וִידֵאוֹ: ©∆©˙˚ˆ∆©¨¥©¨¥√•¶ª§∞∂´®¶ƒ†•§¶¥©¨ø˙∆ˆπ˚µƒ˙†¶∫§ ´˜®¨¥∞∆ç©√∂µ§®´ƒ†ç≈¥¶∂˙¨∫√ ©•˜µˆ§∞ (נוֹבֶמבֶּר 2024)
בדצמבר 2013, Target הכירה בכך שהאקר השיג גישה ליותר מ -70 מיליון מספרי אשראי הלקוחות וכרטיסי החיוב שלו באמצעות מערכת נקודת המכירה (POS) של החברה. אחת מפריצות הנתונים הגדולות ביותר בהיסטוריה של ארה"ב, האק Target עלה למנכ"ל החברה ולמנכ"ל החברה את עבודתם.
לרוע המזל עבור כל המעורבים, ניתן היה להימנע מההאקר אם רק מנהלי היעד היו מיישמים את תכונת ההשמדה האוטומטית בתוך מערכת האנטי-תוכנות זדוניות של FireEye. הכלי FireEye תפס את קוד התוכנה הזדונית בנובמבר של אותה שנה ויכול היה למחוק אותו מהרשת של Target לפני שאסף כל אחד מהנתונים.
למרות שעדיין לא ברור כיצד ההאקר הדביק את רשת Target עם התוכנה הזדונית, ישנן דרכים רבות לנצל מערכת קופה של חברה. עבור עסקים קטנים עד בינוניים (SMB), האיומים גדולים אף יותר ושונים מכפי שהם על ארגונים גדולים יותר. הסיבה לכך היא שלרוב חברות ה- SMB אין את המשאבים ליצור את מגבלות האבטחה הדרושות כדי להאריך את ההאקרים (או לנקוט מכה אם האקרים מסתננים למערכות שלהם)., נבחן את שמונת הפגיעויות הגבוהות ביותר בנושא אבטחת קופות אשר מאיימות על SMB כיום. אנו נגיד לך לא רק מה להיזהר אלא כיצד להישאר בטוחים.
1. ספקים המנהלים מפתחות Encyption ללא מודול אבטחת חומרה
הנה הנושא העומד לרשותך: אם החברה שלך מאחסנת מידע על הצפנה באותו מקום בו היא מאחסנת נתוני משתמש, אתה שם את כל הביצים שלך בסל שביר אחד. עם זאת, אם אתה שומר פיזית על נתוני מפתח ההצפנה נפרדים מנתוני המשתמש, האקר שיזכה בגישה לנתוני המשתמש לא יהיה בעל גישה למידע ההצפנה.
מודול אבטחת חומרה הוא מכשיר פיזי המאחסן את נתוני ההצפנה שלך. אתה יכול לחבר מכשיר זה ישירות למחשבים או לשרתים שלך כדי לגשת לנתוני קופה לאחר העלאתם לרשת שלך. זהו צעד נוסף בהעלאת הנתונים שלך, אבל זה לא קשה כמו להסביר ליועץ המשפטי של החברה שלך מדוע נתוני הלקוחות שלך נמצאים בידי מישהו אחר.
2. רשתות עסקיות עם נתוני קופה לא רשומים
אם העסק שלך משתמש ברשת הארגונית שלך בכדי לשלוח עדכוני מערכת ואבטחה לסביבות והתקני נתונים של קופה, אתה מסכן את העסק שלך ברצינות. בתרחיש זה, אם האקר זוכה לגישה לרשת שלך, הוא או היא גם קיבלו גישה לכל נתוני קופה שלך.
חברות עם כיסים עמוקים ומומחי IT בהישג יד מפרידות בין שתי הרשתות הללו ויוצרות נתיבים קטנים מהרשת העסקית לסביבת הנתונים של קופה על מנת לבצע שינויים במערכת. זוהי גרסת פורט נוקס לאבטחת קופה. עם זאת, זה קשה ויקר מאוד להגדיר את התצורה. לכן, ארגונים קטנים יותר מסתפקים לעתים קרובות בכך שהם מאפשרים אימות מולטי-פקטור (MFA) מהרשת העסקית למכשיר קופה. זה לא תרחיש אבטחה חלומי אבל זו האפשרות המאובטחת ביותר שקיימת עבור חברות צנועות.
הערה חשובה נוספת כאן: בתי קפה ומסעדות המציעים Wi-Fi ללקוחות צריכים לוודא שמכשירי הקופה שלהם לא מחוברים לאותה רשת. ברגע שהאקר מתיישב, לוגם את הלטה שלו או שלה וגישה ל- Wi-Fi שלך, הוא או היא יכולים למצוא דרך לסביבת הנתונים של קופה שלך.
