POS Malware: রিটেইল স্টোরের পয়েন্ট-অফ-সেল সিস্টেমে ম্যালওয়্যার অ্যাটাক এবং ডেটা চুরি!

পয়েন্ট-অফ-সেল সিস্টেম প্রকৃতপক্ষে একটি কম্পিউটার—সাধারণত Windows বা বিশেষায়িত Embedded Linux চালিত—যা কার্ড রিডার, রসিদ প্রিন্টার, ক্যাশ ড্রয়ার এবং বারকোড স্ক্যানারের সাথে সংযুক্ত। POS-এ চলে বিশেষায়িত সফটওয়্যার যা পণ্য তালিকা পরিচালনা, মূল্য গণনা, এবং পেমেন্ট প্রসেসিং সম্পাদন করে। বড় চেইন স্টোরে শত শত POS টার্মিনাল একটি কেন্দ্রীয় Back Office সার্ভারের সাথে নেটওয়ার্কে যুক্ত থাকে।

POS Malware-এর প্রধান লক্ষ্য হলো Track Data সংগ্রহ। চৌম্বকীয় স্ট্রিপ-ভিত্তিক কার্ডে দুটি Track রয়েছে—Track 1 (কার্ডধারীর নাম, কার্ড নম্বর, মেয়াদ, পরিষেবা কোড) এবং Track 2 (কার্ড নম্বর, মেয়াদ, পরিষেবা কোড, CVV1)। যখন কার্ড সোয়াইপ করা হয়, এই ডেটা ক্ষণিকের জন্য POS-এর Memory-তে Plain Text-এ থাকে—কার্ড রিডার থেকে এনক্রিপশন প্রয়োগ হওয়ার আগে।

এই সংক্ষিপ্ত সময়ের ফাঁক—যখন কার্ড ডেটা RAM-এ অসুরক্ষিত—হলো RAM Scraping নামক কৌশলের ভিত্তি। POS Malware Memory স্ক্যান করে Regular Expression-এর মাধ্যমে কার্ড নম্বর প্যাটার্ন (১৩-১৯ ডিজিট সংখ্যা যা Luhn Algorithm অনুসরণ করে) খুঁজে বের করে এবং সংগ্রহ করে। সমান্তরালভাবে Track Data-এর Signature প্যাটার্ন (যেমন ;[0-9]{13,19}=[0-9]{12,30}? Track 2-এর জন্য) সনাক্ত করা হয়।

BlackPOS (Reedum, Kaptoxa নামেও পরিচিত) ২০১৩ সালে Target আক্রমণে ব্যবহৃত হয়েছিল। এটি Windows-ভিত্তিক POS-এ চলতো এবং RAM Scraping করে কার্ড ডেটা সংগ্রহ করতো। সংগৃহীত ডেটা স্থানীয়ভাবে একটি ফাইলে সংরক্ষণ হতো এবং দিনে কয়েকবার একটি অভ্যন্তরীণ Staging Server-এ FTP-এর মাধ্যমে পাঠানো হতো। সেখান থেকে আক্রমণকারীরা শেষে রাশিয়ার একটি বহির্ভূত সার্ভারে স্থানান্তর করতো।

FrameworkPOS (২০১৪) Home Depot আক্রমণে ব্যবহৃত হয়েছিল। এটি BlackPOS-এর একটি Variant এবং Memory Scraping-এর সাথে Antivirus Evasion কৌশল যোগ করেছিল। ৫৬ মিলিয়ন কার্ড এবং ৫৩ মিলিয়ন ইমেইল ঠিকানা চুরি হয়েছিল।

PoSeidon (২০১৫) Cisco Talos আবিষ্কার করেছিল। এটি Keylogging এবং Memory Scraping উভয়ই করতো এবং C2 (Command and Control) যোগাযোগ HTTP POST-এর মাধ্যমে এনক্রিপ্টেড আকারে পাঠাতো। PoSeidon Domain Generation Algorithm (DGA) ব্যবহার করতো C2 ডোমেইনের জন্য, যা Takedown কঠিন করে তুলতো।

Cherry Picker (২০১৫) Windows Persistence-এর জন্য AutoIT script এবং DLL Hijacking ব্যবহার করতো। ModPOS (২০১৫) ছিল একটি Modular Framework—এতে Keylogger, Uploader, এবং POS Scraper আলাদা মডিউল ছিল যা প্রয়োজন অনুযায়ী Deploy করা যেতো। FastPOS (২০১৬) "Smash and Grab" পদ্ধতি ব্যবহার করতো—সংগ্রহের সাথে সাথে রিয়েল-টাইমে ডেটা পাঠাতো, স্থানীয় সংরক্ষণ এড়িয়ে।

