Thiết bị thanh toán Pos bảo mật đến đâu?

Nhóm nghiên cứu Trend Micro khuyến cáo: “FastPOS đang không ngừng cập nhật và phát triển để nhắm mục tiêu các doanh nghiệp có hệ thống an ninh mạng tương đối thấp, vì vậy các tổ chức cần thắt chặt vấn đề bảo mật an ninh mạng, sử dụng phần mềm bảo mật để phát hiện và ngăn chặn mọi phần mềm độc hại.”

Thực tế tại Việt Nam hiện đang khá lộn xộn trong việc xây dựng chuẩn công nghệ cho loại hình thanh toán điện tử . Điển hình như việc thanh toán thông qua mã QR, hiện các ngân hàng, trung gian thanh toán và cả các đơn vị cung cấp hàng hóa, dịch vụ đều đang xây dựng cho mình mỗi nơi một chuẩn công nghệ riêng, không thể liên thông với nhau.Nhiều đơn vị lớn như siêu thị, siêu thị điện máy,… lắp đặt Pos của 3-5 ngân hàng cùng lúc chấp nhận chia nhỏ thị phần, tốn nhiều không gian, lộn xộn. Hơn nữa, thị trường vẫn tồn tại số lượng lớn các Pos cũ. Các Pos cũ này chưa được tích hợp công nghệ mới như QRCode, xác thực thanh toán bằng mã pin…

Ngoài ra, nhiều ngân hàng chưa đáp ứng tiêu chuẩn bảo mật thanh toán thẻ theo chứng chỉ PCI DSS là chuẩn bảo mật PCI DSS được đưa ra bởi PCI Security Standards Council (bao gồm các thành viên là các tổ chức thẻ quốc tế: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International). Mục đích của PCI DSS là bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc doanh nghiệp thanh toán.

Pos cơ bản là một chiếc máy thanh toán bảo mật với tính năng di động, gọn nhẹ, các đơn vị chấp nhận thanh toán lẫn chủ thẻ đều thấy thoải mái khi sử dụng Pos và đặt niềm tin hoàn toàn vào những chiếc máy quẹt thẻ này. Trong mắt họ đây là một thiết bị bảo mật hoàn hảo. Nhưng thực tế, nhiều vụ thông tin khách hàng bị đánh cắp qua Pos đã chứng minh điều ngược lại: Pos có thể bị hack!

Vậy tại sao một Pos bảo mật lại bị hack?

Hãy cùng tìm hiểu: Pos là thiết bị đơn lẻ, cơ chế vận hành như một thiết bị máy tính, có bộ nhớ, HDD, CPU,…. Trên máy có một rãnh đọc thiết bị từ hoá và một rãnh đọc thẻ gắn chip. Khi thẻ được quẹt qua, các thông tin trên thẻ như (số CVV, CVC, expiredate, …) cũng được nạp vào bên trong máy Pos, tại vùng nhớ tạm thời hay còn gọi là RAM.

Cơ chế hoạt động của phần mềm độc hại cài đặt trên máy Pos (Pos Malware)

Pos Malware- RAM scraping lọc các thông tin nhạy cảm (số CVV, CVC, expiredate,…) đã được nhớ tạm thời và chưa mã hóa trong RAM vào một vùng nhớ của chúng. Sau đó các thông tin bị đánh cắp này sẽ được hacker lấy lại theo một số cách thức (ví dụ: qua một thẻ chip giả mạo, hoặc qua việc gửi online qua kênh truyền public cho hacker).

Phân tích các phần mềm độc hại cho thấy, các mẫu mã độc ngày càng tinh vi, khả năng lẩn trốn cao khiến chúng khó bị phát hiện.Bởi vậy mà ngay cả với các POS đã được xây dựng cơ chế bảo mật cũng khó tránh khỏi bị hack, bởi cơ chế xử lý dữ liệu đòi hỏi phải lưu tạm thời dữ liệu vào RAM. RAM chính là điểm yếu của POS.

