Rủi ro an ninh của các hệ thống POS tại Việt Nam và biện pháp ngăn chặn

Một trong những loại hình tội phạm mạng phát triển sớm nhất và nguyên thủy nhất đó là ăn cắp thông tin thẻ tín dụng và thẻ ghi nợ debit, vấn nạn này vẫn còn tồn tại cho tới ngày ngay. Những nhóm tội phạm mạng tổ chức hàng loạt những chiến dịch tấn công phức tạp nhằm lấy cắp một lượng lớn dữ liệu trước khi bán chúng ra thị trường chợ đen. Tội phạm mạng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra các thẻ giả.  Đây là một thị trường đầy tiềm năng mà ở đó các thẻ cá nhân có thể được bán tới giá 100 đô-la Mỹ/chiếc.

Ông Raymond Goh, Giám đốc cao cấp phụ trách mảng kiến trúc hệ thống, Symantec khu vực Nam Á, cho biết: “Có nhiều cách tội phạm mạng có thể sử dụng để ăn cắp những dữ liệu này. Giành quyền truy nhập vào cơ sở dữ liệu có chứa thông tin thẻ là một cách. Tuy nhiên, một lựa chọn khác đó là nhắm tới điểm mà một nhà bán lẻ sẽ thu thập thông tin thẻ đó đầu tiên – đây là các hệ thống điểm thanh toán (POS).”

Ông cũng giải thích thêm rằng mặc dù nhiều giao dịch POS được thực hiện bằng tiền mặt, nhưng cũng có nhiều giao dịch được thực hiện bằng cách quẹt thẻ trên một thiết bị đọc thẻ. Những thiết bị đọc thẻ này có thể là một thiết bị độc lập, tuy nhiên, tại các điểm bán hàng hiện đại, đặc biệt là trong những nhà bán lẻ lớn, đây thường là một hệ thống tất cả trong một (all-in-one system) có thể xử lý nhiều giao dịch khác nhau của khách hàng, chẳng hạn như bán, hoàn tiền, thẻ quà tặng và khuyến mãi,… Điều quan trọng nhất là, đứng trên quan điểm về bảo mật thì những thiết bị kiểu này có thể xử lý nhiều loại hình thanh toán. 

Tuy nhiên, khi những dữ liệu về tài chính và đôi khi cả những dữ liệu cá nhân có thể được xử lý bởi những hệ thống POS hiện đại, thì một điều thấy rõ là vấn đề bảo mật không phải là vấn đề quan trọng nhất được ưu tiên ở đây.

Những vấn đề bảo mật trong các hệ thống POS

Các hệ thống POS hiện đại là những chiếc máy tính được cấu hình đặc biệt, được cài đặt phần mềm bán hàng và trang bị một đầu đọc thẻ. Sử dụng một tiến trình  có tên gọi “skimming”, dữ liệu trên thẻ có thể bị lấy cắp bằng cách cài đặt một thiết bị vào đầu đọc thẻ này – cho phép nó đọc dữ liệu trên dải từ của thẻ và lưu lại. Vì cần phải có thêm phần cứng cùng với khả năng truy nhập vật lý tới đầu đọc thẻ, nên cách thức lấy cắp dữ liệu này không thể thực hiện trên diện rộng.

Điều này dẫn tới sự phát triển của một loại mã độc có thể sao chép dữ liệu trên thẻ ngay khi dữ liệu được đọc bởi đầu đọc thẻ. Tấn công đầu tiên sử dụng loại mã độc này đã bị phát hiện vào năm 2005, khi một loạt những chiến dịch tấn công được phát động bởi Albert Gonzalez, một hacker đã lấy cắp hơn 170 triệu số thẻ tín dụng. Kể từ đó, tấn công các hệ thống POS đã phát triển mạnh mẽ với hàng loạt các công cụ được bày bán tại các thị trường chợ đen.  

“Mặc dù những công nghệ bảo mật trên thẻ tín dụng đã phát triển đáng kể, kèm theo đó là những yêu cầu cao hơn về Chuẩn mực an toàn dữ liệu (DSS) của ngành Thanh toán thẻ (Payment Card Industry), vẫn có những lỗ hổng còn tồn tại trong các hệ thống POS. Điều này, cộng với những điểm yếu về bảo mật chung trong hạ tầng CNTT doanh nghiệp, khiến cho các nhà bán lẻ đứng trước những nguy cơ rủi ro từ các nhóm tội phạm mạng có tổ chức”,  ông Goh bổ sung.

Ăn cắp thông tin thẻ tín dụng có lẽ sẽ vẫn còn tiếp diễn trong tương lai gần. Dữ liệu trên thẻ bị đánh cắp có thời gian sử dụng hạn chế. Các công ty thẻ sẽ rất nhanh chóng nhận ra những khoản chi tiêu bất thường giống như chủ sở hữu thẻ vậy. Điều này có nghĩa là tội phạm mạng cần một nguồn cung cấp ổn định và dồi dào số thẻ mới.

