Prilex блокирует транзакции через NFC

Вредоносное ПО Prilex, заражающее POS-терминалы, научилось блокировать транзакции через NFC.

Зловред Prilex научился блокировать транзакции NFC, чтобы предотвращать бесконтактную оплату.

Покупатель подносит к терминалу карточку или поддерживающее мобильные платежи устройство, а оплата не срабатывает. Почему? Может быть, была повреждена карточка, может быть, выходит из строя считывающий NFC-чип, но не исключено, что причина в другом — POS-терминал заражен зловредом Prilex, способным клонировать транзакции. Дело в том, что Prilex теперь умеет блокировать оплату через NFC.

Что такое Prilex и зачем он блокирует транзакции по NFC?

Prilex — группировка злоумышленников, охотящихся за данными банковских карточек с 2014 года. В последнее время они фокусируются на атаках через POS-терминалы. В конце прошлого года наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) опубликовали подробное исследование эволюции этого зловреда, в котором пришли к выводу, что Prilex — одна из первых группировок, научившихся клонировать транзакции по кредитным картам, даже защищенным чипом и PIN-кодом.

Но Prilex продолжает эволюционировать — при расследовании очередного инцидента наши эксперты обнаружили новые образцы того же зловреда. Среди усовершенствований — возможность блокировать транзакции через NFC. Дело в том, что при оплате с применением NFC может генерироваться уникальный идентификатор, действительный только для одной транзакции, а это не в интересах мошенников. Соответственно, мешая оплатить покупку бесконтактным способом, злоумышленники пытаются заставить клиента засунуть карточку в устройство.

Как Prilex заражает POS-терминалы и за кем охотится?

Как следует из объяснений наших экспертов, для успешного заражения терминала злоумышленникам приходится использовать методы социальной инженерии. Как правило, они пытаются убедить сотрудников торговой точки, что им нужно обновить программное обеспечение терминала. Для этого они готовы прислать своего «технического специалиста» непосредственно в магазин или просят хотя бы предоставить ему удаленный доступ, установив программу AnyDesk.

Группировка Prilex интересуется организациями, занимающимися розничной торговлей, а следовательно, использующими POS-терминалы. Особенно интересную цель для них представляют устройства, работающие в популярных торговых центрах крупных городов: через каждое из них могут проходить тысячи карточек ежедневно.

Чаще всего активность Prilex наблюдается в регионе Латинской Америки. Однако современные киберпреступники часто заимствуют инструменты друг друга, так что не исключено, что тот же самый зловред будут использовать и в других регионах. Есть свидетельства, что он уже был использован в Германии.

Как оставаться в безопасности?

Если вы заметили, что ваш терминал стал периодически отклонять бесконтактные платежи, — это повод связаться как минимум с IT-персоналом (если проблема в железе, то они найдут ее сами, а если там действительно заражение — передадут дело информационной безопасности или сторонним экспертам).

Компаниям, работающим в сфере розничной торговли (особенно большим сетям, со множеством филиалов), важно разработать внутренние регламенты и донести до сотрудников, как именно должен происходить процесс технического обслуживания устройств и обновления программного обеспечения. Это позволит исключить доступ посторонних к POS-терминалам. Кроме того, сотрудникам вообще не повредит регулярно повышать уровень осведомленности о современных киберугрозах, чтобы быть менее подверженными уловкам социальной инженерии.

Производителям POS-терминалов же имеет смысл встраивать внутрь устройств интегрируемые защитные решения.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.