Einbrüche in Verkaufsstellen-Systeme

Trend Micro Forschungsbericht Einbrüche in Verkaufsstellen-Systeme Bedrohungen für den Einzelhandel und das Gastgewerbe Trend Micro Incorporated

HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unter stützung gedacht. Die Genauigkeit der Übersetzung wird weder garan tiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Um fang um die Bereitstellung genauer und aktueller Informationen, über nimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch still schweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un möglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.

Inhaltsverzeichnis Verkaufsstellensysteme in Einzelhandels-/Gastgewerbe-Netzwerken... 4 Setup-Schwächen der PoS-Geräte und -Netzwerke...5 Hacken von PoS-Geräten...5 Hacken der Netzwerkkommunikation...6 Spezifische Server als Ziel...7 Eintrittspunkt und laterale Bewegungen im Netzwerk... 8 Ein Updatemechanismus oder eine andere Möglichkeit, Malware breitflächig zu installieren...9 Datenexfiltration...10 Bekannte PoS-Geräteschädlinge und das Abgreifen von Kreditkarteninformationen... 11 ALINA...12 vskimmer...12 Dexter...12 FYSNA...12 Decebel...13 BlackPOS...13 Zusätzlich eingesetzte Bedrohungen...13 Auswirkungen von PoS-Hacks auf die Branche und die Verbraucher... 14 Was können Verbraucher tun?...14 Prüfen der Bank- und Kreditkartenauszüge...14 Einsatz von Chip-and-PIN-Karten...14 Sichern von Netzwerken gegen Einbrüche in PoS-Systeme...15 Sichern der PoS-Geräte...15 Sichern von Netzwerken...15 Sicherheitslösungen für Cloud und Rechenzentren im Einzelhandel und Gastgewerbe...15 Custom Defense -Sicherheitslösungen für den Einzelhandel und Gastgewerbe... 17 Verträge mit Drittanbietern...17 3

Verkaufsstellensysteme in Einzelhandels-/Gastgewerbe-Netzwerken Verkaufsstellen (Point-of-Sale; PoS) verschiedener Art gibt es bereits seit Jahrzehnten. Die Branche verwendet diese Systeme nicht nur für Bezahlvorgänge. Die Systeme liefern auch weitere operationale Informationen für die Buchhaltung, Nachverfolgung von Verkäufen und die Lagerverwaltung. Des Weiteren nutzen die Geschäfte die Systeme auch, um ihren Kunden über Treueprogramme und Empfehlungen einen Mehrwert zu bieten. Vom Sicherheitsstandpunkt her stellt der Bezahlvorgang sowohl für die Firmen als auch für die Kunden das größte Risiko dar. Die Informationen, welche die Kunden preisgeben, können von Cyberkriminellen abgefangen werden und etwa für Kreditkartenbetrug missbraucht werden. Dies ist auch der Hauptgrund, weshalb das Payment Card Industry Security Standards Council (PCISCC) für Organisationen, die Informationen der Kreditkarten- und Bankkartenhalter verwalten, Standards für die Datensicherheit festgelegt hat. 1 PoS-Systeme benötigen irgendeine Art der Verbindung zu einem Netzwerk, um externe Organisationen für die Verarbeitung von Kreditkartendaten zu kontaktieren und dort die Kreditkartentransaktionen zu validieren. Wie diese Verbindung zustande kommt, kann vom jeweiligen Store abhängen. Für kleine Geschäfte kann das auch eine drahtlose Verbindung sein. Doch größere Unternehmen, die in den meisten Fällen ihre Verkaufsstelle an weitere Backend- Systeme anbinden, nutzen ihre internen Netzwerke, um Verbindung aufzunehmen. Zudem lassen sich PoS-Maschinen über diese internen Netzwerke aus der Ferne verwalten und so Kosten sparen sowie die Wartung und Administration vereinfachen. Viele Verkaufsstellen-Terminals nutzen embedded Versionen von Microsoft Windows. Das bedeutet, dass es Angreifer sehr einfach haben, Schadsoftware für ein solches Terminal zu erstellen, wenn er sich Zugang zu dem Terminal verschaffen kann und die Schutzmaßnahmen dort überwindet. Hartnäckige Angreifer mit guten Kenntnissen können somit breit gefächert PoS-Terminals angreifen und die Kreditkarten von Tausenden Nutzern kompromittieren. Auch lässt sich dieselbe Netzwerkverbindung dazu nutzen, um entwendete Informationen nach draußen zu bringen. Dies stellt nicht nur ein theoretisches Risiko dar, denn es gibt eine ganze Reihe von PoS-Schadsoftware- Familien. 1 PCI Security Standards Council, LLC. (2014). PCI Security Standards Council. PCI SSC Data Security Standards Overview. Last accessed February 13, 2014, https://www.pcisecuritystandards.org/security_standards/. 4

