Modele de compromis de vente pap

L`équipe de recherche de la CTU est consciente de deux botnets Citadel qui ciblent spécifiquement les appareils POS. Le cheval de Troie Citadel est un kit de crimeware bien connu qui est utilisé pour cibler les données bancaires en ligne et de cartes de crédit dans le but de commettre une fraude. En plus de sa capacité à espionner l`activité de navigation sur le Web d`un utilisateur, Citadel a plusieurs autres fonctionnalités qui le rendent utile à un attaquant pour identifier et compromettre les dispositifs POS potentiels. Dell SecureWorks n`a observé aucun événement déclenchant des contre-mesures pour le cheval de Troie Dexter dans sa base de clients. Citadel peut être configuré pour consigner toutes les frappes saisies dans les processus ciblés pendant une période spécifiée. Cette action peut fournir à un attaquant des informations sensibles telles que les informations d`identification de compte pour les utilisateurs du logiciel POS et les données de compte saisies manuellement. Avec la publication par l`American Angus Association de sa recherche PAP EPD, l`Association continue de diriger l`industrie dans la Description génétique objective des traits nouveaux. Un autre exemple est leur version antérieure des EPDs de score de pied. Leur objectif global est d`améliorer la rentabilité des producteurs utilisant la génétique Angus. Correspondant de l`Australie, service d`actualités IDG | Mar 28, 2016 4:40 PM PT figure 2. expression régulière vSkimmer pour la correspondance des données formatées Track 2.

(Source: Dell SecureWorks) Citadel permet à un opérateur botnet d`envoyer une commande aux ordinateurs infectés pour télécharger un programme à partir d`une URL et l`exécuter sur un ordinateur infecté. Cette instruction est appelée une commande «user_execute». Il peut être envoyé à l`ensemble du botnet, à un seul ordinateur infecté, ou seulement aux ordinateurs situés dans un pays spécifique. Les organisations qui traitent des transactions par carte sont tenues de respecter les exigences de sécurité spécifiées par les normes de sécurité des données de l`industrie des cartes de paiement (PCI DSS) pour protéger les données des cartes au point de vente. Ces normes fournissent un cadre solide aux commerçants pour protéger les données des détenteurs de carte. La conformité aux normes représente la posture de sécurité d`une organisation à un moment précis. Malheureusement, les contrôles de sécurité échouent occasionnellement. Les recommandations suivantes, exécutées dans le cadre d`une stratégie globale de conformité PCI, aideront à limiter la vulnérabilité des périphériques POS aux logiciels malveillants et à atténuer la perte de données de toute infection réussie. Les solutions de cryptage point à point (P2PE) permettent d`accepter les paiements sur un appareil qui crypte les données sur l`appareil (par exemple, le terminal de balayage de carte) pour la transmission à un tiers pour le traitement. Les données d`authentification de carte ne réside jamais sur le périphérique POS, de sorte qu`il ne peut pas être volé. Du point de vue de la vente au détail, cette configuration déplace de nombreuses exigences de sécurité pour protéger les données de carte client vers le processeur tiers.

Cependant, les commerçants sont toujours responsables de la conformité PCI DSS, car ils ont besoin de manipuler physiquement les cartes de paiement et d`assurer l`intégrité des appareils P2PE physiques. Ce type de solution peut être attrayant pour les petits commerçants avec peu de vitrines et caissiers. Les notifications par E-mail ne sont envoyées qu`une fois par jour, et uniquement s`il existe de nouveaux éléments correspondants.