Caso as notícias sobre o ataque à Target (o caso ocorreu em 2014) não tenham sido o suficiente, voltamos a destacar: os criminosos estão muito interessados nas máquinas leitoras de cartões nos pontos de venda varejo ou PoS (do inglês: Point of Sale).

Como passam tantos números de cartões de crédito por esses sistemas e como normalmente não estão protegidos (suficientemente), esses equipamentos constituem uma grande oportunidade de roubo para os criminosos. Há pouco tempo foi encontrado um novo tipo de malware que tenta atingir especificamente as máquinas dos PoS; as soluções de segurança da ESET detectam essa ameaça como Win32/BrutPOS.A.

O objetivo do BrutPOS é acessar as máquinas dos PoS utilizando a técnica de força bruta por meio do teste de uma grande variedade de senhas (as mais utilizadas), com o propósito de iniciar o login através do Remote Desktop Protocol (RDP). Até o momento não está claro como esse malware se propaga, mas é provável que seja apenas um componente de um kit de ferramentas de um atacante; ou seja, é utilizado em conjunto com outro malware, possivelmente dependendo das defesas (ou falta delas) das máquinas atacadas.

Uma vez que conseguem se infiltrar na máquina, o trojan instala um malware para os PoS denominado “RAM Scraper”, que coleta números de cartões de crédito da memória da máquina do PoS e, em seguida, os envia para os atacantes através do protocolo FTP. Muitos desses sistemas, nos quais esse malware foi encontrado, pertencem a pequenas empresas, o alvo mais procurado para esse tipo de roubo.

Se você tem uma máquina leitora de cartões em um PoS, existem algumas coisas que podem ser feitas para proteger os sistemas desse tipo específico de ataque. Confira:

  • Use uma senha forte

Já escrevemos bastante sobre a importância de usar uma senha forte (e as táticas para esse processo), mesmo assim ainda existe malware com a capacidade de infiltrar-se em equipamentos apenas em decorrência do uso de senhas fracas. Nesse caso é importante notar que muitas das chaves utilizadas nas máquinas infiltradas eram as senhas de fábrica ou simples variantes do nome do fabricante do PoS. Por exemplo, as três senhas mais comuns foram “aloha12345”, “micros” e “pos12345”. É muito mais conveniente utilizar uma frase como senha ao invés de uma simples palavra, já que uma frase pode ser lembrada com mais facilidade e, além disso, levaria muito tempo para ser adivinhada (considerando que são mais extensas).

  • Limite as tentativas de login

Depois de escolher uma senha forte, configure a máquina para que conte, ou seja, limite as tentativas (em poucas) de acesso aos equipamentos. Uma forma comum é bloquear os usuários após 3 ou 5 tentativas incorretas. Essa ação reduz drasticamente a eficácia dos ataques por força bruta, já que o atacante não conseguirá testar a quantidade suficiente de senhas incorretas até adivinha-la.

  • Limite o acesso

Considerando o Princípio do menor privilégio possível e os perigos de habilitar o protocolo RDP, esse malware está longe de ser o primeiro que se aproveita das senhas fracas ou do poder do RDP. Em poucas palavras: limite o acesso sempre que possível. Caso seja necessário ativar o RDP, garanta que seja seguro.

Esse artigo da University of California Berkeley tem ótimas dicas que podem te ajudar. De qualquer forma, a limitação do acesso pelo FTP pode ser um obstáculo para os atacantes quando tentem extrair os dados dos cartões de crédito.

Há muitas outras coisas que podem ser feitas para proteger sua máquina utilizada no Ponto de Venda. Na verdade, são as mesmas medidas que devem ser tomadas para proteger qualquer outro equipamento na Internet, incluindo atualizar com regularidade o software e usar uma solução de segurança. Essa publicação do equipamento US-CERT conta mais detalhes específicos sobre como administrar os sistemas em um PoS.

É bom lembrar que qualquer equipamento conectado à Internet pode e deve ser protegido, e que as técnicas utilizadas são basicamente as mesmas. Os bons hábitos de segurança devem utilizar os mesmos princípios básicos em qualquer sistema.