Совет по стандартам безопасности ведущей международной организации индустрии платежных карт, Payment Card Industry, недавно опубликовал рекомендации для поставщиков технологий и торговых компании, как с помощью токенизации уменьшить объем хранимой в их системах информации по картам.
«Токенизация — один из способов ограничить количество мест, где хранятся данные о держателях карт, — объясняет директор совета по технологиям Трой Лич. — Если уменьшить подмножество систем, которые надо защищать, это позволит укрепить безопасность в целом и упростить выполнение нормативных требований».
Но, как указывалось в недавнем докладе компании Creative Breakthroughs, если бы у всех 22 организаций розничной торговли, ставших жертвами утечек, была система токенизации, 59% брешей устранить было бы нельзя, и 97% украденных записей (в общей сложности 154 млн) все равно были бы похищены.
Причина? Большинство утечек произошло на кассовом аппарате — еще до того, как данные можно было токенизировать.
«Токенизация происходит после того, как карту вставят в терминал; когда она завершится, данные защищены, — говорит Вольфганг Герлих, директор по стратегии кибербезопасности Creative Breakthroughs. — Но в памяти аппарата данные присутствуют в открытом виде».
Только 41% инцидентов в торговых сетях было связано с атаками на базы данных или серверы, где токенизация позволила бы защитить данные.
«Подобное происходит всегда, когда повсеместно вводится какое-либо новое средство контроля: атакующие переключают внимание от защищенного участка системы на самое слабое место», — отмечает Герлих.
Вредоносы, используемые для кражи данных с кассовых аппаратов и платежных терминалов, получили название «RAM-скрейперы» (RAM scraper).
По информации Trend Micro, за первые девять месяцев 2014 года было выявлено больше новых RAM-скрейперов, чем за все предыдущие три года. Кроме того, только за март было найдено два новых семейства этих вредоносов.
После прошлогодних атак на крупные торговые сети вроде Target и Home Depot злоумышленники расширили свою активность, отмечает старший исследователь угроз Trend Micro Нумаан Хук в докладе, опубликованном компанией в этом году: «Мошенники уже орудуют не только в супермаркетах, но и в аэропортах, на станциях метро и на парковках».
В платежной системе ApplePay применяется токенизация, но уязвимости на точке продажи нет, поскольку в оплате не участвует физическая карта.
Данные токенизируются, когда карту регистрируют в iPhone, и это как раз тот момент, на который нацелены взломщики: они научились регистрировать в смартфонах информацию по картам, похищенную в других системах.
«Чем раньше в цепочке обработки происходит токенизация данных, тем менее уязвим процесс оплаты, — указывает Герлих. — Благодаря выполнению токенизации еще на этапе регистрации и избавлению от физической карты ApplePay защищена от большинства традиционных способов кражи информации».