支付卡行业安全标准委员会周三发布公告,敦促零售商立即审查他们的安全控制措施,以确保销售点系统不受“回撤”的影响。“回撤”是一种恶意软件工具,去年在零售商塔吉特(Target)的大规模数据盗窃中使用了这种工具。
该公告指示所有被覆盖的实体更新他们的防病毒套件,并改变默认和员工密码控制访问关键支付系统和应用程序。
负责管理PCI安全标准的委员会还敦促商家检查系统日志中是否有奇怪的或无法解释的活动,特别是那些涉及到将大型数据集转移到未知位置的活动。
在上面
PCI委员会还建议商家考虑采用PCI认可的交互点(POI)设备,“在刷卡或浸入支付终端时加密信用卡和借记卡数据。”该建议指出,商家还应考虑部署点对点加密技术,以确保卡数据在由安全解密机构接收之前一直受到保护。
该委员会表示,受退约影响的公司应立即通知其银行。
该公告反映了支付行业对back - off日益增长的担忧。黑客利用back - off从POS系统窃取支付卡数据。
该恶意软件于去年10月发布,但直到本月杀毒工具才发现。
美国国土安全部和美国特勤局认为,Backoff已经感染了1000多家中小型和大型企业的POS系统,包括塔吉特百货(Target)和内曼·马库斯百货(Neiman Marcus)。单单在塔吉特公司的这次攻击中,就有超过4000万张支付卡被泄露,而尼曼·马库斯公司的这次攻击则暴露了大约110万张卡上的数据。
在一个公告美国国土安全部和特勤局上周公布了这一消息,称他们已经对过去一年里涉及退让的“大量事件”做出了回应。公告称,到目前为止,已有7家POS系统供应商证实有多名客户受到了该恶意软件的影响。
上周的公告是美国国土安全部和特勤局7月份发布公告的后续警告企业关于Backoff被用于针对美国零售商的针对性攻击。该公告警告说,攻击者利用常用的企业远程访问工具侵入零售POS系统,并植入恶意软件。
一种总线标准的独立安全顾问James Huguelet说:“一种总线标准公告似乎是被恶意软件的广泛传播的新闻所激发的。”
Huguelet说,PCI理事会公告中列出的所有步骤都是标准措施。“但有时需要像这样的警钟,才能提醒支付处理链中的每个人,他们真的有多重要。”
Huguelet表示,PCI理事会公告中特别提到了支付卡数据的端到端加密。
他表示:“强制实施(端到端)加密将完全消除支付处理链内部的退步所带来的威胁。”但迄今为止,理事会还没有采取这一步骤。
Gartner分析师阿维娃·利坦(Avivah Litan)说,这份公告可能不会带来什么影响。
她说:“损害已经造成,PCI符合性程序并没有阻止这种攻击。”“这里没有新的规则或命令——他们只是试图表明它们是相关的,而且他们已经有了防止此类攻击的规则,”她说。
Litan补充说,仅仅要求零售商变得符合PCI标准不足以降低支付系统的风险。“PCI理事会、信用卡品牌、银行、支付机构需要让支付系统更加安全,不要再把修补固有缺陷的系统的所有责任都推给零售商了。”
这个故事,“零售商警告现在采取行动,以防止反恶意软件”最初发表《计算机世界》 。