Bild 1: Grundlegende Netzwerkkonfi guration für PoS-Systeme Schwachstellen im Setup von PoS-Geräten und -Netzwerken Es ist schwierig, PoS-Systeme zu sichern. Das liegt vor allem an der Rolle, die sie spielen, und ihrer exponierten Position im Netzwerk. Sie gehen mit kritischen Informationen um und müssen gleichzeitig aus der Ferne verwaltet werden. Industriestandards wie PCI Data Security Standard (DSS) sind darauf zugeschnitten, die Sicherheit der Systeme und die der damit verbundenen Daten vor nicht autorisierten Zugriffen zu gewährleisten. Leider hat die gesamte Computerbranche über die Jahre erfahren müssen, dass es nur einer einzigen Schwachstelle bedarf, um sich Zugang zu einem Netzwerk zu verschaffen. Hacken von PoS-Geräten Ein PoS-Gerät ist wohl in jedem Einzelhandelsstandort der wichtigste Punkt, denn über dieses werden alle Einkäufe abgeschlossen. Angreifer können Mittel fi nden, um ein PoS- Gerät noch vor dessen Einsatz zu infi zieren etwa im Verkaufsraum des Anbieters. Es gibt zwar keine diesbezüglichen Studien, doch sind Fälle bekannt, in denen neu gekaufte Geräte wie digitale Bilderrahmen, Smartphones oder sogar MP3-Player bereits Schadsoftware enthielten. 2 2 Bernadette Irinco. (December 26, 2008). TrendLabs Security Intelligence Blog. Yet Another Digital Picture Frame Malware Incident. Last accessed February 13, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/yet-another-digital-pictureframe-malware-incident/; Eric Avena. (January 29, 2007). TrendLabs Security Intelligence Blog. Trojans Loose on Navigation Devices. Last accessed February 13, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/trojans-loose-onnavigation-devices/; Danielle Veluz. (March 12, 2010). TrendLabs Security Intelligence Blog. Malware Gets Smart with Vodafone Smartphone. Last accessed February 13, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/malware-gets-smartwith-vodafone-smartphone/; Ryan Flores. (October 18, 2006). TrendLabs Security Intelligence Blog. McDonald s Japan Recalls Promotional MP3 Players. Last accessed February 13, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/mcdonald27s-japan-recalls-promotional-mp3-players/. 5

PoS-Geräte werden normalerweise während der Betriebszeit von einem Angestellten bewacht, sodass es schwierig sein kann, an ein PoS-Gerät heranzukommen und dieses mit Malware zu infi zieren. Es ist dennoch machbar, und es bedarf lediglich eines verärgerten Mitarbeiters oder eines versteckten Angreifers, um sich Zugang zu einem System zu verschaffen und manuell einen Information Stealer zu installieren. Angreifer könnten auch ein Selfservice -Terminal und einen PoS-Standort nutzen, die nicht so gut bewacht werden wie andere. Vor einigen Jahren hatte Trend Micro auch über den Verkauf von gefälschten PoS-Geräten im cyberkriminellen Untergrund berichtet. 3 Diese gefälschten Geräte waren darauf ausgerichtet, Belege auszudrucken, die ein Opfer darüber informierten, dass es einen Fehler gegeben habe, der die Transaktion verhinderte. Tatsächlich hatte das Gerät die Daten von der Kreditkarte längst ausgelesen. Bild 2: Schwachstellen von PoS-Geräten Hacken der Netzwerkkommunikation Das Hacken auf Netzwerk-Level ist eine weitere Technik, die schon früher angewendet wurde. Dabei suchen Angreifer nach einer Möglichkeit des Zugriffs über das Netzwerk auf ein darin betriebenes PoS-System. Beispielsweise gab es zwischen 2009 und 2011 einen Hacking-Fall bei US-amerikanischen Händlern, wobei die Angreifer einen Port Scan der Systeme durchführen konnten und diejenigen identifi zierten, auf denen eine Remote- Desktop-Zugriffslösung lief, über die sie sich Zugriff darauf verschafften. 4 3 Maxim Goncharov. (June 23, 2010). TrendLabs Security Intelligence Blog. For Sale: Fake PoS Devices. Last accessed February 13, 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/for-sale-fake-pos-devices/. 4 U.S. Department of Justice. (September 17, 2012). The United States Department of Justice. Two Romanian Nationals Plead Guilty to Participating in Multimillion Dollar Scheme to Remotely Hack into and Steal Payment Card Data from Hundreds of U.S. Merchants Computers. Last accessed February 13, 2014, http://www.justice.gov/opa/pr/2012/september/12-crm-1124.html. 6

