2020’de pandemi nedeniyle ATM’lere ve PoS terminallerine yapılan akınların sayısı kıymetli ölçüde azalmıştı. Lakin eski harcama alışkanlıklarının geri gelmesiyle bu alandaki tehdit aktörlerinin faaliyetleri de tekrar yükselişte. 2022’deki en yaygın makus emelli yazılım aileleri olan HydraPoS ve AbaddonPoS, tüm tespitlerin yaklaşık 71’ini oluşturdu. ATM’lerde en faal makus gayeli yazılım, 2022’nin birinci sekiz ayında toplam tespitlerin 3’ünü oluşturan Ploutus oldu. Bu ve öbür bulgular, Kaspersky tarafından yayınlanan yeni ATM/PoS makus maksatlı yazılım raporunda yer alıyor.
Siber hatalılar nakit para, kredi kartı kimlik bilgileri ve şahsî bilgileri çalmak için ATM’lerde ve satış noktası (PoS) terminallerinde kullanılan gömülü sistemlere saldırıyor. Bu ağlardaki tüm aygıtların denetimini ele geçirmek için sistemlere sızan saldırganlar, bir gecede binlerce dolar gelir elde edebiliyor. ATM’lerde kullanılan birçok Windows sürümü uzun vakit evvel dayanak periyodunun sonuna geldi ve bu nedenle kolay bir amaç haline dönüştü. PoS terminalleri ise siber güvenliğe dair olgunluk düzeyi düşük birçok işletme tarafından kullanılıyor.
Rakamlara bakış: Saldırganların faaliyetleri pandemi öncesi düzeylere dönüyor
Pandemi dünyayı vurduğunda bu stil taarruzların sayısı bir evvelki yıla nazaran değerli ölçüde azaldı, 2019’da yaklaşık 8000’ken 2020’de 5000’e düştü. Uzmanların değerlendirmesine nazaran bu durum çeşitli nedenlerle meydana geldi ki, buna ülkedeki toplam ATM sayısının azalması da dahil. Pandemi sırasında dünya genelinde yerler kapandıkça ve harcamalar azaldıkça, saldırganlar bu pazarda maksat alabilecekleri noktaların sayısının daraldığını gördüler.
Bugün pandemi kısıtlamaları büyük ölçüde azaldı, eski harcama alışkanlıkları geri döndü ve tehdit aktörlerinin bu alandaki faaliyetleri yine sürat kazandı. 2021’de ATM/PoS berbat hedefli yazılımlarıyla karşılaşan aygıt sayısı bir evvelki yıla nazaran 39 arttı. 2022’nin birinci sekiz ayında hücum sayısı 2020’nin tıpkı devrine nazaran 19, 2021’e nazaran yaklaşık 4 artış kaydetti. 2022’nin Ocak-Ağustos periyodunda toplamda 4173 aygıt akına uğradı.
Bu eğilim göz önüne alındığında, uzmanlar ATM/PoS aygıtlarına yönelik akınların sayısının 2022’nin dördüncü çeyreğinde daha da artmasını bekliyor.
