網路犯罪組織正積極利用加油站銷售點管理系統(POS)網路的弱點以竊取信用卡資料,Visa 揭露指出。該公司的支付詐騙反制(Payment Fraud Disruption,PFD)小組正在調查幾起事件,結果發現這些事件是因為一個名為 Fin8 的駭客組織成功對加油機廠商發動詐騙攻擊而造成的。
Fin8 是一個金融導向的駭客攻擊團體,其因專門針對零售、飯店及醫療業發動量身訂做的魚叉式網路釣魚攻擊(Spear-phishing)而聞名。在每個案例中,攻擊者先透過惡意電子郵件和其他未知手法而獲得 POS 網路的存取權限。然後,他們會安裝 POS 資料擷取軟體,該軟體會充分利用老式無晶片的純磁條信用卡先天安全性不足的漏洞行事。
這次駭客攻擊似乎沒有影響到更安全的晶片信用卡,但並不是所有的消費者都有這種卡,所以加油站仍然持續支援磁條信用卡讀卡機。這些資料顯然以未加密的形式被發送到供應商的主網路,網路竊賊已經找到了在該網路中攔截資料的方法。另一個安全問題是,這些 POS 系統並沒有透過防火牆而與網路中其他不太重要的部分隔離開來,一旦網路遭到入侵,網路竊賊就可以取得從旁存取的權限。
面對攻擊,持卡人能做的防護並不多,不過 Visa 已建議加油設備商必須對傳輸的資料進行加密,抑或使用晶片卡和個人識別碼(PIN)碼政策。「加油機供應商應密切注意這類攻擊活動,並盡可能地部署支援晶片信用卡的裝置,唯有如此才能大幅降低這些攻擊的可能性,」Visa 在 12 月的安全警示公告中建議指出。
今年稍早之際,Visa 宣布,加油設備商必須在 2020 年 10 月之前完成晶片卡讀卡機的支援與部署。在這個截止日之後,所有沒有這種新技術的加油站都要為任何詐騙攻擊的後果負責。但問題是,許多這類企業仍然使用非常老舊的技術,他們必須更換整個加油設備才行,估計每個加油站的置換成本將高達 25 萬美元。據估計,美國所有兼營加油站的便利商店其總銷售額約為 225 億美元。 | 
不是都換晶片了,連設都沒得設了