Das Hacken auf Netzwerk-Level lässt sich über verschiedene Methoden durchführen. Eine davon sind gemeinsam gentutzte Verbindungen zwischen Systemen in einer Organisation, etwa PoS-Systeme, die sich Verbindung mit dem WLAN-Hotspot teilen, der auch den Kunden zur Verfügung steht. Diese PoS-Systeme können WLANs etwa in einem Backoffice -Bereich nutzen, um mit den Servern zu kommunizieren, oder auch ein geschlossenes WLAN-Netzwerk. Angreifer können trotzdem deren Passphrase knacken oder einen offenen Port auf einem Switch fi nden und ihren eigenen WLAN-Zugriffspunkt hinzufügen. Solche Sicherheitslücken sind meist Folge mangelnder Compliance. Der Sicherheitsstandard für das Handling von Bezahlkarten fordert eine sichere Verbindung für das PoS-System, Verschlüsselung der Kartendaten, Authentisierung für den Remote-Zugriff von und auf PoS-Maschinen und viele weitere Methoden, um sicherzustellen, dass Transaktionen vor nicht autorisiertem Zugriff geschützt sind. Bild 3: Hacking auf Netzwerk-Level Bestimmte Server im Visier Das Infi ltrieren von Netzwerken stellt die wahrscheinlich anspsruchvollste Methode dar, über die ein Angreifer in ein PoS-Gerät eindringen kann. Sie verspricht aber auch den höchsten Profi t. Anders als das Infi ltrieren auf Geräte- und Netzwerk-Level ermöglicht das Eindringen in einen Server den Zugang nicht nur zu einem einzelnen PoS-System oder einem Netzwerk von PoS-Systemen an einem Ort. Abhängig von der Architektur können dies möglicherweise alle PoS-Systeme eines Einzelhändlers an mehreren Orten sein. Ein solcher Einbruch muss zusätzliche Schwierigkeiten überwinden, denn es gilt, sich einen Netzwerkzugang zu verschaffen, bevor der Server erreicht werden kann. Auch muss ein Angreifer Mühe aufwenden, um herauszufi nden, welche Software auf dem Server läuft und wie diese auszunützen ist. 7

Bild 4: Hacken von Backend-Offi ce-systemen Eintrittspunkte und laterale Bewegungen in einem Netzwerk Bei einem typischen Angriff erhält das Opfer eine mit Social Engineering- Techniken erstellte Nachricht, etwa eine E-Mail oder Instant Message, in der der Empfänger aufgefordert wird, einen Link anzuklicken oder eine Datei zu öffnen. Diese Links und Dateien enthalten eine Schadsoftware, die Sicherheitslücken in weitverbreiteter Software wie z.b. Adobe Reader (.PDF-Dateien) oder Microsoft Office (.DOC-Dateien) ausnutzen. Sie schicken möglicherweise auch.exe- Dateien, die mit einem gefälschten Icon und falscher Datei-Extension versehen ist. Die Payload dieser Exploits besteht aus einer Schadsoftware, die unbemerkt auf dem Zielcomputer ausgeführt wird. Somit kann der Angreifer die Kontrolle über den befallenen Computer und die Daten darauf übernehmen und sich letztendlich einen Brückenkopf schaffen. Diesen nutzen die Cyberkriminellen, um sich quer durch das Netzwerk zu bewegen und schließlich ihr tatsächliches Ziel zu infi ltrieren den Datenbankserver, Computer mit wichtigen Dokumenten oder eben PoS-Systeme. Typischerweise laden sie Remote Access Trojaner (RATs) oder Werkzeuge herunter, mit deren Hilfe sie Shell-Befehle in Echtzeit auf dem kompromittierten Host ausführen. Außerdem könnten sie versuchen, ihre Privilegien anzuheben, um dann Techniken wie Pass-the-Hash anzuwenden und sich so wichtige Ziele auszusuchen. 5 In diesem bestimmten Szenario wäre ein solches Schlüsselziel ein System, das es dem Angreifer ermöglicht, Malware auf alle PoS-Systeme im Netzwerk zu installieren. 5 Trend Micro Incorporated. (2013). Lateral Movement: How Do Threat Actors Move Deeper into Your Network? Last accessed February 13, 2014, http://about-threats.trendmicro.com/cloud-content/us/ent-primers/pdf/tlp_lateral_movement.pdf. 8

