En ny frekk skadevare tar kontroll over kassasystemer og kopierer uvitende kunders betalingskort. (Bilde: digi.no)

«Dexter» angriper kassasystemer

Ny skadevare kopierer betalingkort.

Forskere ved det israelske IT-sikkerhetsselskapet Seculert har identifisert ondsinnet programvare som stjeler kortopplysninger fra kassasystemer (Point of Sale – POS).

Det er høysesong for kortbruk nå før jul og dette vet kriminelle å utnytte. Flere hundre POS-terminaler skal den siste tiden være kapret ved større butikkjeder, hoteller, restauranter og parkeringshus.

Dexter

Det dreier seg om en ny Windows-basert skadevare døpt «Dexter». Navnet, som flest vil forbinde med en tv-serie om en seriemorder, stammer fra en tekststreng funnet i filene som blir plantet.

- Dexter er skreddersydd for å stjele opplysninger. Den analyserer bestemte POS-relaterte prosesser i minnet på leting etter kortdata som «track 1» og «track 2». Sannsynligvis for å klone betalingskortene, opplyser sikkerhetsselskapet.

Flest tilfeller er oppdaget ved terminaler i USA (30 prosent), Storbritannia (19 prosent) og Canada (9 prosent), men i alt skal kassasystemer i 40 land være rammet, ifølge en kunngjøring.

Ny trend

Seculert mener de har avdekket en ny og økende trend: I stedet for å ta seg bryet med å infisere hjemme-pc-er eller installere fysisk skimmeutstyr, sørger kriminelle for å skaffe seg like stort utbytte ved å angripe noen få terminaler.

Selv om utbredelsen av skadevaren fremstår som relativt sett lav, kan hver enkelt infiserte kassaterminal ha tappet et stort antall kunders kortopplysninger.

Arc Technica har mer om svindelen. De opplyser at Dexter laster opp de stjålne kortdataene til en kontrollserver på Seychellene, en øystat som ligger øst for det afrikanske fastlandet.

Trolig er det ved kommunikasjon med denne serveren at Seculert har klart å avdekke detaljer om spredningen. Dette inntrykket forsterkes ved at de kan vise til bilder av skadevarens administrasjonspanel hvor kaprede terminaler ramses opp med blant annet (sladdede) IP-adresser, operativsystem og maskinnavn.

Det er ikke kjent hvordan skadevaren har sneket seg inn på kassasystemene. At en stor andel Windows Server-installasjoner er berørt tyder på at det ikke dreier seg om utnyttelse av web-sårbarheter eller sosial hacking, ettersom slike maskiner ikke typisk blir brukt til nettsurfing, mener Arc Technica.

Mener de er uberørt

Nets er selskapet som behandler en tredjedel av alle nordiske korttransaksjoner og har utplassert 425.000 betalingsterminaler.

- Denne skadevaren tror jeg ikke er en reell problemstilling akkurat for oss. Slik jeg forstår det angriper den kassasystemet, altså en pc-kasse. I løsningene vi støtter er terminaldelen utenfor, sier Nets-pressekontakt Stein-Arne Tjore til digi.no.

Ifølge ham er det i Norge svært få som opererer med løsninger der kortdata oppbevares i kassasystem, fordi det er underlagt et omfattende regelverk og krav til PCI-sertifisering.

- Dette er er sannsynligvis i bruk i en del land, men så vidt meg bekjent har ingen av våre kunder denne løsningen, sier Tjore.

    Les også:

Til toppen