En yaygın olan tehdit PoS makûs emelli yazılımları
HydraPoS ve AbaddonPoS, 2020-2022 yıllarındaki tüm ATM/PoS makûs hedefli yazılım algılamalarının sırasıyla 36 ve 35’ini, toplamda yaklaşık 71’ini oluşturuyor. Bu alanın başkanı olan Brezilya menşeli HydraPoS, kredi kartlarını kopyalamasıyla tanınıyor. Kaspersky Tehdit İstihbarat Portalı raporlarına nazaran bu tehdit ailesi toplumsal mühendisliğin de dahil olduğu akınlarda kullanıldı. Kaspersky Latin Amerika Araştırma Merkezi Lideri Fabio Assolini, “Bu alanda teknikler saldırıyı kimin yaptığına ve hangi ailenin kullanıldığına bağlı olarak farklılık gösteriyor. Saldırganlar işletmelerle telefon görüşmeleri yapıyor ve kurbanların ofislerine geliyor. Banka yahut kredi kartı şirketinin çalışanını taklit ediyorlar ve güya bir sistem güncellemesi yapıyormuş üzere kurbanların PoS aygıtlarına makus emelli yazılım yüklemeye çalışıyorlar” diyor
Zirvenin birinci 5 sırasında ayrıyeten ATM’leri denetim edebilen ve talimat üzerine içlerindeki parayı boşaltabilen berbat hedefli yazılım ailesi olan Ploutus yer alıyor (3). Süreksiz bellekten manyetik şerit datalarını çıkarabilen RawPoS, PoS yazılımının yanı sıra kredi ve banka kartı süreçleriyle ilgili makûs maksatlı yazılımları berbata kullanabilen Prilex’in her ikisi 2 ile listede kendine yer buluyor. Tahlile husus olan öteki 61 ziyanlı yazılım ailesi ve modifikasyonun her birinin aldığı hisse 2’nin altında.
Fabio Assolini, şunları ekliyor: “PoS makus gayeli yazılımları, paraya epeyce kolay erişim sağladığı için ATM makus maksatlı yazılımlarından daha yaygın. ATM’ler birçok vakit gereğince güzel korunurken, kafe, restoran ve mağaza sahipleri ödeme terminallerinin siber güvenliğini birden fazla vakit aklına bile getirmiyor. Bu da onları saldırganların amacı haline getiriyor. Ayrıyeten bu alanda tehdit aktörlerinin maharet eşliğini düşüren hizmet olarak makûs emelli yazılım üzere suça dayalı yeni iş modellerinin de ortaya çıktığını görüyoruz.”
Gömülü sistemleri ve bu sistemlerdeki dataları inançta tutmak için Kaspersky araştırmacıları aşağıdaki tedbirlerin uygulanmasını tavsiye ediyor:
- Farklı güce ve uygulama senaryolarına sahip aygıtlarda mümkün olan en âlâ güvenliği sağlamak için, optimum gözetici katman seçimi sağlayan çok katmanlı bir güvenlik tahlili kullanın.
- PoS modüllerinde, Kaspersky SDK’da bulunan muhafazada olduğu üzere, berbat maksatlı kodların bu modüller tarafından yönetilen süreçlere müdahale etmesini önlemeyi amaçlayan kendi kendini muhafaza teknikleri uygulayın.
- Eski sistemleri aktüel tahlillerle koruyun. Bu tahliller, Windows’un hem yeni hem eski sürümlerinde tam fonksiyonellikle çalışacak biçimde optimize edilmelidir. Bu, işletmenin yakın gelecekte eski işletim sistemlerine tam dayanak sağlanacağından ve gerektiğinde yükseltme fırsatına sahip olacağından emin olmasını sağlar.
- Kaspersky Embedded Systems Security üzere aygıtları farklı akın vektörlerinden koruyan bir güvenlik tahlili kullanın. Aygıt son derece düşük sistem niteliklerine sahip olsa bile, Kaspersky aygıtı Varsayılan Reddetme senaryosu eşliğinde muhafazaya devam eder.
- Bu tıp dolandırıcılığın kurbanı olan finans kurumları için Kaspersky, IR gruplarının atağa uğrayan ortamlarda ATM ve PoS tehditlerini bulmasına ve tespit etmesine yardımcı olmak üzere Tehdit İlişkilendirme Motorunu önermektedir.
- Ekibinize en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin TI’si için son 20 yılda Kaspersky tarafından toplanan siber hücum datalarını ve öngörülerini sağlayan ortak erişim noktasıdır. İşletmelerin bu güç vakitlerde tesirli savunmalar geliştirmesine yardımcı olmak için Kaspersky, devam eden siber taarruzlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız erişim sunuyor. Buradan talepte bulunabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
