Prilex возвращается: старый вредонос набирает новые обороты

В платежных терминалах с поддержкой бесконтактной оплаты используются NFC -чипы. Такие же чипы встроены в банковские карты и мобильные устройства, поддерживающие эту технологию. Они позволяют проводить платежи, не вставляя карту в терминал. Бесконтактные платежи очень удобны и их популярность резко возросла после пандемии COVID-19.

Использование чипов NFC также затруднило злоумышленникам кражу информации о банковских картах специальным вредоносным ПО. Одной из популярных вредоносных программ для атаки на платёжные терминалы является Prilex. Вредонос был замечен впервые в далёком 2014 году и сначала атаковал только банкоматы, а в 2016 году переместился на PoS-устройства (Point-of-Sale), то есть в платёжные терминалы. В сентябре мы упоминали , что исследователи снова начали замечать атаки Prilex после длительного перерыва.

31 января Лаборатория Касперского сообщила о появлении как минимум трёх новых вариантов Prilex с номерами версий 06.03.8070, 06.03.8072 и 06.03.8080. Они были впервые выпущены в ноябре 2022 года.

Новые версии вредоносного ПО самостоятельно определяют, используется ли при оплате NFC, и автоматически отклоняют все бесконтактные платежи. На терминале появляется стандартное предупреждение, что оплату бесконтактным способом осуществить не выходит и нужно вставить карту. Это вынуждает жертву завершить транзакцию традиционным способом, что сильно упрощает сбор информации о карте через платежный терминал.

Файл с правилами фильтрации, блокирующими бесконтактные транзакции

Каждая транзакция по NFC генерирует уникальный идентификатор, действительный только для одной транзакции. Поэтому, даже если такие данные будут украдены, это ничего не даст мошенникам. Однако Prilex использует метод манипулирования криптограммами и атаки с использованием «призрачных транзакций», что позволяет злоумышленникам совершать любые транзакции со скомпрометированной карты.

Также в последних версиях вредоносного софта появилась новая функция — возможность фильтровать нежелательные карты. Например, должно выполниться условие: карта: кредитная, а не дебетовая; лимит транзакций: повышенный и т.д. То есть данные карт, не подходящих под условия, не будут передаваться злоумышленникам. Так они не «упрутся» в лимиты и смогут сразу «сорвать куш».

Чтобы обезопасить себя от этой и прочих манипуляций мошенников, стоит соблюдать стандартные меры безопасности:

• Отказаться от оплаты на терминалах с видимыми признаками взлома или с нерабочей бесконтактной оплатой. В таком месте лучше оплатить покупку наличными.
• Всегда сверять сумму итоговых транзакций с теми, что указаны на дисплее терминала. А в случае несоответствия сумм или появления лишних транзакций — незамедлительно сообщать об этом в поддержку банка.
• Отказаться от использования общедоступного Wi-Fi при входе в банковские приложения. Либо мобильный интернет, либо VPN , если другого варианта нет.
• Не вводить PIN-код на виду у посторонних. Не сообщать никому CVV-код и коды из СМС.

И помните, не стоит паниковать даже если деньги были украдены. Закон на вашей стороне: любую транзакцию по карте можно оспорить, если будет достаточно доказательств, что вы стали жертвой мошенников.