Pokladní čtečky kreditních a debetních karet na prodejních místech, zejména pak v malých podnicích, se vzhledem k chabým bezpečnostním opatřením ukazují jako vděčný cíl kyberzločinu, vyplývá to alespoň z aktuální zprávy zveřejněné společností Trustwave.
Tato organizace, která vyšetřuje případy prolomení zabezpečení u platebních karet pro společnosti jako American Express, Visa a MasterCard, provedla v roce 2010 po celém světě celkem 220 šetření různých událostí včetně několika úniků dat. Ve velké většině těchto případů se jako nejslabší článek ukázala právě platební zařízení.
Koncová řešení čtou magnetický pásek umístěný na zadní straně karet, který obsahuje informace o účtu, jež jsou následně přenášeny pro platební účely. Ačkoliv existují směrnice pro zabezpečení, které by měli vývojáři ve svých zařízeních dodržovat, přičemž jednou z nich je například norma Payment Application Data Security Standard (PA-DSS), dochází podle Trustwave k implementaci těchto prvků pouze sporadicky.
V celé řadě menších podniků leží podpora platebních zařízení na bedrech externích systémových integrátorů, kteří často aplikují chabé bezpečnostní prvky. V 87 procentech zaznamenaných kritických případů byla na vině chyba integrátora, který se dopustil doslova školácké chyby, jakou je například aplikace defaultních hesel a jednofaktorových řešení pro vzdálený přístup.
Koncová platební zařízení představují atraktivní cíl pro kyberkriminálníky, jelikož jsou zde data z platebních karet daleko kompletnější. Například útok proti elektronickému obchodu může vynést pouze číslo kreditní karty a datum její expirace – informace, které lze zneužít výhradně při podvodech nevyžadujících fyzickou přítomnost karty. Zato koncová platební zařízení jsou spjata s kompletní informací o magnetickém pásku, kterou lze zašifrovat do falešné karty a zneužít v peněžním bankomatu či na pokladně prodejce.
V současnosti již naštěstí vzrůstá počet maloobchodníků majících zájem o akreditaci v rámci bezpečnostní normy Payment Card Industry Data Security Standard (PCI-DSS), která si klade za cíl zamezit únikům citlivých dat o držitelích platebních karet a souvisejícím podvodům. Zakazuje například uchovávání dat z magnetických pásků na terminálech a nařizuje využívání šifrování.
A nutno podotknout, že jsou bezpečnostní opatření opravdu na místě. V loňském roce společnost Trustwave narazila na nový malware zacílený na aplikace platebních zařízení, z nichž jeden dokonce dovedl extrahovat zašifrovaná data a byl firmou Trustwave označen za „nejsofistikovanější malware svého druhu, s jakým se kdy setkala“.
I když je norma PCI-DSS silně zakořeněna v Severní Americe a Evropě, „v ostatních regionech se tyto směrnice teprve začínají uchopovat,“ píše se ve zprávě. „Například Latinská Amerika a asijsko-pacifická oblast stále zaostávají za jinými částmi světa v identifikaci a povědomí o datových únicích, čímž nepříznivě ovlivňují celosvětové úsilí v boji s agresivním chováním kyberzločinců.“