Bild 5: Eintrittspunkt und laterale Bewegungen Beim Durchforsten des Zielnetzwerks suchen und sammeln die Angreifer Informationen, die sie in künftigen Angriffen nutzen können, und bereiten diese für das Exfi ltrieren vor. Auch können sie für den Fall vorsorgen, dass eine Backdoor entdeckt wird, indem sie zusätzliche Schädlinge aufsetzen. Suche nach einem Updatemechanismus oder einer anderen Möglichkeit, Schadsoftware breitflächig einzusetzen Ein Angriff auf Server-Level kann auch den Missbrauch eines Managementsystems einschließen, das der Einzelhändler für das Monitoring oder die Wartung aller PoS- Systeme nutzt. Möglicherweise dient es dem Management von Systemupdates, sammelt Rechnungsdaten aus den Zweigstellen oder verwaltet die von den Mitarbeitern aufgewendeten Mannstunden. Jedes System, das die Kontrolle über alle PoS-Systeme hat oder darauf zugreift, ist ein potenzielles Ziel für Angreifer, die eine Infi ltration auf Server-Ebene planen. Sobald Angreifer sich Zugang zu diesem System verschafft haben, können sie auf das gesamte Netzwerk der PoS-Systeme zugreifen und Malware für den Informationsdiebstahl ablegen. 9

Bild 6: Verbreiten von PoS-Malware auf den Geräten Datenexfiltration Nach der Installation der Schadsoftware auf den PoS-Systemen und nach dem Diebstahl der Informationen besteht der nächste Schritt darin, diese entwendeten Daten aus der Infrastruktur des Opfers zu extrahieren und unter die eigene Kontrolle zu bringen. Um dies unbemerkt durchzuführen, nutzen Angreifer eine Vielfalt an Techniken, die ihre Aktivitäten verschleiern. Sie können beispielsweise die gewünschten Daten sammeln und komprimieren, dann die komprimierten Dateien in Stücke aufteilen, die an von den Cyberkriminellen kontrollierten Orte übertragen werden. Dafür nutzen sie eine Reihe von Übertragungsmethoden wie das File Transfer Protocol (FTP) und HTTP. Sie können aber auch Methoden einsetzen, um die Anonymität des TOR-Netzwerks für die Datenübertragung zu missbrauchen. Als Alternative nutzen die Hintermänner auch die eingebaute Dateitransfer- Funktionalität, die einige Remote-Managementwerkzeuge mitbringen. Damit täuschen sie Legitimität ihrer Kommunikation vor. Einige Remote-Zugriffstools werden auch legitim dafür genutzt, um technischen Support aus der Ferne zu ermöglichen. Da diese Art der Tools bereits im System verfügbar ist, können Mechanismen wie Whitelisting diese Aktivität nicht als verdächtig erkennen. 10

Bild 7: Datenaggregation und -exfi ltration Verbreitete PoS-Geräteschadsoftware und Methoden zum Sammeln und Versenden von Kreditkarteninformationen an Angreifer Aufgrund der Anforderungen der Compliance zu PCI DSS nutzt die Zahlkartenbranche eine Reihe von Sicherheitstandards, die die End-to-End-Verschlüsselung von kritischen Zahlungsdaten von Bankkarten erzwingen, sobald sie übermittelt, empfangen oder gespeichert werden. Doch wenn die Informationen zum ersten Mal von der Karte ausgelesen werden, befi nden sie sich erst unverschlüsselt im Hauptspeicher des PoS-Geräts. PoS-Malware nützt dies aus und greift die Daten direkt aus dem Hauptspeicher ab. Das nennt man RAM Scraping. Es sind einige Schädlingsfamilien bekannt, deren Ziel PoS-Geräte sind. Sie sind im Untergrund verfügbar und wurden bereits in verschiedenen Angriffen eingesetzt. 11

