RawPOS — одно из старейших семейств POS-зловредов, известное исследователям еще с 2008 года. Целью использовавших его киберпреступников практически всегда были предприятия гостиничного бизнеса, а для передвижения по скомпрометированной сети использовался традиционный инструментарий.
RawPOS — одно из старейших семейств POS-зловредов, известное исследователям еще с 2008 года. Целью использовавших его киберпреступников практически всегда были предприятия гостиничного бизнеса, а для передвижения по скомпрометированной сети использовался традиционный инструментарий.
С недавних пор взломщики стали использовать проникновение для сбора дополнительных данных, что повышает риск кражи личности жертв. Например, зловред теперь похищает данные водительского удостоверения, которое в США является самым распространенным способом подтверждения личности.
Исследователи заметили, что кроме данных магнитной полосы карты RawPOS собирает другие типы информации, пока карта прокатывается на терминале. Зловред модифицирует строку с «регулярным выражением», чтобы получить возможность собирать расширенный спектр данных, а также сканирует процессы в системе, чтобы обнаружить в коде строки, содержащие «track data». Данные процессов затем прогоняются через файл-скрейпер, чтобы распределить данные.
Зловред с 2008 года не менял методы сопоставления информации для выявления нужных ему данных, но в 2016 году начал искать строки, содержащие словосочетание «drivers license» («водительские права») и ANSI 636. Последнее — это обязательный штрихкод PDF417, используемый для идентификации личности, возраста и адреса.
Исследователи считают, что зловред нацелился на водительские права американских граждан, так как 636 — это цифры, с которых начинается идентификатор выпускающего органа в большинстве штатов США. Хотя данные водительских прав меняются от штата к штату, штрихкоды содержат одни и те же данные: полное имя, дату рождения, полный адрес, пол, рост и даже цвет волос и глаз.
Хотя использование этого штрихкода в точках продаж не так часто, как использование данных магнитной полосы кредитки, кассиры могут считывать его в аптеках, барах, казино и везде, где для подтверждения покупки требуется предъявление документа.
Если подобная информация попадает в руки злоумышленникам, они могут успешно подтверждать личность, даже не имея на руках кредитки. Помимо мошеннических транзакций похищение данных штрихкода грозит более серьезными последствиями для жертв, например кражей личности.