های رسمی خاموش شدند. جدای از آن، تعداد ماشین‌های پول نقد در سراسر جهان رو به کاهش است: برای مثال، تعداد کل دستگاه‌های خودپرداز در بریتانیا از سال 2015 هر سال کاهش یافته است. در عربستان سعودی، تعداد ماشین‌های عامل در سال 2021 10 درصد کاهش یافت.

در نتیجه، مهاجمین با بازار رو به کاهشی مواجه شدند. این روند همچنین می‌تواند به خرج کمتر مصرف‌کنندگان در طول شیوع کووید-19 در سال 2020 مرتبط باشد. طبق آمار بانک مرکزی ایرلند، خریدهای کمتر با کارت و برداشت‌های نقدی کمتری انجام شده است. برنامه‌های واکسیناسیون موفق و برداشتن محدودیت‌های کووید به مصرف‌کنندگان این امکان را داده است که به سبک همیشگی زندگی خود بازگردند و الگوهای خرج کردن عادی در حال بازگشت هستند. در سال 2021، تعداد دستگاه‌های تحت تأثیر بدافزار ATM/PoS نسبت به سال گذشته 39 درصد افزایش یافت. در هشت ماه اول سال 2022، تعداد دستگاه‌های منحصربه‌فرد که تحت‌اشعاع بدافزار ATM/PoS قرار گرفتند نسبت به مدت مشابه در سال 2020، 19 درصد و در مقایسه با سال 2021 نزدیک به 4 درصد رشد داشته است. با این تفاسیر می‌توان رشد تراکنش‌های ATM/PoS و افزایش مرتبط در فعالیت مهاجم را در آینده پیش‌بینی کرد.

کدام مهره‌ها باید بیشتر مراقب باشند؟ «بی‌قرارترین» مناطق در طول سال‌های 2020 تا 2022

روسیه در سال های 2017-2021 پیشرو بود. دستگاه های خودپرداز این کشور نسبتاً قدیمی است و هک کردنشان برای مجرمین اصطلاحاً مثل آبِ خوردن است. تجهیزات قدیمی‌تر برای اکثر خانواده‌های بدافزار آسیب‌پذیر هستند و از سطح امنیت سایبری نسبتاً پایینی برخوردار هستند. بسیاری از نسخه‌های ویندوز مورد استفاده در دستگاه‌های خودپرداز مدت‌هاست که پشتیبانی‌شان تمام شده، اما همچنان خدمات‌رسانی دارند. برزیل، یکی از اعضای ثابت TOP در 2017-2022، وضعیت مشابهی دارد: خودپردازهای آن نیز نسبتا قدیمی‌اند. علاوه بر این، مهاجمین در منطقه مشغول ایجاد انواع جدیدی از بدافزارهای موجود بوده اند.زیمبابوه در سال 2021 در TOP-5 اولین حضور خود را کلید زد و در سال 2022 در بین رهبران باقی ماند.

این کشور دارای روابط اقتصادی قوی با چین است که به بسیاری از نقاط آفریقا سرمایه گذاری و نیروی انسانی صادر می‌کند. این نقش کلیدی در رشد اقتصادی زیمبابوه ایفا می‌کند: سرمایه‌گذاران چینی در حال روی کار آوردن مشاغل جدید هستند، مانند هتل‌ها و انواع دیگر موسسات که قبلاً در آفریقا غیرمعمول بودند. این بهبود در زیرساخت جریان‌های نقدی ایجاد کرده و منطقه را به یک هدف جذاب برای مجرمان سایبری تبدیل می‌کند.

10 کشور برتر در تعداد دستگاه‌های آلوده به بدافزار خودپرداز/پوز از 2020 تا 2022

سال 2020

سال 2021

سال 2022

فعال‌ترین بدافزارهای سال 2022

1.      HydraPoS با سهم شناسایی 36 درصد
2.      AbaddonPoS با سهم شناسایی 35 درصد
3.      Ploutus با سهم شناسایی 3 درصد
4.      RawPoS با سهم شناسایی 2 درصد
5.      Prilex با سهم شناسایی 2 درصد

نتیجه‌گیری و توصیه‌های امنیتی

تصور زندگی امروز بدون دسترسی آسان به خدمات خودکار برداشت وجه نقد دشوار است. سیستم‌های تعبیه شده در دستگاه های خودپرداز و پایانه‌های PoS در این زمینه به ما کمک می‌کنند. هر چه این بازار پول بیشتری جمع کند، مهاجمین سایبری نیز حریص‌تر می‌شوند. علیرغم کاهش بزهکاری‌های این حوزه در طول همه‌گیری، مهاجمین در دو سال گذشته دوباره فعالیت‌های خود را افزایش داده‌اند: حملات و شناسایی‌ها در حال افزایش است زیرا انواع جدیدی از خانواده بدافزارهای شناخته شده ظاهر شده‌اند. مدل‌های جدید کسب‌وکار جرایم سایبری مانند "بدافزار به‌عنوان سرویس" آمده‌اند تا کار مهاجمین را آسان‌تر کنند. کسب و کارها باید هوشمندتر از همیشه باشند و از سیستم‌ها و داده های خود محافظت کنند. برای مصون ماندن از گزند حملات مربوط به دستگاه‌ها پوز و خودپرداز توصیه ما این است که:

•         از راهکاری چندلایه استفاده کنید. انتخاب مجموعه بهینه‌ای از لایه‌های محافظتی برای دستگاه‌هایی با سطوح مختلف قدرت پردازش و سناریوهای پیاده‌سازی بهترین انتخاب است.
•          تکنیک‌های خودمحافظتی[1] را در ماژول‌های PoS اجرا کنید، مانند حفاظت موجود در Kaspersky SDK، که هدف آن جلوگیری از دستکاری کدهای مخرب در تراکنش‌های مدیریت شده توسط آن ماژول‌ها است.
•         از سیستم‌های قدیمی‌تر با امنیت به‌روز محافظت کنید که برای ارائه طیف کاملی از ویژگی‌های قابل استفاده در نسخه‌های قدیمی‌تر ویندوز و آخرین نسخه‌ها بهینه شده است. این باعث می‌شود کسب‌وکارها مطمئن شوند در آینده‌ای قابل پیش‌بینی از خانواده‌های قدیمی‌تر حمایت کامل خواهد شد و در صورت می‌شود آن‌ها را آپگرید نیز کرد.
•         راهکاری مانند Kaspersky Embedded Systems Security نصب کنید که از دستگاه‌ها در برابر بردارهای مختلف حمله محافظت می‌کند. اگر دستگاه دارای مشخصات سیستم بسیار پایین باشد، این راهکار کسپرسکی همچنان آن را با سناریوی Default Deny محافظت می‌کند.
•         برای مؤسسات مالی که مورد حملات مربوط به پوز و ATM قرار گرفته‌اند، Kaspersky موتور Attribution Threat را توصیه می‌کند تا به تیم‌های IR در یافتن و شناسایی فایل‌های Prilex در محیط‌های مورد حمله کمک کند.
•         به تیم خود دسترسی به آخرین منابع هوش تهدید را بدهید. پورتال هوش تهدید کسپرسکی یک نقطه دسترسی واحد برای TI این شرکت است که داده‌های حملات سایبری و اطلاعات جمع‌آوری شده را توسط کسپرسکی در بیست سال گذشته ارائه می‌دهد. کسپرسکی اعلام کرده است که برای کمک به کسب‌وکارها جهت فعال کردن لایه دفاعی مؤثر در این شرایط بحرانی، دسترسی رایگان به اطلاعات مستقل، به‌روزرسانی پیوسته و منبع جهانی در مورد حملات سایبری و تهدیدات را ارائه خواهد داد.  

[1] self-protection techniques

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.