3. הפעלה על מערכות הפעלה ישנות
לא כולם רוצים לעדכן ל- Microsoft Windows 10. אני מבין. בסדר, אבל אם אתה עדיין מנהל גרסה ישנה של Windows, אתה מבקש צרות. מיקרוסופט סיימה את התמיכה במערכת Windows XP בשנת 2009, עבור Microsoft Windows Vista בשנת 2012, ו- Microsoft Windows 7 בשנת 2015 - והיא תסיים את התמיכה במיקרוסופט Windows 8 בשנת 2018. אם ביקשת ממיקרוסופט תמיכה מורחבת, תהיה בטוח לפחות חמש שנים לאחר סיום התמיכה במיינסטרים. אם לא הרחבת את התמיכה שלך או אם התפוגה התמיכה המורחבת (כמו שקרה ב- Windows XP), חשוב לציין שמיקרוסופט כבר לא תוסיף תיקוני אבטחה כדי לפתור בעיות שמתעוררות במערכת ההפעלה. לכן, אם האקרים ימצאו נקודת כניסה לתוכנה, אתם נחשפים נתוני קופה.
4. סיסמאות ברירת מחדל של יצרן
גם אם אתה אשף מספרים שיכול לשנן את הסיסמאות המורכבות שמספקים יצרן מכשירי קופה שלך, חשוב להפליא שתשנה את הסיסמה לאחר שתחבר את המכשיר לתוכנה שלך. הסיבה לכך הייתה שהאקרים ידועים שולפים רשימות של סיסמאות אלה מרשתות היצרנים ומתחקות אחריהן למכשירים שלך. לכן, גם אם נקטת בכל אמצעי זהירות שאפשר לאבטח את הנתונים שלך, אתה עדיין משאיר את הדלת ללא נעילה להאקרים.
5. מכשירים הונאה
וודא שאתה משתף פעולה עם חברה בעלת מוניטין יציב. אחרת, אתה עלול להסתיים בקניית מערכת קופה הונאה, שהיא למעשה משחק עבור החברה שלך ונתוני הלקוחות שלך. על ידי קבלת גישה ישירה לכרטיס האשראי של הלקוח שלך, הנוכלים האלה יכולים למשוך נתונים מבלי שאתה או הלקוח שלך יודעים שמשהו השתבש. מכונות אלה פשוט אומרות ללקוח שלא ניתן לסיים את העסקה, ומשאירות את הלקוח להאמין שיש בעיה בכרטיס האשראי שלו או שיש בעיה במערכת האחורית שלך. למעשה, המכונה פשוט מושכת את נתוני הלקוח מבלי שאיש יהיה החכם יותר.
6. תוכנות זדוניות באמצעות דיוג
חשוב שתתריע לעובדים שלך שלא לפתוח מיילים חשודים. האקרים מטמיעים קישורים בדוא"ל שאם לוחצים עליהם, נותנים להם גישה למחשב של העובד שלך. לאחר שההאקר השתלט על המכונה, הוא או היא יכולים לנווט ברחבי הרשת והשרתים שלך כדי לקבל גישה לכל נתונים. אם אתה בר מזל מספיק כדי לא לאחסן את נתוני קופה שלך באותה סביבת רשת, אתה עדיין לא ברור כי האקרים יכולים לגשת מרחוק למכשיר קופה שמחובר למחשב שנחטף.
7. גירוד זיכרון RAM
זו התקפה מיושנת שעדיין יש בה קצת ביס. גרידת זיכרון RAM היא טכניקה בה תוקפים קורעים נתוני כרטיסי אשראי מזיכרון ה- POS לפני שהם מוצפנים ברשת שלך. כפי שציינתי קודם, שמירה על מערכות קופה מבודדות מהרשת העסקית שלך צריכה להגביל התקפות מסוג זה (בהתחשב בכך שלהאקרים יש פחות נקודות כניסה למכשירי קופה מאשר לרשת הארגונית שלך). עם זאת, עליך גם להדק את חומת האש של החברה שלך כדי להבטיח שמערכות קופה מתקשרות רק עם מכשירים ידועים. זה יגביל את הדרכים בהן האקרים יכולים לגשת לנתונים במכשירי קופה שלך על ידי אילוץ אותם לחטוף מחשבים או שרתים ברשת שלך כדי לגרד את ה- RAM.
8. רפרוף
זה קל להתעלם מכיוון שהוא דורש אבטחה בשטח בכדי להבטיח שאיש אינו מטפל במכשירי קופה שלך. בעיקרו של דבר, רפרוף דורש מהאקרים להתקין חומרה במכשיר ה- POS, אשר יאפשר להם אז לסרוק פרטי כרטיסי אשראי. ניתן לעשות זאת גם באמצעות תוכנות זדוניות אם לא עקבת אחר כמה מהצעדים שציינתי קודם. אם אתה מנהל מספר סניפים, חשוב מאוד שתפקח על השימוש במכשירי קופה שלך ועל ידי מי.