Tin tốt ở đây là các nhà bán lẻ sẽ học được nhiều bài học từ các cuộc tấn công và thực hiện từng bước ngăn chặn những cuộc tấn công kiểu này tái diễn. Công nghệ thanh toán cũng sẽ thay đổi. Nhiều nhà bán lẻ tại Mỹ đang xúc tiến việc chuyển đổi sang chuẩn thanh toán Europay, Mastercard  và VISA – hay những công nghệ thanh toán “chip and  pin” (cần có thẻ và mã định danh người dùng).  Những thẻ dạng “Chip and Pin” sẽ khó nhân bản hơn rất nhiều, và điều này khiến tội phạm mạng chùn bước. Dĩ nhiên, phương thức thanh toán mới sẽ trở nên phổ biến hơn. Điện thoại thông minh có thể trở thành một kiểu thẻ tín dụng mới  vì nó di động, hoặc NFC – một công nghệ thanh toán cũng đang được ứng dụng rộng rãi.

“Chắc chắn rằng tội phạm mạng sẽ điều chỉnh với những thay đổi này. Nhưng khi những nhà bán lẻ ứng dụng những công nghệ mới hơn và các công ty bảo mật tiếp tục theo sát những kẻ tấn công thì loại hình ăn cắp POS trên diện rộng sẽ trở nên khó khăn hơn nhiều, và chắc chắn là lợi nhuận sẽ giảm sút rất nhiều”,  ông Goh khẳng định.

Rủi ro đi kèm với giai đoạn ngừng hỗ trợ hệ điều hành Windows XP 

Đại đa số các hệ thống POS đều sử dụng phiên bản cũ Windows XP của hệ điều hành nhúng sẵn Windows Embedded. Phiên bản cũ này tồn tại nhiều lỗ hổng bảo mật và do đó nó dễ bị tấn công. Hơn nữa, Microsoft sẽ ngừng hỗ trợ kỹ thuật cho Windows XP kể từ ngày mùng 8/4/2014, bao gồm ngừng cung cấp tự động cập nhật và các gói vá bảo mật định kỳ. Những hệ thống tiếp tục sử dụng Windows XP sau kỳ hạn chót sẽ phải đối mặt với hàng loạt những rủi ro về bảo mật, đặc biệt nếu những lỗ hổng bảo mật mới được tìm thấy trong hệ điều hành này. Hệ quả ở đây là những hệ thống này sẽ trở thành mục tiêu của hàng loạt các tấn công – có thể dẫn tới rò rỉ dữ liệu trên diện rộng. Các tổ chức hiện đang có hệ thống vận hành trên nền tảng Windows XP Embedded (XPE) cũng gặp phải hoàn cảnh tương tự, tuy nhiên họ có nhiều thời gian chuyển giao hơn vì Microsoft sẽ ngừng hỗ trợ XPE vào tháng 1/2016.

Nhiều hệ thống POS đang chạy phiên bản Windows mới hơn, tuy nhiên, họ cũng có thể vướng phải mã độc tương tự như mã độc trên Windows. Do vậy, những kẻ tấn công không cần phải có những kỹ năng đặc biệt để nhắm tới các hệ thống POS và những mã độc vốn không được thiết kế riêng cho các hệ thống POS có thể dễ dàng được tùy chỉnh để sử dụng trên các hệ thống  này. 

Bảo vệ đa lớp

Một sản phẩm bảo vệ thiết bị đầu cuối được cấu hình đúng có thể ngăn chặn những kẻ tấn công rắn mặt nhất, và điều này đặc biệt đúng với các hệ thống POS. Các hệ thống POS thực ra có lợi thế về bảo mật hơn so với máy tính bởi vì nó là những thiết bị đơn năng (single function). Nó không có trình duyệt web, không có email và khả năng chia sẻ ổ cứng, những tính năng và tệp tin cần thiết trên thiết bị này là hạn chế.

“Có nhiều phương pháp mà các nhà quản trị hệ thống POS có thể thực hiện để giảm thiểu rủi ro trước những cuộc tấn công vào các hệ thống của họ. Tuy nhiên, điều quan trọng nhất mà họ cần làm là ứng dụng biện pháp bảo mật đa lớp trong các hệ thống POS và trên toàn mạng doanh nghiệp”, ông Goh chia sẻ.

Giải pháp Symantec Endpoint Protection được xây dựng với khả năng bảo mật đa lớp, bao gồm những công nghệ danh tiếng như Symantec Insight và SONAR. Đây là giải pháp được thiết kế để bảo vệ chống lại những mối đe dọa bảo mật mới, chưa từng biết tới. Ngoài ra, giải pháp còn cung cấp những công cụ giảm thiểu tấn công bằng cách hạn chế những ứng dụng cụ thể chạy trên máy, cũng như kiểm soát thiết bị và ứng dụng được truy nhập mạng. Hạn chế ứng dụng và quyền truy nhập mạng trên máy có thể khiến cho mã độc trở nên vô dụng bởi vì nó sẽ không có khả năng chạy trên máy hoặc trên mạng. Bên cạnh đó, giải pháp Symantec Critical System Protection mang tới khả năng bảo vệ máy chủ quan trọng cho các trung tâm dữ liệu vật lý và ảo hóa. Giải pháp này cho phép doanh nghiệp khóa ứng dụng, tùy chỉnh cấu hình và tài nguyên sao cho mã độc và lỗ hổng không thể bị khai thác.

Để bảo vệ tốt nhất cho các hệ thống POS vận hành trên nền tảng Windows, các tổ chức cần phải có giải pháp bảo mật đa lớp trong hệ thống CNTT của họ.