আধুনিক যুগে DMSniff (২০১৯), Treasure Hunter (২০১৬), এবং Prilex (২০১৪ থেকে চলমান) উল্লেখযোগ্য। Prilex বিশেষভাবে আকর্ষণীয়—এটি Brazil-এ ATM আক্রমণ থেকে শুরু হয়ে এখন EMV Replay Attack-এ পরিণত হয়েছে। Prilex EMV কার্ডের Cryptogram সংগ্রহ করে এবং পরবর্তীতে জাল লেনদেনে ব্যবহার করে—Chip Card-এর বিরুদ্ধেও কার্যকর।

POS Malware আক্রমণ সাধারণত কয়েকটি সুসংগঠিত ধাপে অগ্রসর হয়। প্রথম ধাপ Initial Access—কর্পোরেট নেটওয়ার্কে প্রবেশ। Target ব্রিচের ক্ষেত্রে এটি ঘটেছিল একটি তৃতীয়-পক্ষ HVAC বিক্রেতার মাধ্যমে। আক্রমণকারীরা প্রথমে HVAC কোম্পানি Fazio Mechanical-এর কর্মীদের Phishing করে, তাদের Citadel Banking Trojan দ্বারা সংক্রমিত করে, এবং Vendor Portal-এর Credential সংগ্রহ করে। তারপর Target-এর Vendor Portal থেকে শুরু করে অভ্যন্তরীণ নেটওয়ার্কে প্রবেশ করে।

দ্বিতীয় ধাপ Lateral Movement। Vendor Portal-এর সীমিত অ্যাক্সেস থেকে POS নেটওয়ার্কে পৌঁছানোর জন্য আক্রমণকারীরা Active Directory-তে Privilege Escalation, Domain Controller Compromise, এবং অভ্যন্তরীণ Pivoting ব্যবহার করেন। এই পর্যায়ে Mimikatz, PsExec, এবং Custom Tool ব্যাপকভাবে ব্যবহৃত হয়।

তৃতীয় ধাপ POS Deployment। আক্রমণকারী Group Policy বা Software Distribution System (SCCM, IBM BigFix) ব্যবহার করে শত শত POS টার্মিনালে ম্যালওয়্যার বিতরণ করেন। Target-এর ক্ষেত্রে BlackPOS ১,৭৯৭টি স্টোরের সব POS-এ দ্রুত স্থাপন করা হয়েছিল।

চতুর্থ ধাপ Data Collection। প্রতিটি POS-এ ম্যালওয়্যার চলতে থাকে, RAM Scraping করে কার্ড ডেটা সংগ্রহ করে। ডেটা সাধারণত এনক্রিপ্ট করে একটি Hidden File-এ সংরক্ষণ করা হয়—যেমন উৎসব সময়সূচির ছদ্মবেশে আপাত-বৈধ ফাইল নামে।

পঞ্চম ধাপ Exfiltration। সংগৃহীত ডেটা পর্যায়ক্রমে একটি অভ্যন্তরীণ Staging Server-এ পাঠানো হয়—যা সাধারণত আপাত-বৈধ একটি File Server। সেখান থেকে DNS Tunneling, HTTP/HTTPS, FTP, বা SMB-এর মাধ্যমে বহির্ভূত সার্ভারে স্থানান্তর হয়। আধুনিক আক্রমণকারীরা Cloudflare, AWS-এর মতো বৈধ পরিষেবা ব্যবহার করেন Detection এড়াতে।

ষষ্ঠ এবং শেষ ধাপ Monetization। চুরি করা কার্ড ডেটা Dark Web-এ Carding Forum-এ বিক্রি হয়—Joker's Stash, BriansClub, UniCC-এর মতো (এদের অনেকগুলো আইন প্রয়োগকারী সংস্থার অভিযানে বন্ধ হয়েছে)। প্রতিটি কার্ডের মূল্য ৫ থেকে ৫০ ডলার পর্যন্ত হতে পারে—সীমা, ব্যাংক, এবং কার্ডের ধরনের উপর নির্ভর করে। ক্রেতারা Cloned Card তৈরি করে ATM থেকে অর্থ উত্তোলন বা পণ্য ক্রয়ে ব্যবহার করে।

