Van 2014 tot heden hebben systeemaanvallen op verkooppunten geleid tot het aantal geregistreerde gevallen van gegevenscompromis in Noord-Amerika, als gevolg van de groeiende toepassing van op chips gebaseerde betalingsmethoden in de regio.
Dat blijkt uit de resultaten van een onderzoek uitgevoerd door Trustwave. In Europa, het Midden-Oosten, Afrika en de regio’s Azië-Pacific is de frequentie van gehackte PoS-terminals relatief laag vanwege een gebrek aan mandaat voor elektronische chips om fraude te voorkomen.
De risico’s zijn in ieder geval groot. Het heeft PoS-applicaties in Noord-Amerika en wordt ook geconfronteerd met een toenemende golf van cyberaanvallen terwijl frauduleuze financiële activiteiten worden geminimaliseerd. Aan de andere kant heb je minder PoS-services in andere regio’s, heb je te maken met hogere fraudepercentages en blijf je beschermd tegen gerichte aanvallen.
Dit op chips gebaseerde betalingssysteem werkt om kaarten te valideren die gebruikmaken van Europay, Mastercard of Visa, waardoor het voor aanvallers moeilijk wordt om hun kwaadaardige plannen uit te voeren. Sommige cybercriminelen zouden de kaarten klonen om gegevens te stelen en uiteindelijk het bijbehorende geld.
Frauduleuze tactieken zijn ook geëvolueerd naar online transacties van de eerdere focus op financiële transacties waarbij kaarten fysiek aanwezig zijn. Dat is de reden waarom veel hackzaken tegenwoordig betrekking hebben op e-commerce websites, waarvan de kaartgegevens van grote waarde zijn voor criminelen.
Met name kaarttraceringsgegevens en PoS-terminals zijn de belangrijkste doelwitten van cyberaanvallen in de Verenigde Staten. Een deel van het probleem is dat de beveiligingssystemen die door Europay, Mastercard en Visa worden gebruikt, alleen werken om fraude te voorkomen en niet om zich te verdedigen tegen beveiligingsrisico’s. Houd er altijd rekening mee dat chipkaarten niet noodzakelijkerwijs de gegevens van kaarthouders beschermen.
Van 2013 tot 2014 heeft Trustwave een reeks PoS-systeeminbreuken en e-commerce-aanvallen waargenomen, en het aantal neemt toe. Andere bedrijven die het doelwit leken te zijn van cyberaanvallen waren onder meer detailhandel, horeca en eten en drinken. In al deze aanvalsvarianten waren PoS-terminals het favoriete doelwit van slechte acteurs in een poging om waardevolle informatie uit de schatkist te halen.
Bij de meeste van die inbreuken werden e-commercetransactiegegevens, zoals persoonlijk identificeerbare informatie en kaarthoudergegevens, gecompromitteerd. Cybercriminaliteit werd gepleegd door middel van aanvalsmethoden zoals onveilige software voor externe toegang en brute wachtwoorden raden, wat licht werpt op het ontbreken van sommige gebruikers in termen van het formuleren van sterke wachtwoorden.
Zwakke wachtwoorden verklaarden de meeste van deze beveiligingsfouten als gevolg van het op afstand instellen van PoS-terminals via internet of een particulier netwerk.
