CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Den nye store trussel mod betalingskort: RAM scraping

Såkaldt RAM scraping var ét af de elementer, der indgik i et af ​​verdens hidtil største datasikkerhedsbrud. Hvilken betydning vil metoden få på sigt, og hvordan sikrer du din virksomhed mod den? Jan Johansen fra Check Point giver gode råd til Alt om DATA og læserne.

26. maj 2014 kl. 13.26

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Da vi i december offentliggjorde Check Points sikkerhedstrends for 2014, var en af forudsigelserne, at målrettede malwareangreb, der har til formål at stjæle enten penge eller data, ville blive en af ​​de trusler, der kom til at ligge i Top 3 over trusler mod erhvervslivet i løbet af året. Men vi havde bestemt ikke forventet, at denne forudsigelse skulle blive en realitet så hurtigt. Heller ikke, at det ville blive så højt profileret, som det blev tilfældet.

Angrebene, der bl.a. var rettet mod førende amerikanske detailkæder, herunder Target og Neiman Marcus, resulterede i, at op mod anslået 110 millioner mennesker fik deres betalingskort- eller personlige oplysninger stjålet.

Undersøgelserne af disse angreb har afsløret, at POS-terminaler (terminaler til betalingskort) i detailkæderne var blevet inficeret med RAM scraping-værktøjer, der gjorde det muligt for betalingskortoplysninger og andre kontooplysninger at blive opfanget og stjålet af angriberne.

RAM scraping er ikke en helt ny teknik, den blev første gang rapporteret i 2008 af Princeton Center for Information Technology Policy. Men anvendelsen af metoden i disse seneste angreb har sat spørgsmålstegn ved, dels sikkerheden af ​​betalingskorttransaktioner, dels branchestandarden Payment Card Industry Data Security Standard (PCI - DSS), der har til formål at beskytte POS-systemer og beskytte kundernes kortdata.

Selvom PCI - DSS tilbyder høj sikkerhed fra transaktionen starter og helt frem til, hvor kundens data bliver gemt i detailbutikkens systemer, er den dog ikke usårlig. Der er en meget kort periode i løbet af en transaktion, hvor kundens kortdata som for eksempel kortholderens navn, kortnummer, udløbsdato og den trecifrede sikkerhedskode kan ses som almindelig tekst.

Dette skyldes, at betalingssystemer arbejder med ukrypterede data under databehandlingen, og det er denne mulighed, som RAM scraping udnytter. Når betalingskortet er læst af POS-terminalen, bliver dataene midlertidigt lagret i RAM’en, mens kortet bliver godkendt, og transaktionen behandles.

Derefter bliver data igen krypteret. Det samme sker i den anden ende, når en back-end server begynder at behandle kundens transaktion. Så bliver data midlertidigt dekrypteret i hukommelsen. Dataene er kun synlige i en brøkdel af et sekund, men længe nok til at et RAM scraping-værktøj er i stand til at gøre sit arbejde.

RAM scraping er designet, så den aktiveres, når en transaktion påbegyndes. Den søger kreditkortnumre fra RAM’en, så snart nye data indlæses. Dataene bliver derefter kopieret til en tekstfil og sendt til angriberne, når et forudbestemt antal poster er blevet ”skrabet”. Det sparer den kriminelle for besværet med at dekryptere kundeoplysninger.

Det står endnu ikke helt klart, hvilke specifikke varianter af malware der blev anvendt i disse seneste angreb, eller hvordan de blev plantet. Men i begyndelsen af ​​januar 2014 udsendte US Computer Emergency Readiness Team (US-CERT) en advarsel om målrettede angreb af RAM scraping-malware mod POS-systemer.

I denne advarsel blev der nævnt typer af malware, som er aktive i øjeblikket, og som er i stand til at søge hukommelsesdump i specifikke POS software-relaterede processer og finde kortoplysninger.

Hvordan får RAM scraping adgang?

