Posté le décembre 16, 2019 à 6:58
VISA DIT QUE LES HACKERS CIBLENT LES SYSTÈMES DE POINTS DE VENTE DES STATIONS-SERVICE
L’entreprise de traitement des paiements Visa a averti que les systèmes de point de vente des stations-service des commerçants sont ciblés. La société émettrice de la carte indique que des hackers essaient d’installer des logiciels malveillants sur leurs réseaux. Les attaquants ont peut-être trouvé un point faible et découvert comment fonctionnent la pompe à essence et les opérateurs de stations-service. Le mois dernier, Visa a mis en garde contre une attaque imminente après avoir enquêté sur une série d’incidents liés à des attaques similaires sur des points de vente.
Le logiciel malveillant TPV exerce son activité en «scrapant» le RAM de l’ordinateur pour accéder aux données de cartes de paiement non cryptées des clients. Il récupère ensuite l’information et l’envoie à un serveur distant. Bien que les terminaux de point de vente de certains autres types de commerçants prennent en charge les transactions par carte à puce, ceux utilisés sur les pompes à essence n’utilisent pas la même technologie.
Les lecteurs de cartes installés sur les pompes à essence utilisent toujours une technologie plus ancienne qui ne peut décoder les données de paiement des clients qu’à partir de la bande magnétique de la carte. Cela les rend plus vulnérables aux attaques. Et, selon VISA, certains hackers ont trouvé un moyen d’infiltrer leur système.
Les attaquants ciblent les distributeurs de carburant
Le groupe VISA Payment Fraud Disruption (PFD) a déclaré qu’ils avaient identifié le premier incident de piratage informatique, dont les auteurs visaient des marchands de distributeurs de carburant. Il est dit que les attaquants non identifiés ont utilisé un courriel d’hameçonnage qui a compromis leur cible. Cela leur a permis d’utiliser un cheval de Troie d’accès à distance (RAT) pour infecter l’un des systèmes.
Une fois qu’ils ont infecté le système, les hackers avaient un accès total, ce qui rend très facile l’obtention de suffisamment d’informations d’identification sur le réseau. Grâce à l’accès, les hackers ont pu passer par le système TPV du réseau pour avoir accès à des informations sensibles. Ils ont employé l’étape finale de l’attaque en utilisant un RAM scraper. Grâce au scraper, ils ont été capable de voler les données des cartes de paiement des clients qui utilisaient le système TPV.
Comment les hackers infiltrent le système TPV
Ces hackers ont utilisé un modèle vectoriel relativement peu familier pour accéder au réseau et infecter le système de point de vente avec le logiciel malveillant. Ils ont utilisé le RAM scraper qui s’infiltrait notamment dans les transactions à piste magnétique.
VISA indique que le logiciel malveillant utilisé dans l’attaque TPV a déployé wmsetup.tmp, un fichier de sortie temporaire, qui contenait les données de paiement scrapées. Selon Visa, le fichier était auparavant connu pour ses attaques contre FIN8 et d’autres logiciels malveillants associés à FIN8. Un nouveau logiciel malveillant qui fonctionne sur la variante RM3 a également été découvert. Il s’agit d’un logiciel malveillant bancaire qui attaque par le biais de kits d’exploitation et de méthodes par hameçonnage.
Bien que ce nouveau logiciel malveillant n’ait pas été utilisé lors de l’attaque des distributeurs de carburant, Visa a indiqué qu’il est toujours possible que le logiciel malveillant soit déployé lors d’attaques futures ciblant les distributeurs.
Certains chercheurs en sécurité ont surveillé des attaques similaires au cours des quatre dernières années. Ils ont confirmé qu’il existe des preuves de ces attaques de logiciels malveillants sur les points de vente de certaines stations-service. Ces attaquants peuvent prendre des informations très sensibles sur les clients depuis le distributeur TPV et les envoyer vers un serveur distant.
Les systèmes de point de vente à bande magnétique sous radar
VISA a également averti que les systèmes de point de vente à bande magnétique pourraient faire l’objet d’attaques, car des hackers s’en sont pris au système. VISA a fait remarquer que le modèle d’attaque de ces hackers est très différent des méthodes populaires d’écrémage des pompes à essence.
La compagnie de cartes de crédit a déclaré que ce modèle nécessite plus de compétences techniques car les acteurs de la menace ont accès au réseau interne du commerçant. Selon VISA, il fallait un haut niveau de compétence technique pour réaliser un tel exploit de piratage. Le système de point de vente est très sophistiqué, mais ces nouveaux acteurs de menace trouvent toujours un moyen d’entrer dans le système interne du commerçant. VISA dit que c’est différent de la menace d’écrémage.
Le processeur de paiement avertit les commerçants de distributeurs de carburant qu’ils doivent être vigilants et prendre des contre-mesures pour protéger leur réseau. Ils peuvent utiliser des appareils qui prennent en charge une puce parce que cela réduira considérablement le nombre de ces attaques. VISA a fourni aux acquéreurs et aux commerçants différentes mesures qu’ils peuvent utiliser pour prévenir ces attaques sur leur réseau.