|
Il software malevolo utilizza la tecnica di “memory scraping”, analizza cioè la RAM dei terminali infetti attraverso la lettura delle stringhe conservate in chiaro e contenenti i dati delle carte di pagamento appena strisciate. Il malware per annientare le barriere difensive delle macchinette e carpire informazioni utili, utilizza tre componenti: un keylogger, un programma (loader) che carica il virus e un “lettore di memoria” (memory scraper).
La prima fase comporta il furto delle credenziali di accesso per entrare da remoto all’interno del sistema PoS. La procedura fraudolenta, infatti, finge di cancellare dal registro di sistema le password criptate e i profili utente e obbliga quindi a digitare nuovamente i codici per poi catturarli.
Appena re-inseriti nell’apparecchiatura, gli aggressori caricano in modo permanente il file loader (che funge da contatto tra il PoS e un server remoto) e il memory scraper (atto a monitorare la RAM). Questo secondo programma è progettato per leggere le sole sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3, identificando e distinguendo così le varie carte di credito Visa, Mastercard, Discover e American Express, utlizzando l'algoritmo Luhn.
Dopo la verifica che le “stringhe” acquisite siano effettivamente codici di carte di credito, il software comunica direttamente con il server impostato per l’archiviazione illecita dei dati.
|
