Vídeo: Riscos, Ameaças e Vulnerabilidades em Segurança da Informação (Novembro 2024)
Em dezembro de 2013, a Target reconheceu que um hacker obteve acesso a mais de 70 milhões de números de cartão de crédito e débito de seus clientes por meio do sistema de ponto de venda (POS) da empresa. Uma das maiores violações de dados da história dos EUA, o Target hack custou ao CEO e ao CIO da empresa seus empregos.
Infelizmente para todos os envolvidos, o hack poderia ter sido evitado se apenas os executivos da Target tivessem implementado o recurso de erradicação automática no sistema anti-malware FireEye. A ferramenta FireEye capturou o código de malware em novembro daquele ano e poderia tê-lo excluído da rede da Target antes que qualquer dado fosse roubado.
Embora ainda não esteja claro como o hacker infectou a rede da Target com o malware, há muitas maneiras de explorar o sistema de PDV da empresa. Para pequenas e médias empresas (PMEs), as ameaças são ainda maiores e mais abundantes do que para grandes empresas. Isso ocorre porque a maioria das pequenas e médias empresas não tem recursos para criar as restrições de segurança necessárias para manter os hackers afastados (ou sofrer um ataque se os hackers se infiltrarem em seus sistemas)., examinaremos as oito principais vulnerabilidades de segurança de POS que ameaçam as pequenas e médias empresas hoje. Nós lhe diremos não apenas o que procurar, mas como se manter seguro.
1. Fornecedores que gerenciam chaves de criptografia sem módulo de segurança de hardware
Aqui está o problema em mãos: se sua empresa armazena informações de criptografia no mesmo local em que armazena dados do usuário, você está colocando todos os seus ovos em uma cesta frágil. No entanto, se você mantiver fisicamente os dados da chave de criptografia separados dos dados do usuário, um hacker que obtiver acesso aos dados do usuário não terá acesso às informações de criptografia.
Um módulo de segurança de hardware é um dispositivo físico que armazena seus dados de criptografia. Você pode conectar este dispositivo diretamente aos seus computadores ou servidores para acessar os dados do POS, depois de carregados na sua rede. É mais um passo na transferência de dados, mas não é tão difícil quanto explicar aos advogados da sua empresa por que os dados de seus clientes estão nas mãos de outras pessoas.
2. Redes de negócios com dados POS não segmentados
Se sua empresa estiver usando sua rede corporativa para enviar atualizações de sistema e segurança para ambientes e dispositivos de dados POS, você estará colocando seus negócios em sério risco. Nesse cenário, se um hacker obtiver acesso à sua rede, ele também terá acesso a todos os seus dados de PDV.
Empresas com bolsos profundos e especialistas em TI disponíveis separam essas duas redes e criam pequenos caminhos da rede comercial para o ambiente de dados do POS, a fim de fazer alterações no sistema. Esta é a versão Fort Knox da segurança do POS. No entanto, é incrivelmente difícil e caro de configurar. Portanto, organizações menores geralmente decidem habilitar a autenticação multifatorial (MFA) da rede comercial para o dispositivo POS. Este não é um cenário de segurança dos sonhos, mas é a opção mais segura disponível para empresas modestas.
Outra observação importante aqui: cafeterias e restaurantes que oferecem Wi-Fi para os clientes devem garantir que seus dispositivos POS não estejam conectados à mesma rede. Depois que um hacker se senta, bebe um café com leite e acessa seu Wi-Fi, ele pode encontrar uma maneira de entrar no ambiente de dados do seu POS.
3. Executando em sistemas operacionais antigos
Nem todo mundo quer atualizar para o Microsoft Windows 10. Entendi. Tudo bem, mas se você ainda está executando uma versão antiga do Windows, está solicitando problemas. A Microsoft encerrou o suporte ao Windows XP em 2009, ao Microsoft Windows Vista em 2012 e ao Microsoft Windows 7 em 2015 - e encerrará o suporte ao Microsoft Windows 8 em 2018. Se você tiver solicitado suporte estendido à Microsoft, estará em seguro por pelo menos cinco anos após o término do suporte convencional. Se você não estendeu seu suporte ou se o suporte estendido tiver expirado (como acontece com o Windows XP), é importante observar que a Microsoft não adicionará mais patches de segurança para corrigir problemas que surjam no sistema operacional (SO). Portanto, se os hackers encontrarem um ponto de entrada no software, seus dados de PDV serão expostos.
4. Senhas Padrão do Fabricante
Mesmo se você for um assistente de números que pode memorizar as intrincadas senhas fornecidas pelo fabricante do dispositivo POS, é incrivelmente importante que você altere a senha depois de conectar o dispositivo ao software. Isso ocorre porque os hackers são conhecidos por extrair listas dessas senhas das redes dos fabricantes e rastreá-las de volta aos seus dispositivos. Portanto, mesmo se você tomar todas as precauções possíveis para proteger seus dados, ainda estará deixando a porta destrancada para hackers.
5. Dispositivos fraudulentos
Certifique-se de fazer parceria com uma empresa com uma sólida reputação. Caso contrário, você pode acabar comprando um sistema de PDV fraudulento, que é essencialmente game over para sua empresa e seus dados de cliente. Ao obter acesso direto ao cartão de crédito do seu cliente, esses criminosos podem extrair dados sem que você ou seu cliente saibam que algo deu errado. Essas máquinas simplesmente informam ao cliente que a transação não pode ser finalizada, deixando o cliente acreditando que há um problema com seu cartão de crédito ou que há um problema com seu sistema de back-end. De fato, a máquina está simplesmente puxando os dados do cliente sem que ninguém seja mais sábio.
6. Malware via phishing
É importante que você alerte seus funcionários para não abrir emails suspeitos. Os hackers incorporam links no email que, se clicados, dão a eles acesso ao computador do funcionário. Depois que o hacker assume o controle da máquina, ele ou ela pode navegar pela rede e por seus servidores para obter acesso a qualquer dado. Se você tiver a sorte de não armazenar seus dados de POS no mesmo ambiente de rede, ainda não está claro, pois os hackers podem acessar remotamente um dispositivo POS conectado ao computador seqüestrado.
7. Raspagem de RAM
Este é um ataque antiquado que ainda tem um pouco de mordida. A raspagem de RAM é uma técnica pela qual os atacantes extraem os dados do cartão de crédito da memória do dispositivo POS antes de serem criptografados na sua rede. Como mencionei anteriormente, manter os sistemas de POS isolados da rede da empresa deve limitar esses tipos de ataques (dado que os hackers têm menos pontos de entrada nos dispositivos POS do que na rede corporativa). No entanto, você também deve apertar os firewalls da empresa para garantir que os sistemas POS estejam apenas se comunicando com dispositivos conhecidos. Isso limitará as maneiras pelas quais os hackers podem acessar os dados em seus dispositivos POS, forçando-os a seqüestrar computadores ou servidores na sua rede para raspar a RAM.
8. Desnatação
É fácil ignorar, pois requer segurança no local para garantir que ninguém cuide dos seus dispositivos POS. Essencialmente, o skimming exige que os hackers instalem o hardware no dispositivo POS, o que permitirá que eles digitalizem as informações do cartão de crédito. Isso também pode ser feito via malware se você não seguiu algumas das etapas mencionadas anteriormente. Se você executar várias ramificações, é crucial monitorar como os dispositivos POS estão sendo usados e por quem.