EMV (Europay, MasterCard, Visa) Chip Card প্রযুক্তি ২০১৫ সালে US-এ "Liability Shift"-এর পর ব্যাপকভাবে প্রবর্তিত হয়। EMV প্রতিটি লেনদেনের জন্য একটি অনন্য Cryptogram তৈরি করে, যা Replay Attack-এ পুনর্ব্যবহারযোগ্য নয়। তাত্ত্বিকভাবে এটি Magnetic Stripe Cloning-কে অপ্রচলিত করেছে।

তবে EMV বাস্তবায়নে ফাঁক থেকে গেছে। অনেক POS টার্মিনাল এখনো Magnetic Stripe Fallback সমর্থন করে—যদি Chip Read ব্যর্থ হয়, পুরনো Magnetic Track Data ব্যবহার করা যায়। আক্রমণকারীরা ইচ্ছাকৃতভাবে Chip ক্ষতিগ্রস্ত করে এই Fallback সক্রিয় করেন। কিছু POS Malware এই Fallback ট্রিগার করতে পারে।

EMV-bypass Cloning হলো একটি অ্যাডভান্সড কৌশল। আক্রমণকারীরা EMV কার্ড থেকে চুরি করা ডেটা ব্যবহার করে Magnetic Stripe Card তৈরি করেন কিন্তু Service Code পরিবর্তন করেন যাতে POS এটিকে Non-EMV কার্ড হিসেবে গ্রহণ করে। Cyber-R&D Lab-এর গবেষণায় প্রমাণিত যে অনেক ক্ষেত্রে এই কৌশল সফল।

Prilex Malware EMV-নির্দিষ্ট আক্রমণে অগ্রণী। ২০২২-২৩ সালের আধুনিক Prilex সংস্করণ Contactless Payment-কে Disable করে, EMV কার্ডের Track 2 Equivalent Data সংগ্রহ করে, এবং MITM আক্রমণের মাধ্যমে Cryptogram পরিবর্তন করে যাতে স্বয়ংক্রিয় অনুমোদন পাওয়া যায়।

E-commerce-এর উত্থানে আক্রমণকারীদের মনোযোগ POS থেকে Online Payment-এ স্থানান্তরিত হচ্ছে। Magecart Group ই-কমার্স সাইটের চেকআউট পেজে JavaScript ইনজেক্ট করে কার্ড ডেটা চুরি করে—এটি Web Skimming বা Digital Skimming নামে পরিচিত। British Airways, Ticketmaster, Newegg-এর মতো বড় কোম্পানি এই আক্রমণের শিকার হয়েছে।

Target ব্রিচ (২০১৩) POS Malware ইতিহাসের সবচেয়ে গুরুত্বপূর্ণ ঘটনা। থ্যাঙ্কসগিভিং থেকে ক্রিসমাস পর্যন্ত মার্কিন রিটেইলের ব্যস্ততম সময়ে এটি ঘটেছিল। মোট ৪০ মিলিয়ন কার্ড এবং ৭০ মিলিয়ন ব্যক্তিগত তথ্য চুরি হয়েছিল।

আক্রমণের সম্পূর্ণ পথ বিশ্লেষণ করলে অসংখ্য নিরাপত্তা ব্যর্থতা প্রকাশিত হয়। প্রথমত, Fazio Mechanical-এ অপর্যাপ্ত নিরাপত্তা—তাদের কাছে শুধু একটি Free Antivirus (Malwarebytes Anti-Malware Free version) ছিল যা প্রকৃত Threat Detection-এর জন্য অপর্যাপ্ত। দ্বিতীয়ত, Target-এর Vendor Portal-এ Two-factor Authentication ছিল না। তৃতীয়ত, Network Segmentation অপর্যাপ্ত—Vendor Portal থেকে POS নেটওয়ার্কে Lateral Movement সম্ভব ছিল। চতুর্থত, FireEye-এর Advanced Threat Detection সিস্টেম আক্রমণ সনাক্ত করেছিল কিন্তু Alert উপেক্ষা করা হয়েছিল।

Target পরবর্তী পরিণতি ছিল ভয়াবহ। CEO Gregg Steinhafel পদত্যাগ করেছিলেন। সরাসরি ক্ষতি ২৯২ মিলিয়ন ডলার, তবে Bloomberg-এর বিশ্লেষণে মোট প্রভাব ২ বিলিয়ন ডলারের বেশি অনুমান। অসংখ্য লক্ষ্যবস্তু আইনি মামলা, FTC তদন্ত, এবং দীর্ঘমেয়াদী ব্র্যান্ড ক্ষতি। তবে ইতিবাচকভাবে, এই ঘটনা সমগ্র রিটেইল শিল্পে নিরাপত্তা পরিপক্কতা উল্লেখযোগ্যভাবে এগিয়ে নিয়েছে।

