En tant que voyageur, vous voulez croire que la chambre que vous réservez dans un hôtel est une forteresse. En fait, vous pourrez vous trouver dans une position vulnérable. En effet, une montée des violations de données a récemment été constatée dans les hôtels.
Une fausse sécurité dans les hôtels ?
Dans un hôtel, les portes sont souvent munies de plusieurs serrures ; la chambre comporte un minuscule coffre-fort. Tout cela sans parler des caméras de surveillance, placées dans les couloirs et les halls d’entrée. Bien entendu, en tant que structures d’accueil, les hôtels savent qu’ils ont des responsabilités. Mais lorsqu’on se souvient que les hôtels hébergent également vos données, on devient perplexe. Cela concerne particulièrement vos données de cartes de crédit. D’après les relevés dans les hôtels, ces derniers temps, ce secteur d’activité ne s’est pas montré à la hauteur en termes de sécurité. En effet, le logiciel d’attaque de ces violations hôtelières est le même malware de points de vente (PDV) utilisé à l’encontre des grandes surfaces. BlackPos et d’autres variantes de RAM scrapers ont pris des vacances dans les hôtels. Ils y ont capté plusieurs numéros de carte de crédit. Ce qui rend cette affaire si surprenante, c’est que peu d’informations fusent des importantes violations de données.
Le scénario d’attaque d’un malware de PDV
Il n’y a rien de nouveau dans la chaîne d’attaque de ces incidents. Seulement, il existe un nouveau malware de PDV plus furtif que les techniques de la vieille école. Celui-ci pourrait avoir joué un rôle dans des cambriolages de données hôtelières. Le scénario est la suivante.
Les hackers entrent par injection SQL, phishing ou une autre vulnérabilité bien connue (mots de passe par défaut, etc.). Ils utiliseraient un RAT ou un autre outil pour la première étape de l’attaque. Ensuite, ils se déplacent latéralement au moyen de techniques classiques, telles que le contournement des conventions de nomination des hôtes, balayage des ports, etc. Le but en est de trouver un serveur ou une machine de PVD. Après avoir détecté les périphériques de PDV, les pirates introduisent la charge utile avant de quitter les lieux. A cette phase, le logiciel « PoSware » prend le relais.
Il scrute ensuite la mémoire du système d’exploitation et recueille progressivement les données de cartes de crédit. Ainsi, le logiciel vide périodiquement ces données vers le système de fichiers. Enfin, le PoSware exfiltre le fichier de données vers les serveurs C2 en l’incorporant à des requêtes HTTP de type GET ou POST.
Quelle mesure adopter ?
Les experts en sécurité assimilent parfaitement la chaîne de destruction et cherchent à voir comment arrêter l’attaque à différents points de son cycle. On peut proposer quelques mesures dans lesquelles un modeste investissement apportera d’énormes avantages en termes de sécurité : par exemple, la formation des employés fera une grande différence. Si vous expliquez à vos salariés ce à quoi ressemble un phish mail, vous pourrez neutraliser les attaques dès le début. En outre, assurez-vous de disposer des correctifs de sécurité les plus récents.
Enfin, ne facilitez pas la tâche aux pirates lorsqu’il s’agit d’obtenir des informations d’identification. Mettez en place des stratégies de mots de passe solides. Assurez-vous que les comptes d’administrateurs de niveau domaine ne sont pas utilisés pour mettre en réseau des machines des utilisateurs. Cela permet aux attaquants de pirater vos précieuses données au moyen du PtH.