Хищение данных о пользователях кредитных карт и их реквизитов является устоявшимся направлением современного киберпреступного мира. Основными факторами, позволяющими осуществить подобный вид мошенничества, являются недостаточная защищенность и осведомленность самого владельца кредитной карты, а также проблемы с безопасностью непосредственно торговой точки (онлайн — VPOS, оффлайн — POS).

В 2009 корпорация VISA сделала первое уведомление о том, что была зафиксирована угроза компрометации POS-терминалов, размещенных на стороне мерчантов известных платежных систем, для последующего хищения данных о кредитных картах всех покупателей, обслуживающихся данной торговой точкой. Первостепенно подобного рода инциденты безопасности связаны с недостаточной организационной и технической защищенностью размещенных в сетях ресторанного бизнеса, магазинах и развлекательных заведениях мерчантов, несмотря на отраслевые стандарты и требования к их защите. Несмотря на то что приложения, которые применяются на стороне Virtual Point-Of-Sale (VSOP) в Интернете, могут соответствовать всем требованиям Visa’s Payment Application Best Practices (PABP), сам мерчант может оставаться под большой угрозой, находясь в уязвимом окружении.

Под уязвимостями окружения понимаются инфраструктурные бреши, связанные с ошибками конфигурации сетевого оборудования, организацией удаленного доступа к информации, механизмами установки обновлений прикладного и системного программного обеспечения, организационные аспекты допуска к обслуживанию и технической поддержке внедренных POS-терминалов.

Последний пункт требует особого внимания: как правило, торговые точки не способны осуществлять обслуживание POS-терминалов и установленных программных комплексов по учету и регистрации платежей, почему и нанимают стороннего подрядчика. В большинстве случаев недобросовестные подрядчики подключают сетевые узлы, имеющие непосредственное соединение с POS-терминалом, к Интернету, наделяя злоумышленника возможностью удаленного злонамеренного воздействия.

< ... >