Så hvordan var de kriminelle i stand til at inficere POS-systemerne i disse store detailhandelskæder med RAM scraping? Da detailbutikkernes POS-enheder og systemer er tilsluttet netværket, er den oprindelige infektion sandsynligvis kommet ind i detailhandlernes netværk via konventionelle metoder – altså enten via et ondsindet link eller en vedhæftet fil i en e-mail til en medarbejder. Når virksomhedens netværk på den måde er blevet inficeret, er det muligt for angribere at overføre malware til POS-netværk og -enheder. Sårbarheden opstår bl.a. fordi POS-netværk ikke er isoleret fra andre forretnings-netværk.
US-CERT har opstillet seks gode råd til ejere og operatører af POS-systemer, om hvordan de kan blokere for RAM scraping og andre angreb mod POS-systemer:

• Brug stærke adgangskoder til POS-systemet, og husk altid at ændre dem fra fabriksindstillingen

• Opdater POS-softwaren på nøjagtig samme måde, som du opdaterer al anden business software, for på den måde at fjerne eventuelle sårbarheder

• Installer en firewall til at beskytte POS-systemet og isolere det fra andre netværk

• Brug et antivirus-program og sørg for at holde det fuldt opdateret

• Begræns POS-systemets computere og terminalers adgang til internettet – på den måde begrænser man utilsigtet eksponering for sikkerhedstrusler

• Deaktiver fjernadgang til POS-systemer

Virksomheder bør også overveje yderligere foranstaltninger for at tilføje ekstra lag af beskyttelse mod infektion af malware, som er det mest almindelige udgangspunkt for angreb. Det er relativt nemt for it-kriminelle at foretage små justeringer i malware-koden, som gør det muligt at sløre de karakteristika, der gør, at den eksisterende antivirus kan opdage den ondsindede kodevariant.

Dermed er virksomhederne igen sårbare. Der findes sikkerhedsløsninger på markedet, som gør det muligt at identificere og isolere ondsindede filer, før de kommer ind i netværket, så man undgår utilsigtede infektioner.

Konklusionen er, at RAM scraping er en trussel, som kan målrettes mod ikke kun detailhandlen, men enhver virksomhed, der behandler mange kunders betalingskort – lige fra fritidsforlystelser og hotel- og restaurationsbranchen til finansiering og forsikring. Så virksomheder, der regelmæssigt bruger POS-betalingsterminaler, skal holde godt øje med risikoen for at blive angrebet af RAM scraping.

Fakta om RAM scraping

RAM scraping er en malware, der udnytter det øjeblik i onlinetransaktionen, hvor kortdataene er dekrypterede og dermed læsbare som almindelig tekst. Malwaren ”skraber” et forudbestemt antal poster fra RAM’en og kopierer dem til en tekstfil, som sparer den kriminelle for besværet med at dekryptere dataene. Inficering af POS-systemerne foregår via allerede kendte metoder, som ondsindede links eller vedhæftede filer i eksempelvis medarbejdernes mail.

Resultatet af et kendt angreb på amerikanske detailkæder som Target og Neiman Marcus var, at 110 millioner mennesker fik deres betalingskort- eller personlige oplysninger stjålet. RAM scraping og anden målrettet malware, der har til formål at stjæle penge eller data, forventes at ligge blandt de tre største trusler mod erhvervslivet i 2014.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
opinion
Andreas Kiær
Andreas Kiær
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Læs indlæg
Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Mest læste klummer og blogs
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg

Premium
Teaser billede
Microsoft advarer: Russiske hackere udnytter flere år gammel Windows-sårbarhed til at stjæle data
Læs mere »
Offentlige myndigheder kan snart få adgang til virksomheders data
HPE’s salg i Danmark går 200 millioner kroner tilbage: Modtager penge fra moderselskab for at få overskud
Facebook var tæt på at forlade Europa: Her er de største GDPR-øjeblikke fra 2023
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Ja, AI vil betyde fyringer og eliminering af stillinger – disse grupper bliver ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
SASE: Træf det rette valg – første gang
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »