2020'de pandemi nedeniyle ATM'lere ve PoS terminallerine yapilan saldirilarin sayisi önemli ölçüde azalmisti. Ancak eski harcama aliskanliklarinin geri gelmesiyle bu alandaki tehdit aktörlerinin faaliyetleri de yeniden yükseliste. 2022'deki en yaygin kötü amaçli yazilim aileleri olan HydraPoS ve AbaddonPoS, tüm tespitlerin yaklasik 71'ini olusturdu. ATM'lerde en aktif kötü amaçli yazilim, 2022'nin ilk sekiz ayinda toplam tespitlerin 3'ünü olusturan Ploutus oldu. Bu ve diger bulgular, Kaspersky tarafindan yayinlanan yeni ATM/PoS kötü amaçli yazilim raporunda yer aliyor.
Siber suçlular nakit para, kredi karti kimlik bilgileri ve kisisel verileri çalmak için ATM'lerde ve satis noktasi (PoS) terminallerinde kullanilan gömülü sistemlere saldiriyor. Bu aglardaki tüm cihazlarin kontrolünü ele geçirmek için sistemlere sizan saldirganlar, bir gecede binlerce dolar gelir elde edebiliyor. ATM'lerde kullanilan birçok Windows sürümü uzun zaman önce destek döneminin sonuna geldi ve bu nedenle kolay bir hedef haline dönüstü. PoS terminalleri ise siber güvenlige dair olgunluk seviyesi düsük birçok isletme tarafindan kullaniliyor.
Rakamlara bakis: Saldirganlarin faaliyetleri pandemi öncesi seviyelere dönüyor
Pandemi dünyayi vurdugunda bu tarz saldirilarin sayisi bir önceki yila göre önemli ölçüde azaldi, 2019'da yaklasik 8000’ken 2020'de 5000'e düstü. Uzmanlarin degerlendirmesine göre bu durum çesitli nedenlerle meydana geldi ki, buna ülkedeki toplam ATM sayisinin azalmasi da dahil. Pandemi sirasinda dünya genelinde mekanlar kapandikça ve harcamalar azaldikça, saldirganlar bu pazarda hedef alabilecekleri noktalarin sayisinin daraldigini gördüler.
Bugün pandemi kisitlamalari büyük ölçüde azaldi, eski harcama aliskanliklari geri döndü ve tehdit aktörlerinin bu alandaki faaliyetleri yeniden hiz kazandi. 2021'de ATM/PoS kötü amaçli yazilimlariyla karsilasan cihaz sayisi bir önceki yila göre 39 artti. 2022'nin ilk sekiz ayinda saldiri sayisi 2020'nin ayni dönemine göre 19, 2021'e göre yaklasik 4 artis kaydetti. 2022'nin Ocak-Agustos döneminde toplamda 4173 cihaz saldiriya ugradi.
Bu egilim göz önüne alindiginda, uzmanlar ATM/PoS cihazlarina yönelik saldirilarin sayisinin 2022'nin dördüncü çeyreginde daha da artmasini bekliyor.
