Una recente analisi ha stimato almeno 50 malware sviluppati per attaccare i sistemi POS: un fenomeno particolarmente significativo negli USA, dove questo genere di attacchi si sussegue comportando il furto di quantità anche molto significative di dati relativi a carte di pagamento. Ma che in Italia (e in Europa) trova un terreno molto più duro. Vediamo perché.
Che cosa è un POS
Innanzitutto c’è un problema di definizione o, se preferiamo, linguistico: quando leggiamo di attacchi contro i POS di Oltreoceano occorre distinguere tra il “POS” cassa e il “eft-POS”, cioè il terminale di pagamento. In Italia, con il termine POS intendiamo quest’ultima accezione. Negli USA i registratori di cassa hanno ancora il lettore di carta magnetica sulla tastiera e sono basati su Windows o Linux: la cassa è quindi parte della filiera della transazione e cripta (forse e non si sa con quale standard) i dati della carta di pagamento, inviandoli al server del supermercato. L’intero ciclo non è certo “a prova di malware”, anzi.
Il caso Target
«Check Point è stata tra le prime realtà a segnalare questo tipo di attacco – commenta David Gubiani, Technical Manager di Check Point Software Technologies Italia – in particolare portando alla luce il caso di Target, un grande retailer statunitense che tra la fine del 2013 e l’inizio del 2014 ha dovuto registrare la perdita di dati personali relativi a 100 milioni di clienti, tra carte di debito/credito e carte fedeltà. L’attacco, originato da un terminale POS compromesso, ha costretto i vertici dell’azienda a dimettersi per la loro incapacità di tutelare i dati dei clienti. E se questo caso è stato particolarmente eclatante per dimensioni ed impatto, la stessa dinamica potrebbe sicuramente ripetersi presso retailer di dimensioni più contenute, che magari contano anche su budget di sicurezza più ridotti. La chiave di tutto resta una sicurezza omnicomprensiva e multilivello, che consideri ogni elemento come parte di un insieme complessivo».
Criptatura end-to-end. E software proprietari
I terminali italiani (ed europei), invece, sono innanzitutto separati dal terminale di cassa e soprattutto sono certificati: i dati della carta vengono cifrati all’interno del POS (con sensori anti-apertura e di temperatura a protezione della memoria che custodisce le chiavi crittografiche), nel pieno rispetto degli standard PCI e in linea con quanto già avvenuto in Europa con l’affermarsi del Chip&PIN e dell’EMV. La crittografia end-to-end protegge i dati della carta. Ma per quanto riguarda il software “montato” sul dispositivo? «I nostri POS – spiega Enzo Romeo, Director of Innovation & Technologies di Ingenico Italia – funzionano con software sviluppati su ambiente SDK proprietario a cui hanno accesso i programmatori autorizzati: ogni software viene poi firmato con chiavi univoche assegnate a ogni programmatore: il software non firmato non può girare sui terminali e un eventuale “malware” risulterebbe di facile identificazione, così come il suo autore».
Idem per il mobile POS
La relazione POS/registratore di cassa si ritrova anche nel rapporto tra mobile POS e smartphone o tablet: «i circuiti internazionali, così come gli operatori locali (per esempio PagoBancomat) sono stati molto rigidi nell’imporre che il processo di cifratura avvenga all’interno del POS - precisa Romeo - con una encryption end-to-end gestita dalla stessa applicazione di pagamento e basata su chiavi segrete. Non sarebbe neppure pensabile, per una banca europea, dotarsi di un POS, mobile o meno, che non rispetti questi standard di sicurezza gestita dalla stessa applicazione di pagamento e basata su chiavi segrete».
L’attacco fisico? Meglio su ATM
Resta, seppur sporadico, il pericolo rappresentato da attacchi fisici, con l’installazione di skimmer o sniffer direttamente sul terminale POS: che però è quasi sempre presidiato e maneggiato dal personale del supermercato. A quel punto, l’ATM appare un obiettivo più probabile.
