البرمجيات الخبيثة المصممة لإصابة أجهزة الصراف الآلي تعاود نشاطها
عاد نشاط العصابات الرقمية التخريبية التي تستهدف أجهزة الصراف الآلي ومحطات نقاط البيع ليرتفع مجدّداً مع عودة أنماط الإنفاق السابقة، وذلك بعد أن شهد نشاط تلك العصابات انخفاضاً كبيراً في ظلّ قيود الحركة التي فرضتها جائحة كورونا منذ العام 2020. وكان عدد الهجمات التي استهدفت أجهزة الصراف الآلي ومحطات نقاط البيع شهد انخفاضاً ملحوظاً بسبب الجائحة.
وأصبحت البرمجيتان الخبيثتان HydraPoS وAbaddonPoS أكثر عائلات البرمجيات الخبيثة انتشاراً في 2022، وتمثلان معاً نحو 71% من جميع محاولات الهجوم المكتشفة.
ويُعدّ Ploutus أكثر البرمجيات الخبيثة نشاطاً في استهداف أجهزة الصراف الآلي، مستحوذاً على 3% من جميع محاولات الهجوم المكتشفة في الأشهر الثمانية الأولى من هذا العام. وقد وردت هذه النتائج وغيرها في التقرير المعنون بـ “البرمجيات الخبيثة المصممة لإصابة أجهزة الصراف الآلي ونقاط البيع“ والصادر عن كاسبرسكي.
ويستهدف مجرمو الإنترنت الأنظمة المستخدمة في إدارة أجهزة الصراف الآلي ومحطات نقاط البيع لسرقة الأموال وبيانات استخدام البطاقات المصرفية والبيانات الشخصية، فضلاً عن اختراق الأنظمة سعياً وراء التحكّم بجميع الأجهزة داخل الشبكة، ويمكن للمهاجمين الحصول على آلاف الدولارات في لحظات قليلة إذا نجحت محاولاتهم.
ويؤكّد الخبراء أن العديد من إصدارات Windows المستخدمة في أجهزة الصراف الآلي قد تغدو أهدافاً سهلة بعد أن وصلت منذ مدّة طويلة إلى نهاية صلاحية دعمها، في حين أن كثيراً من محطات نقاط البيع تستخدمها شركات لا تتمتع بمستويات طيبة من النضج الأمني.
بالأرقام: عودة النشاط التخريبي إلى مستويات ما قبل الجائحة
كان عدد الهجمات التي تستهدف أجهزة الصراف الآلي ونقاط البيع شهد انخفاضاً حاداً عندما ضربت أزمة الجائحة العالم كله في العام 2020، مقارنة بسابقه، وذلك من حوالي 8,000 هجوم في 2019 إلى 5,000 هجوم في 2020. وأرجع الخبراء هذا الانخفاض إلى عدة أسباب، بينها انخفاض العدد الإجمالي لأجهزة الصراف الآلي في أنحاء العالم، وإغلاقها أثناء القيود التي فرضتها الأزمة، إضافة إلى التقلص العامّ في إنفاق الأفراد.
لكن نشاط مجرمي الإنترنت ارتفع بعد أن خُفّفت القيود كثيراً وعاد الأفراد إلى أنماط الإنفاق القديمة. ففي 2021، ارتفع عدد أجهزة الصراف الآلي ونقاط البيع التي هوجمت، بنسبة 39% مقارنة بالعام السابق. أما في الأشهر الثمانية الأولى من 2022، فقد نما العدد بنسبة 19% مقارنة بالمدة نفسها من 2020، وبنسبة 4% تقريباً مقارنة بالعام 2021. وفي المجمل، تعرّض 4,173 جهازاً لهجمات بين يناير وأغسطس من العام الجاري 2022.
هذا، ويتوقع الخبراء، بالنظر إلى التوجّه الحالي، أن تزداد الهجمات على أجهزة الصراف الآلي ونقاط البيع كثيراً في الربع الأخير من العام 2022.
البرمجيات الخبيثة الخاصة بنقاط البيع هي الأكثر انتشاراً
تمثل البرمجيتان الخبيثتان HydraPoS وAbaddonPoS معاً نحو 71% من جميع محاولات الهجوم المكتشفة التي استهدفت أجهزة الصراف الآلي ونقاط البيع في الأعوام من 2020 إلى 2022. وتوزعت الهجمات بين هذين النوعين من البرمجيات الخبيثة، مناصفة تقريباً (36% و35% على التوالي من جميع الهجمات). وجاءت البرمجية الأولى في التصنيف، HydraPoS، من البرازيل، وتُعرف بقدرتها على استنساخ بطاقات الائتمان. وبحسب التقارير الصادرة عن منصة معلومات التهديدات Kaspersky Threat Intelligence Portal، استُخدمت هذه العائلة من البرمجيات في شنّ هجمات قائمة على مبادئ الهندسة الاجتماعية.