En yaygin olan tehdit PoS kötü amaçli yazilimlari
HydraPoS ve AbaddonPoS, 2020-2022 yillarindaki tüm ATM/PoS kötü amaçli yazilim algilamalarinin sirasiyla 36 ve 35'ini, toplamda yaklasik 71'ini olusturuyor. Bu alanin lideri olan Brezilya menseli HydraPoS, kredi kartlarini kopyalamasiyla taniniyor. Kaspersky Tehdit Istihbarat Portali raporlarina göre bu tehdit ailesi sosyal mühendisligin de dahil oldugu saldirilarda kullanildi. Kaspersky Latin Amerika Arastirma Merkezi Baskani Fabio Assolini, “Bu alanda teknikler saldiriyi kimin yaptigina ve hangi ailenin kullanildigina bagli olarak farklilik gösteriyor. Saldirganlar isletmelerle telefon görüsmeleri yapiyor ve kurbanlarin ofislerine geliyor. Banka veya kredi karti sirketinin çalisanini taklit ediyorlar ve sanki bir sistem güncellemesi yapiyormus gibi kurbanlarin PoS cihazlarina kötü amaçli yazilim yüklemeye çalisiyorlar” diyor
Zirvenin ilk 5 sirasinda ayrica ATM'leri kontrol edebilen ve talimat üzerine içlerindeki parayi bosaltabilen kötü amaçli yazilim ailesi olan Ploutus yer aliyor (3). Geçici bellekten manyetik serit verilerini çikarabilen RawPoS, PoS yaziliminin yani sira kredi ve banka karti islemleriyle ilgili kötü amaçli yazilimlari kötüye kullanabilen Prilex’in her ikisi 2 ile listede kendine yer buluyor. Analize konu olan diger 61 zararli yazilim ailesi ve modifikasyonun her birinin aldigi pay 2'nin altinda.
Fabio Assolini, sunlari ekliyor: "PoS kötü amaçli yazilimlari, paraya oldukça kolay erisim sagladigi için ATM kötü amaçli yazilimlarindan daha yaygin. ATM'ler çogu zaman yeterince iyi korunurken, kafe, restoran ve magaza sahipleri ödeme terminallerinin siber güvenligini çogu zaman aklina bile getirmiyor. Bu da onlari saldirganlarin hedefi haline getiriyor. Ayrica bu alanda tehdit aktörlerinin beceri esligini düsüren hizmet olarak kötü amaçli yazilim gibi suça dayali yeni is modellerinin de ortaya çiktigini görüyoruz.”
Gömülü sistemleri ve bu sistemlerdeki verileri güvende tutmak için Kaspersky arastirmacilari asagidaki önlemlerin uygulanmasini tavsiye ediyor:
Farkli güce ve uygulama senaryolarina sahip cihazlarda mümkün olan en iyi güvenligi saglamak için, optimum koruyucu katman seçimi saglayan çok katmanli bir güvenlik çözümü kullanin. PoS modüllerinde, Kaspersky SDK'da bulunan korumada oldugu gibi, kötü amaçli kodlarin bu modüller tarafindan yönetilen islemlere müdahale etmesini önlemeyi amaçlayan kendi kendini koruma teknikleri uygulayin. Eski sistemleri güncel çözümlerle koruyun. Bu çözümler, Windows'un hem yeni hem eski sürümlerinde tam islevsellikle çalisacak sekilde optimize edilmelidir. Bu, isletmenin yakin gelecekte eski isletim sistemlerine tam destek saglanacagindan ve gerektiginde yükseltme firsatina sahip olacagindan emin olmasini saglar. Kaspersky Embedded Systems Security gibi cihazlari farkli saldiri vektörlerinden koruyan bir güvenlik çözümü kullanin. Cihaz son derece düsük sistem niteliklerine sahip olsa bile, Kaspersky cihazi Varsayilan Reddetme senaryosu esliginde korumaya devam eder. Bu tür dolandiriciligin kurbani olan finans kurumlari için Kaspersky, IR ekiplerinin saldiriya ugrayan ortamlarda ATM ve PoS tehditlerini bulmasina ve tespit etmesine yardimci olmak üzere Tehdit Iliskilendirme Motorunu önermektedir. Ekibinize en son tehdit istihbaratina (TI) erisimini saglayin. Kaspersky Tehdit Istihbarat Portali, sirketin TI'si için son 20 yilda Kaspersky tarafindan toplanan siber saldiri verilerini ve öngörülerini saglayan ortak erisim noktasidir. Isletmelerin bu zor zamanlarda etkili savunmalar gelistirmesine yardimci olmak için Kaspersky, devam eden siber saldirilar ve tehditler hakkinda bagimsiz, sürekli güncellenen ve küresel kaynakli bilgilere ücretsiz erisim sunuyor. Buradan talepte bulunabilirsiniz.