Невидимая угроза: как защитить розничную сеть от хакеров

Георгий Старостин, эксперт Лаборатории практического анализа защищенности компании «Инфосистемы Джет»

Один и тот же магазин персонал розничной сети и мошенники видят по-разному. В этой статье мы попробуем разобраться, каким киберугрозам могут быть подвержены компании розничной торговли, к чему может привести успешная атака и как защитить магазин и его клиентов от хакеров. 


Точки взлома, или как злоумышленник может попасть в сеть магазина

Сегодня сложно представить магазин, которому не требуется какой-либо обмен информацией с внешним миром. Поэтому практически все магазины, особенно сетевые, имеют подключение к интернету для взаимодействия с поставщиками и головным офисом, налоговой инспекцией и другими контролирующими организациями. Это порождает первую опасность — взлом пограничного оборудования и дальнейшее проникновение в сеть. 

Кто-то из ритейлеров на это ответит, что в его магазине нет онлайн-сервисов, размещенных непосредственно в корпоративной сети, и взламывать из интернета просто нечего. Действительно, в таком случае список того, что можно взломать, сильно сужается, но все равно остается само пограничное оборудование, которое может иметь уязвимости и ошибки настройки, влияющие на безопасность. 

Помимо этого, часто из-за невнимательности ИТ-специалистов или их недостаточной осведомленности в вопросах ИБ на периметр сети попадают неучтенные и небезопасные сервисы, которых не должно быть в интернете: сервисы видеонаблюдения, технические сервисы управления серверами и т.д.

Другая опасность связана с атаками, при которых применяются методы социальной инженерии, т.е. воздействие на человеческие страхи, слабости и другие эмоции. Получив правдоподобное письмо с вложением от имени контрагента, работники магазина с большой долей вероятности запустят вредоносный файл и тем самым откроют злоумышленникам доступ в инфраструктуру компании. Нередко подобная переписка в сочетании с техниками манипуляции доверием позволяет мошенникам выманить у работников реквизиты удаленного доступа в сеть компании. По нашему опыту, на социнженерии основано не менее 80% проникновений в сеть.

Еще одна угроза кроется в неконтролируемых подключениях к сети. В торговых залах многих магазинов можно найти уязвимое оборудование, подключенное к локальной сети: сканеры штрихкодов, свободные сетевые розетки и т.д. Самое критичное здесь то, что практически всегда при подключении к этим розеткам атакующий может попасть в другие сегменты сети, например, в офисный сегмент магазина или даже в какие-то сегменты центрального офиса. 

Высокий интерес для хакеров также представляют технические Wi-Fi-сети, предназначенные для внутреннего пользования. Способов таких атак известно довольно много, так что шансы на успех у нападающих достаточно высокие. Но в отличие от подключения через розетку, при атаке на беспроводную сеть злоумышленник может вообще не заходить в магазин, а действовать с прилегающей территории.


Развитие атак и последствия

Рано или поздно злоумышленник сможет пройти периметр и окажется в сети магазина. Остановимся поподробнее на том, какие системы он будет пытаться атаковать и насколько критичными могут быть последствия.

Что можно сделать с кассой?

Первой целью атакующего, скорее всего, станет кассовое оборудование. Чтобы понять мотивацию и подход злоумышленника, попробуем ответить на вопрос, что такое касса в магазине. 

Как правило, это компьютер, часто с какой-либо редакцией ОС Microsoft Windows или старой версией Linux и несколькими подключенными к нему специализированными устройствами, например, сканером штрихкодов, чекопечатающей машинкой и кассовым аппаратом. Особенность кассового оборудования заключается в том, что на используемую систему невозможно оперативно установить обновления, так как это может привести к сбоям в работе определенных модулей или ПО, а для Linux-касс обновлений может и вовсе не быть. Срок жизни кассового оборудования, в отличие от срока жизни обычного компьютера, может превышать 10 лет и на многих кассах установлены неподдерживаемые операционные системы, например, Windows XP. Все это обуславливает уязвимость касс для атак из локальной сети магазина.  По нашим оценкам, таким рискам подвержены более 85% касс. 

При проведении заказной атаки злоумышленник может попытаться вывести из строя все кассовое оборудование, так как его массовый отказ приведет к приостановке продаж и, как следствие, прямым убыткам для розничной сети. Такая угроза стала особенно критичной с введением онлайн-касс и строгой отчетности по продаже алкоголя. 

Еще один возможный сценарий – атака на кассы с целью получения административного доступа к кассовому терминалу. Что будет дальше в случае успеха, зависит только от фантазии и целей злоумышленника.

Что можно сделать с компьютерами и серверами?

Помимо касс, в качестве объекта атаки нападающие могут выбрать используемые в магазине компьютеры и серверы. Как правило, они защищены гораздо слабее, нежели конечные станции в центральном и региональных офисах розничной сети. Основные причины — территориальная разрозненность магазинов, небольшое количество компьютеров по сравнению с офисами и отсутствие единого стандарта конфигурации. 

Этот вид угрозы опасен тем, что после захвата контроля над конечными станциями злоумышленник может совершать различные манипуляции с информацией о товарах, ценах, отгрузках и т.д. Например, атакующий может изменить количество остатка того или иного товара и в дальнейшем совершить хищение в реальном мире или скрыть ранее совершенное хищение.

Камеры видеонаблюдения в руках атакующих

Кроме того, действия атакующих могут быть направлены и на системы видеонаблюдения, которые обычно имеют те же недостатки, что и кассовое оборудование, ПК и серверы. Однако здесь меняется мотив злоумышленника: ему будет выгодно, чтобы камеры видеонаблюдения перестали работать в нужный момент в определенных зонах магазина и позволили мошеннику совершить кражу.



Манипуляции беспроводными устройствами

Еще один вариант развития атаки связан со взломом устройств, взаимодействующих с остальной инфраструктурой магазина по беспроводным каналам связи. Речь идет о сканерах штрихкодов, электронных весах, планшетах мерчандайзеров, электронных ценниках и т.д. Заглушив сигнал, злоумышленник может нарушить функционирование перечисленного оборудования, сделав невозможными какие-либо операции в магазине, например, обновление цен на весах. 

При успешной атаке на электронные ценники мошенник сможет поменять информацию на них, а далее в ход уже вступит пункт 1 статьи 10 Федерального закона «О защите прав потребителей», который обязывает магазин продать товар по цене, указанной на ценнике в торговом зале. Хорошо, если злоумышленник подменит цену на пакет сока, а если на элитный алкоголь или бытовую технику?

Зачем атаковать информационное табло?

Нельзя исключать и атаки на информационные табло, которые обычно проводятся с хулиганскими целями или для того, чтобы нанести удар по репутации магазина. Получив доступ к таким устройствам, злоумышленник может подменить выводимую на них информацию на несоответствующую реальности или компрометирующую. Данный вид угрозы может быть реализован как самомотивированным злоумышленником, так и по заказу со стороны конкурентов. 

Не магазином единым

И наконец, злоумышленник может развить атаку от магазина до регионального и центрального офисов розничной сети через соединяющие их каналы связи. Как правило, они защищаются достаточно надежно, однако для них далеко не всегда используются жесткие правила фильтрации трафика, что создает дополнительную угрозу безопасности. 


Что делать? 

Теперь остается разобраться с тем, как защитить инфраструктуру магазина. Для этого потребуется принять комплекс технических и организационных мер, хотя большинство из них в масштабах средних и крупных розничных сетей невозможно реализовать и остается только максимально защитить головной офис и смириться с возможными потерями.

• Защита внешнего периметра. Внешний периметр – это одна из немногих вещей в магазинах, которые все-таки можно в той или иной мере контролировать централизованно. Необходимо уделять особое внимание постоянной инвентаризации сервисов, опубликованных в интернете, и контролировать наличие на периметре слабозащищенных сервисов. Эти задачи решаются сканированием периметра сети на наличие уязвимостей с использованием различных сканеров безопасности.
  
  
• Защита внутреннего периметра. Качественная защита внутреннего периметра в магазинах – это практически невыполнимая задача. Единственное что можно реализовать – максимально ограничить доступ в офисный сегмент из сегментов локальной сети, находящихся в торговом зале, и из магазина в локальные сети главного офиса и дата-центров. Все остальные рекомендации слабо применимы из-за сотен видов разного оборудования, находящегося магазине, большая часть которого технически не поддерживает нужные протоколы безопасности. Это не позволяет внедрить в магазинах, к примеру, такие вещи, как контроль доступа к ЛВС.
  

---

Читайте также: Сайт под облачной защитой: кто и как атакует сайты в ритейле и как с ними бороться

---

• Защита информационных активов. А вот тут остается только защищать активы, размещенные в центральном офисе и дата-центрах. Потому что организовать качественную защиту каждого из сотен магазинов, разбросанных по стране, невозможно. Тут можно только постараться внедрить использование централизованных настроек через «золотые» образы в магазинах, централизованно применить базовую гигиену, и так же, как и в предыдущем пункте, смириться с возможными убытками в конкретных торговых точках.

• Повышение осведомленности. В связи с большой текучкой и низкой компьютерной грамотностью большинства работников магазинов повысить уровень осведомленности почти невозможно. Эффективность обучения в таких условиях практически всегда будет равняться нулю. И единственное место, в котором можно проводить повышение осведомленности, – это центральный офис. Для повышения осведомленности работников центрального офиса существует огромное количество различных систем тренировки по распознаванию фишинговых писем и прочих видов социальной инженерии, например, Антифишинг или Phishman.

***

В заключение хочу сказать, что к обеспечению информационной безопасности в ритейле требуется подходить комплексно и учитывать множество факторов, специфичных для данного направления бизнеса. Например, важно помнить, что для крупных федеральных ритейл сетей единичные случаи взлома магазинов не несут больших рисков, гораздо страшнее – массовый отказ в обслуживании. По этой причине фокус защиты рекомендуется сместить с отдельного магазина на центральный офис, региональные представительства и сеть в целом, чтобы компрометация одного магазина не повлекла компрометации всей сети.

Георгий Старостин, 
эксперт Лаборатории практического анализа защищенности компании «Инфосистемы Джет»