ALINA Diese Schadsoftware gehört zu den grundlegenderen PoS-Malware-Familien. Die auch als Trackr 6 bekannte Malware scannt den Hauptspeicher des Systems, um herauszufinden, ob dessen Inhalte bestimmten Regular Expressions entsprechen als Indiz für das Vorhandensein von Karteninformationen. Die gestohlenen Daten werden über einen HTTP POST-Befehl an den Command-and-Control (C&C)-Server übertragen. vskimmer Diese Schadsoftware ist für Cyberkriminelle über ein geknacktes Builder- und -Kontrollpanel leicht erhältlich. Wie die meisten Schädlinge für den Informationsdiebstahl lädt die Malware alle gekaperten Daten auf den eigenen C&C-Server. Findet sie keinen Server, so nutzt sie eine andere Exfiltrationsmethode. Der Schädling sucht nach einem Wechselmedium mit dem Label KARTOXA007. Dort wird eine Datei abgelegt, die die entwendeten Informationen enthält. Die vskimmer-malware gehört zur HESETOX.Familie. 7 Dexter Dexter ist eine der funktionsstärksten PoS-Schädlingsfamilien. Das liegt zum Teil daran. dass sich die Malware nicht auf die Informationsdiebstähle von Karteninformationen beschränkt, sondern auch verschiedene Systemdaten entwendet und einen Keylogger auf das befallene System installiert. In einer Unternehmensumgebung ist dies besonders gefährlich, weil auch Unternehmensinformationen aus einem PoS-System betroffen sein können. Einige Dexter- Versionen sind im Untergrund als Stardust bekannt und fallen unter die DEXTR-Familie. 8 FYSNA Diese Schädlingsfamilie ist auch als ChewBacca bekannt und weist in vielerlei Hinsicht typische Merkmale auf. 9 Doch fügt sie dem Spektrum der PoS-Malware auch einen neuen Aspekt hinzu, denn sie nutzt das TOR-Netzwerk für die Kommunikation mit den C&C- Servern. Damit aber erschwert sie die Entdeckung und Untersuchung von Einbrüchen. 6 Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_ALINA.NG. Last accessed February 13, 2014, http://about- threats.trendmicro.com/us/malware/bkdr_alina.ng. 7 Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_HESETOX.CC. Last accessed February 13, 2014, http:// about-threats.trendmicro.com/us/malware/bkdr_hesetox.cc; Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_ HESETOX.A. Last accessed February 13, 2014, http://about-threats.trendmicro.com/us/malware/bkdr_hesetox.a. 8 Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_DEXTR.A. Last accessed February 13, 2014, http://about- threats.trendmicro.com/us/malware/bkdr_dextr.a; Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_DEXTR.C. Last accessed February 13, 2014, http://about-threats.trendmicro.com/us/malware/bkdr_dextr.c; Trend Micro Incorporated. (2014). Threat Encyclopedia. BKDR_DEXTR.D. Last accessed February 13, 2014, http://about-threats.trendmicro.com/us/malware/bkdr_dextr.d; Trend Micro Incorporated. (2014). Threat Encyclopedia. TSPY_DEXTR.A. Last accessed February 13, 2014, http://about-threats.trendmicro.com/us/malware/tspy_dextr.a. 9 Trend Micro Incorporated. (2014). Threat Encyclopedia. TSPY_FYSNA.A. Last accessed February 13, 2014, http://about- threats.trendmicro.com/us/malware/tspy_fysna.a. 12

