81
del sistema operativoWindows
per aggiungersi all’elenco delle
applicazioni autorizzate. Se
Internet non è disponibile, questo
malware attende la connessione
di un dispositivo, ad esempio una
chiavetta, sulla porta USB su cui
riversa i dati del malcapitato utente
del POS;
-
Alina
, malware scoperto agli inizi
del 2013, e del quale esistono
diverse varianti;
-
JackPOS
, scoperto nel 2014,
sembra essere basato sul codice
di Alina. Si maschera da Java
Platform SE (standard edition)
e si sostituisce al Java Update
Scheduler di quest’ultimo.
Altri malware per POS,
prevalentemente funzionanti su
sistemi Windows e in circolazione
con diverse varianti, sono: Dump
Memory Grabber / BlackPOS,
Nemanja, Project Hook, Chewbacca,
POSCardStealer.
L’elenco non è esaustivo, ma è un
chiaro indicatore dell’interesse e
della realizzazione di numerosi
malware e botnet per frodare i POS.
1E RSR r ½RMXE EPXVM XMTM HM EXXEGGS
sono in arrivo !
Attacchi al POS via smartphone
e NFC
I possibili attacchi ai POS non si
PMQMXERS E UYIWXM WTIGM½GM QEP[EVI
alcuni POS dotati di tecnologia
2*' RIEV ½IPH GSQQYRMGEXMSR
consentono di effettuare pagamenti
non solo tramite la card del
cliente ma anche attraverso il suo
smartphone, dotato anch’esso
di NFC e di una opportuna
applicazione locale. Queste
tecnologie realizzano un vero e
proprio ‘borsellino elettronico’
tramite il più diffuso dispositivo
mobile, lo smartphone appunto,
usato come una card contactless,
e infatti NFC è compatibile con
l’architettura standard delle
smartcard contactless basata
WYPPI WTIGM½GLI -73 -)'
Tali tecnologie ampliano l’area e
le possibilità di attacco ai POS
derivanti dalle vulnerabilità dei
sistemi operativi, delle app e
dell’implementazione di NFC, oltre
che dai malware basati su di esse.
Ovviamente uno smartphone
può effettuare direttamente
un pagamento, e operare
autonomamente come borsellino
elettronico sostitutivo di card, come
ad esempio propone il servizio
Google Wallet lanciato nel 2011,
GLI VMPIZ{ ½R HEP WYS PERGMS EPGYRI
vulnerabilità, e che è già stato
attaccato.
Come opera il cyber crime
NFC ha propri livelli di sicurezza,
che dipendono anche dal tipo di
implementazione, e sicuramente
una sicurezza ‘intrinseca’ è data dal
corto raggio di usabilità wireless.
Nonostante questo è possibile:
a) intercettare la comunicazione
tra smartphone e POS, ad esempio
con una antenna dell’attaccante,
soprattutto se tale comunicazione
non è crittata;
F QSHM½GEVI M HEXM WGEQFMEXM XVE
WQEVXTLSRI I 437 XVEQMXI YR 6½H
jammer, un dispositivo per disturbare
e far inceppare le comunicazioni in
radiofrequenza; questo attacco è
YRE WS½WXMGE^MSRI HM UYIPPS MRHMGEXS
al punto precedente;
c) effettuare un ‘relay attack’
posizionando un lettore NFC vicino
al POS o allo smartphone del
GPMIRXI I MRZMERHS MP ¾YWWS HM HEXM WY
un altro dispositivo, sempre in locale,
che emula il funzionamento della
card o dello smartphone;
H IJJIXXYEVI YRS ³WTSS½RK´
JEPWM½GERHS PE GSVVIXXE
comunicazione, compromettendo
un tag NFC e forzando questo
Marco R. A. Bozzetti,
OAI founder
settembre 2014
dispositivo a eseguire un malware;
tale azione è facilitata dal fatto
che alcuni dispositivi mobili
WSRS GSR½KYVEXM TIV IWIKYMVI M
comandi ricevuti dai tag NFC
automaticamente;
e) attaccare la pila di protocolli
NFC (NFC protocol stack fuzzing)
sia analizzando questo software sia
sfruttando i bachi del suo sviluppo
e/o quelli del sistema operativo che
lo supporta.
Oltre a questi attacchi alla
comunicazione in NFC,
tecnicamente complessi,
l’accoppiata smartphone-POS
offre vulnerabilità ben maggiori e
di più facile sfruttamento date dai
sistemi operativi e dalle app degli
smartphone.
Come già evidenziato in precedenti
articoli e dai principali rapporti
internazionali, gli attacchi agli
smartphone sono in forte
crescita, soprattutto nell’ambito di
ETTPMGE^MSRM FERGEVMI I ½RER^MEVMI
Lì si trattano soldi, lì si possono
fare truffe, lì i criminali informatici
si focalizzano: e sono facilitati dal
JEXXS GLI M 437 WSRS HMJ½GMPM HE
proteggere ma relativamente facili
da attaccare, come i numerosi
I WTIGM½GM QEP[EVI IWMWXIRXM
dimostrano.