Thử nghiệm đánh cắp dữ liệu Pos

Được thực hiện bởi Nils– Security Researcher , MWR InfoSecurity phát trên CNNmoney

Dữ liệu Pos được hack thử nghiệm thông qua những bước sau:

1. Người thử nghiệm tạo ra một thẻ chip thông minh chứa malware với mục đích chiếm quyền kiểm soát máy quẹt thẻ.

2. Người đó đi tới cửa hàng thanh toán bằng chiếc thẻ giả này, Pos báo lỗi thẻ. Lỗi này nằm trong danh mục báo lỗi chuẩn nên đơn vị chấp nhận thanh toán cũng không lưu ý. Người mua giả mạo này sẽ thay thế bằng việc thanh toán tiền mặt và rời khỏi cửa hàng. Sự thật là Malware đã xâm nhập vào Pos.

3. Sau đó, bất cứ ai bước vào cửa hàng thực hiện thanh toán thông qua Pos đều bị đánh cắp mọi dữ liệu về số CVV, CVC, expiredate, PIN

4. Một thời gian sau, người mua giả mạo sẽ quay lại với một chiếc thẻ thông minh thứ hai. Người đó thực hiện giao dịch qua chính chiếc Pos bị nhiễm mã độc, máy Pos sẽ lại báo lỗi (những lỗi thông thường) nhưng qua hành động đó, chiếc thẻ thứ hai này đã ăn cắp hết thông tin từ Pos trong suốt thời gian bị hack.

5. Với chiếc thẻ này mọi thông tin của khách hàng qua chiếc Pos trên đã bị lộ.

Ngoài ra còn rất nhiều cách đánh cắp thông tin khách hàng như cài chip gián điệp, Skimming trên các máy Pos tại điểm bán hàng. Thẻ của nạn nhân nhanh chóng bị sao chép sau khi dải băng từ quẹt qua Pos.

“Việc phát hiện những chip gián điệp gần như vô hình trong máy chủ của SuperMicro, không có gì đáng ngạc nhiên đối với một chuyên gia bảo mật và an ninh mạng. Nhưng cách thức tấn công bằng phần mềm mới là đáng lo ngại, bởi chúng hoàn toàn vô hình. Sự phức tạp của mạng máy tính và cấu trúc phần mềm ngày nay đã cho phép thực hiện nhiều cách thức tấn công bằng phần mềm khác nhau.” - John McAfee trên tạp chí trực tuyến Loggia on Fire

Mất bò mới lo làm chuồng?

Thanh toán qua máy Pos là một xu hướng hợp thời nhưng cũng chứa đựng rủi ro, đặc biệt là với các doanh nghiệp không chú trọng tới an ninh mạng hay không có hệ thống an ninh mạng tốt. Người hứng chịu rủi ro đó chính là người tiêu dùng – những chủ thẻ.

Vậy chủ thẻ cần làm gì để tự bảo vệ mình? Ông Nguyễn Hữu Cường– quản trị viên Diễn đàn an ninh mạng Việt Nam whitehat.vn đã phát biểu trên VTV1: “Về phía người dùng, chúng ta nên bảo vệ mình trong các trường hợp xấu, chúng ta nên thay đổi thẻ thường xuyên hoặc định kỳ thay đổi mật khẩu cho các thẻ nội địa, không nên sử dụng mật khẩu chung, dễ nhớ như ngày tháng năm sinh” Các chuyên gia cũng khuyến cáo khách hàng không quẹt thẻ trên những thiết bị không phải là máy POS bởi đó có thể là máy sao lưu dữ liệu thẻ.

CEO Nguyễn Tử Quảng đã từng nói: “Tôi nhìn nhận virus là một mối nguy cho xã hội. Thiết bị nào cũng có thể bị tin tặc tấn công, lây nhiễm. Chỉ khác nhau là biết cách đề phòng. Phải luôn tự đề phòng.”

P.V