Decebel Diese Schädlingsfamilie bringt ausgeklügelte Verschleierungstechniken mit. Cyberkriminelle wissen, dass Sicherheitsforscher diese neuen Bedrohungen untersuchen und entwerfen entsprechende Maßnahmen gegen ihre Entdeckung. Decebel prüft, ob Sandboxing oder Analyse-Tools auf einer Maschine vorhanden sind, bevor sie mit der Ausführung beginnt. Damit soll die Entdeckung und Analyse erschwert werden, und der Angreifer hat mehr Zeit zur Verfügung, bevor seine Aktivitäten gefunden und gestoppt werden. Auch Decebel lädt die entwendeten Informationen auf seinen C&C-Server via HTTP POST. 10 BlackPOS BlackPOS oder Memory Form Grabber ist die bekannteste PoS-Schädlingsfamilie. Sie ist einfach verfügbar, denn ihr Sourcecode wurde online öffentlich gemacht. BlackPOS sucht im Hauptspeicher des PoS-Terminals nach kritischen Informationen. Hier zeigt der Schädling bereits eine gewisse Gerissenheit, denn einige Varianten sind so aufgesetzt, dass sie den Informationsdiebstahl nur zwischen zehn Uhr morgens und fünf Uhr abends durchführen. Alle entwendeten Daten werden je nach Variante in einer.txt- oder.dll- Datei gespeichert. Anders als andere Familien nutzt BlackPOS FTP für die Übertragung der Informationen an einen Server der Wahl. Somit kann ein Angreifer gestohlene Daten von mehreren PoS- Terminals auf einem einzigen Server konsolidieren und hat damit mehr Kontrolle über die Exfiltration. Damit in Verbindung stehende Bedrohungen PoS-Malware führt selten, wenn überhaupt einen Angriff ohne Hilfsschädlinge aus. Ein Beispiel einer solchen Komponente sind Internet Control Messaging Protocol (ICMP) Listening-Schädlinge, denn PoS-Schadsoftware überträgt nur selten die entwendeten Daten direkt an einen bösartigen oder kompromittierten Server. Dieses Vorgehen wäre zu deutlich erkennbar und könnte einfach blockiert werden. Häufig werden die Informationen an einen kompromittierten Server innerhalb der Zielorganisation gesendet. Dieser Aggregator wird dann dazu genutzt, um die Daten aus dem Netzwerk zu auszufiltern, sodass die Aufdeckung von bösartigem Verkehr schwierig ist. Shellcode-ladende Malware kann auch in einem PoS-Angriff eingesetzt werden. Commandand-Control für PoS-Schadsoftware ist schwierig, weil unter Umständen die Kommunikation mit einem externen Server nicht möglich ist. Deshalb agiert der kompromittierte interne Server als C&C-Server. Dieser sendet Shellcode durch das Netzwerk an PoS-Maschinen, wo er geladen und ausgeführt wird. Somit wird ein verdeckter C&C-Server möglich. 10 Trend Micro Incorporated. (2014). Threat Encyclopedia. TSPY_DECBAL.A. Last accessed February 13, 2014, http://about-threats.trendmicro.com/us/malware/tspy_decbal.a. 13

Auswirkungen von PoS-Hacks auf die Branche Eine der Hauptauswirkungen von PoS-Hacks ist der potenzielle Identitätsdiebstahl. Persönliche und kritische Daten werden von Kredit- und Bankkarten gestohlen und dann für falsche Identitäten genutzt. Die Opfer bekommen Probleme mit betrügerischen Einkäufen, erleiden finanzielle Verluste und verlieren ihre Kreditwürdigkeit. Die Forschung vontrend Micro über cyberkriminelle Untergrundforen hat gezeigt, dass es einen regen Handel mit den gestohlenen Daten gibt. Auch ist der zeitliche und finanzielle Aufwand für die Beseitung solchen Schadens erheblich durchschnittlich betrug der 2012 Aufwand für den Umgang mit Betrug zwischen 11 und 37 Stunden. Die Opfer erhalten häufig nicht sofort eine neue Karte, denn das Ausstellen einer solchen ist ein aufwändiger Prozess für die Banken und kostet zwischen drei und fünf Dollar pro Karte. Kompromittierte Banken und Einzelhändler müssen mit Rufschädiging durch PoS-Hacks rechnen. Ein Bericht von Javelin Strategy & Research zeigt, dass 15% der Betrugsopfer ihr Verhalten ändert und kleinere Online-Händler meidet. Der Wert kompromittierter Organisationen verringert sich zudem, sollten sie an der Börse gehandelt werden. Was können Verbraucher tun? Verbraucher können nicht kontrollieren, ob der Händler ihrer Wahl gegen PoS-Malware abgesichert ist. Doch können sie einiges tun, um sich nicht unnötigem Risiko auszusetzen. Vertrauenswürdige Händler infomieren ihre Nutzer über jeden potenziellen Einbruch und übernehmen auch jeden finanziellen Verlust infolge eines Betrugs. Doch können Verbraucher auch betrogen werden, bevor der Händler das Problem bemerkt. Deshalb sollten sie vorsichtig sein. Prüfen der Bank- und Kreditkartenauszüge Nutzer sollten regelmäßig ihre Bankauszüge nach ungewöhnlichen Transaktionen überprüfen. Online-Banking Sites ermöglichen ihren Nutzern, auch die neuesten Transaktionen zu prüfen. Findet ein Bankkunde eine betrügerische Transaktion, so sollte er diese sofort seiner Bank melden und verlangen, dass seine Bank- oder Kreditkarte gesperrt und ersetzt wird. Verwenden einer Chip-and-PIN-Karte In vielen Ländern sind die Banken und Einzelhändler zum Einsatz von Chip-and-PIN oder Europay, MasterCard und Visa (EMV) Karten übergegangen. Diese nutzen statt eines Magnetstreifens einen eingebettteten Chip, auf dem die Informationen der Karte gespeichert sind. EMV-Karten bieten mehr Sicherheit im Vergleich zu den Magnetstreifenkarten. Noch bieten nicht alle Banken allen Kunden die Chipkarten an -- doch fragen kostet nichts. 11 Javelin Strategy & Research. (February 20, 2013). Javelin Strategy & Research: Strategic Insights into Customer Transactions. More Than 12 Million Identity Fraud Victims in 2012 According to Latest Javelin Strategy & Research Report. Last accessed February 13, 2014, https://www.javelinstrategy.com/news/1387/92/1. 14

Sichern der Netzwerke gegen Einbrüche in PoS-Systeme Sicherheitmaßnahmen für PoS-Geräte Implementieren von hardware-basierter Point-to-Point-Verschlüsselung Eingrenzen des Zugangs zum Internet Verbieten von Remote-Zugriffen Routinemäßiges Löschen der Daten von Kartenbesitzern Einsetzen der aktuellsten Version des Betriebssystems mit Updates/Patches Nutzen von Whitelisting, um PoS-Systeme nur für die ihnen zugedachten Zwecke zu erlauben Limitieren des internen Zugriffs auf das physische PoS-Gerät Durchsetzen der Policies bezüglich der physischen Wartung und/oder Upgrades des PoS-Geräts Einsetzen von Sicherheitssoftware mit allen Updates und neuesten Signaturen Sichern der Netzwerke Cloud- und Rechenzentrums-Sicherheitslösungen für Einzelhändler und das Gastgewerbe In einer Einzelhändler/Gastgewerbe-Umgebung müssen viele potenzielle Angriffsvektoren in Betracht gezogen werden, vor allem da die Zahl der Interaktionskanälle für Kunden Website, PoS-Systeme, mobile Apps. oder soziale Medien steigt. Es bedarf vielerlei Sicherheitsmechanismen, um die Angriffsvektoren abzudecken, einschließlich solcher für Anwendungen, Server und Netzwerke. Trend Micro empfiehlt folgende Kontrollmechanismen im Rechenzentrum: Einschränken der ein- und ausgehenden Kommunikation in der eigenen Umgebung auf das Nötigste, Sicherstellen, dass im Unternehmen sowohl die Systeme als auch die Anwendungen immer vor Schwachstellen geschützt sind, auch zwischen den Patchterminen, Erkennen, wenn eine Systemkomponente sich geändert hat. Schützen vor Schadsoftware und bösartigen URLs. Verschlüsseln der Kommunikation zwischen Anwendungen und Daten. Wiederholtes Scannen von Webanwendungen nach potenziellen Schwachstellen. 15

Zum Schutz vor den Bedrohungen im Rechenzentrum bietet Trend Micro eine offene, automatisierte und hochskalierbare Sicherheitslösung, die in die vorhandene Infrastruktur passt und mit den wichtigen Umgebungen wie VMware oder Amazon Web Services nahtlos zusammenarbeitet. Es gibt viele Gründe für Änderungen an Systemkomponenten, wobei viele davon nichts mit Angriffen gegen die Unternehmenssysteme zu tun haben. Das Monitoring auf Änderungen von Systemen wie PoS-Geräten ist für die Sicherheitskontrollmechanismen ein kritischer Bestandteil. Diese Überwachung liefert nicht nur frühzeitige Hinweise auf ein Problem, sondern ist auch eine Anforderung von Compliance-Standards wie PCi DSS. Trend Micro Deep Security bietet File Integrity Monitoring-Fähigkeiten für die Überwachung von kritischen Dateien und Verzeichnissen, Registry-Schlüssel und Werten von Betriebssystem und Anwendungen, mit deren Hilfe bösartige und unerwünschte Änderungen in Echtzeit entdeckt und gemeldet werden. Dazu gehören auch Änderungen an PoS-Systemen. Deep Security kann die ankommende und nach draußen gehende Kommunikation in der Unternehmensumgebung über eine Firewall-Policy einschränken, die auf spezifische Serveranforderungen zugeschnitten ist. Die Firewall bietet zudem Logging und Benachrichtigung, um das Troubleshooting und Management zu erleichtern. Mit der Zunahme der Nutzung der Geschäftsanwendungen wird es häufig schwieriger, das Patching gegen Schwachstellen immer zeitgerecht durchzuführen. Hier kann Deep Security Intrusion Prevention gegen potenziellen Missbrauch von Schwachstellen schützen. Die Intrusion Prevention ist in der Lage, automatisch die Sicherheits-Policies zu aktualisieren, sodass immer der erforderliche Schutz vorhanden ist, auch wenn der neueste Patch noch nicht aufgespielt ist. Schließlich schützt Deep Security Anti-Malware mit der Web Reputation-Erkennung nicht nur gegen Schädlinge, sondern erkennt und schützt auch gegen bekannte bösartige URLs. Sind diese Applikationen über das Web verfügbar und bieten Kunden, Partnern oder weltweiten Mitarbeitern die Möglichkeit, Informationen miteinander zu teilen, ist das Entdecken von potenziellen Bedrohungen und gelegentliches Pentrations- Testing nicht ausreichend. Trend Micro bietet hier Deep Security for Web Apps, einen umfassendes, integriertes Software-as-a-Service (SaaS)-Angebot, das stetig Schwachstellen aufdeckt, zum Handeln geeignete Sicherheitserkenntnisse liefert, Anwendungen mit Secure Socket Layer (SSL)-Zertifikaten für die Verschlüsselung von Transaktionen und Kommunikatiion schützt und Intrusion Prevention und Web Application Firewall (WAF)-Regeln liefert. 16

Custom Defense -Sicherheitslösungen für den Einzelhandel und das Gastgewerbe Bei jedem Angriff bedarf es neben der Identifizierung von Komponenten, die Endpunkt- oder Server-Sicherheitslösungen nutzen, auch eines Netzwerkansatzes. Trend Micro Custom Defense -Lösungen können die Einzelhändler auf vielfältige Weise unterstützen. Zusätzliche Schadsoftware und mögliche RATs werden auf einen Server heruntergeladen, um Laterale Bewegungen zu erleichtern: Trend Micro Deep Discovery erkennt das Herunterladen von Malware und RATs ohne Antivirus-Signaturen. Laterale Bewegungen und Festlegen von Kontrollpunkten: Deep Discovery entdeckt bestimmte laterale Bewegungen und die Verbreitung von Schadsoftare. C&C-Kommunikation: Deep Discovery entdeckt sowohl nach innen als auch nach außen gerichtete C&C-Kommunikation. PoS-Infektion (Malware wird auf PoS-Systemen via Netzwerkfreigaben abgelegt): Deep Discovery entdeckt sowohl nach innen als auch nach draußen gerichtete C&C-Kommunikation. PoS Systeme legen entwendete Kartendaten auf internen Servern: Deep Discovery endeckt die interne Datenbewegung. Datenexfiltration über FTP auf externe Server: Deep Discovery entdeckt Bulk-Datenexfiltration. Wichtige Punkte in einer Vereinbarung mit einem Drittanbieter Manche Unternehmen entscheiden sich für das Outsourcing ihrer Zahlungsverarbeitung. Damit entsteht eine weitere Ebene, die angreifbar sein kann. Aus diesem Grund müssen Unternehmen sicherstellen, dass Anbieter per Vertrag ihren Sicherheitsanforderungen entsprechen. Die Vereinbarung muss festlegen, wie Kundendaten erfasst, gespeichert, verarbeitet und übertragen werden. Zudem muss eine grundlegende Compliance zu Standards wie PCI DSS bestehen. Beispielsweise muss der Vertrag die Forderung nach Verschlüsselung in allen Phasen der Datenübermittlung enthalten, des weiteren die Überprüfung des Hintergrunds von Mitarbeitern, die Zugriff auf die Kundendatenbank haben. Auch muss die Vereinbarung klare Vorgaben dazu enthalten, wer für Service und Support-Eskalation zu kontaktieren ist, sollten ungewöhnliche Ereignisse oder Sicherheitsvorfälle auftreten. Notfallpläne für verschiedene Szenarien für Sicherheitsvorfälle sind in einer Vereinbarung mit einem Outsourcing-Partner ebenfalls sehr wichtig, einschließlich der Verantwortlichkeiten, Haftung oder Gründe, die einen Vertragsabbruch nahelegen. 17

Über TREND MICRO Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/trendmicrode TREND MICRO DEUTSCHLAND GMBH Central & Eastern Europe Zeppelinstraße 1 85399 Hallbergmoos Tel: +49 811 88990-700 Fax: +49 811 88990-799 www.trendmicro.com 2014 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.