وأوضح فابيو أسوليني رئيس مركز أبحاث أمريكا اللاتينية لدى كاسبرسكي، أن هناك أساليب مختلفة يلجأ إليها المخربون لشنّ هجماتهم على أجهزة الصراف الآلي ونقاط البيع، معتمدين على “من يقوم بالهجوم” و”عائلة البرمجيات الخبيثة المستخدمة فيه”. وأضاف: “يُجري المهاجمون مكالمات هاتفية وأحياناً يأتون شخصياً إلى مكاتب الجهة المستهدفة، منتحلين شخصية موظف في بنك أو شركة بطاقات ائتمان، ويحاولون إقناع الضحية بضرورة تثبيت البرمجيات الخبيثة زاعمين أنها تحديثات على النظام”.
وتتضمن قائمة البرمجيات الخمس الأولى البرمجية Ploutus (3%)، التي تُعدّ عائلة خبيثة تُستخدم لتعديل البرمجيات الرسمية ورفع الامتيازات الممنوحة من أجل امتلاك القدرة على التحكّم في أجهزة الصراف الآلي والحصول على الامتيازات الإدارية التي تسمح للمجرمين بسرقة أجهزة الصراف الآلي. كذلك تشمل البرمجية RawPoS القادرة على استخراج البيانات من الشريط المغناطيسي للبطاقة المصرفية، وبرمجية Prilex المستخدمة في عمليات استغلال لبرمجيات نقاط البيع ومعاملات بطاقات الائتمان والخصم، وكلتاهما تستحوذ على 2% من إجمالي الهجمات. ولا تمثل عائلات البرمجيات الأخرى الـ 61 وتعديلاتها التي خضعت للتحليل سوى أقلّ من 2% لكل منها.
وتُعدّ البرمجيات الخبيثة التي تستهدف نقاط البيع أوسع انتشاراً من نظيرتها المصممة لاستهداف أجهزة الصراف الآلي، نظراً لأنها الوصول بسهولة أكبر إلى المال، بحسب أسوليني، الذي أوضح أن أجهزة الصراف الآلي “محمية جيداً، في حين أن أصحاب المقاهي والمطاعم والمحلات التجارية لا يفكرون كثيراً في أمن نقاط البيع، ما يجعلهم هدفاً للمهاجمين. كذلك تقلّل النماذج الجديدة من الأعمال الإجرامية، مثل “تقديم البرمجيات الخبيثة كخدمة” مستوى المهارات اللازم للجهات التخريبية لشنّ هجمات ناجحة”.
يمكن الاطلاع على التقرير الكامل “البرمجيات الخبيثة المصممة لإصابة أجهزة الصراف الآلي ونقاط البيع” على Securelist.com.
ويوصي باحثو كاسبرسكي المؤسسات المالية بتنفيذ الإجراءات التالية للحفاظ على أمن الأنظمة والبيانات:
• استخدام حل متعدد الطبقات يتيح اختيارًا مثاليًا لطبقات الحماية، من أجل إتاحة أفضل مستوى ممكن من الأمن للأجهزة ذات الطاقات المتباينة وسيناريوهات التنفيذ المختلفة.
• تنفيذ أساليب الحماية الذاتية في وحدات نقاط البيع، مثل الحماية المتاحة في الحلّ Kaspersky SDK، بهدف منع الشيفرات البرمجية الخبيثة من التلاعب بالمعاملات التي تُجرى على تلك الوحدات.
• الحفاظ على أمن الأنظمة القديمة بأحدث وسائل الحماية؛ إذ يجب تحسين الحلول الأمنية لتشغيلها بالوظائف الأمنية الكاملة على الإصدارات القديمة من ويندوز، وعلى الحديثة منها كذلك، ما يتيح للشركات ضمان التزوّد بالدعم الكامل للإصدارات الأقدم في المستقبل المنظور، مع إتاحة فرصة الترقية عند الحاجة.
• تثبيت حل أمني مثل Kaspersky Embedded Systems Security لحماية الأجهزة من نواقل الهجوم المختلفة. إذ سيظل حل كاسبرسكي يحمي الجهاز بسيناريو الرفض الافتراضي إذا كانت مواصفات الجهاز منخفضة جداً.
• توصي كاسبرسكي المؤسسات المالية التي تقع ضحية لهذا النوع من الهجمات باستخدام Threat Attribution Engine، لمساعدة الفرق المختصة في العثور على التهديدات المصممة لاستهداف أجهزة الصراف الآلي ونقاط البيع واكتشافها في البيئات التي جرت مهاجمتها.
• تزويد فريق مركز العمليات الأمنية بالقدرة على الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى معلومات التهديدات من كاسبرسكي، حيث بيانات الهجمات الرقمية والرؤى المتعمقة التي جمعتها الشركة على مدار خمسة وعشرين عاماً. وقد أعلنت كاسبرسكي عن إتاحة المجال أمام المؤسسات للوصول مجاناً إلى معلومات مستقلة ومحدثة باستمرار من مصادر عالمية حول الهجمات الرقمية والتهديدات المتقدمة المستمرة، لمساعدتها على تمكين دفاعاتها، لا سيما في أوقات الأزمات. ويمكن التقدّم بطلب الحصول على الخدمة عبر الإنترنت.