POS নিরাপত্তায় সবচেয়ে গুরুত্বপূর্ণ ভিত্তি PCI DSS (Payment Card Industry Data Security Standard) মান পালন। তবে শুধু Compliance যথেষ্ট নয়—অনেক সংস্থা যারা PCI Compliant ছিল তারাও ব্রিচ-এর শিকার হয়েছে। প্রকৃত নিরাপত্তা অর্জনে আরো গভীর পদক্ষেপ প্রয়োজন।

End-to-End Encryption (E2EE) বা Point-to-Point Encryption (P2PE) POS নিরাপত্তার সবচেয়ে কার্যকর প্রতিরক্ষা। Card Reader স্তরে Hardware Security Module ব্যবহার করে কার্ড ডেটা এনক্রিপ্ট করা হয়, এবং POS-এর RAM-এ কখনো Plain Text-এ পৌঁছায় না। শুধুমাত্র Payment Processor সেই ডেটা ডিক্রিপ্ট করতে পারে। এটি RAM Scraping-কে অর্থহীন করে দেয়। Verifone VeriShield, Ingenico Sentinel-এর মতো সমাধান এই কার্যকারিতা প্রদান করে।

Tokenization আরেকটি স্তর। প্রকৃত PAN (Primary Account Number)-এর পরিবর্তে একটি Token সংরক্ষণ এবং স্থানান্তর হয় যা শুধু Payment Processor PAN-এ ম্যাপ করতে পারে। Apple Pay, Google Pay, এবং বেশিরভাগ আধুনিক Mobile Wallet Tokenization ব্যবহার করে। Token চুরি হলেও এটি Replay-এ ব্যবহারযোগ্য নয়।

Network Segmentation কঠোরভাবে প্রয়োগ করুন। POS Network সম্পূর্ণ পৃথক VLAN-এ রাখুন। শুধুমাত্র অনুমোদিত Payment Processor এবং Patch Management সিস্টেমের সাথে যোগাযোগের অনুমতি দিন। POS থেকে ইন্টারনেট সরাসরি অ্যাক্সেস নিষিদ্ধ। Backoffice থেকেও POS-এ অ্যাক্সেস কঠোরভাবে নিয়ন্ত্রিত।

Application Whitelisting POS-এ অত্যন্ত কার্যকর। Microsoft AppLocker, Windows Defender Application Control, বা বিশেষায়িত সমাধান (Carbon Black App Control) ব্যবহার করে শুধুমাত্র অনুমোদিত সফটওয়্যার চালাতে দিন। POS পরিবেশ সাধারণত স্ট্যাটিক—Whitelisting সহজে বাস্তবায়নযোগ্য।

Endpoint Detection and Response (EDR) আধুনিক POS-এ স্থাপন করুন। CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint—এসব সমাধান RAM Scraping, Suspicious Process Behavior, এবং C2 Communication সনাক্ত করতে সক্ষম।

Vendor Risk Management গুরুত্বপূর্ণ। প্রতিটি তৃতীয়-পক্ষ বিক্রেতাকে নিরাপত্তা মূল্যায়নের মধ্য দিয়ে যেতে হবে। Vendor-এর অ্যাক্সেস Least Privilege নীতিতে সীমাবদ্ধ। MFA বাধ্যতামূলক। Session Recording এবং Just-in-time Access।

EMV এবং Contactless Payment প্রচার করুন। Magnetic Stripe Fallback নিষ্ক্রিয় করুন যেখানে সম্ভব। PIN বাধ্যতামূলক করুন বড় লেনদেনে। Contactless Limit সঠিকভাবে কনফিগার করুন।

Threat Intelligence-এ বিনিয়োগ করুন। Visa Threat Intelligence, RH-ISAC (Retail and Hospitality ISAC), এবং অন্যান্য সংস্থা-নির্দিষ্ট হুমকি তথ্য সংগ্রহ করুন। Dark Web Monitoring স্থাপন করুন যেন নিজের সংস্থার কার্ড ডেটা বিক্রির জন্য আসলে দ্রুত অবহিত হন।

Incident Response Plan POS-নির্দিষ্ট দৃশ্যকল্পের জন্য প্রস্তুত রাখুন। ব্রিচ সনাক্ত হলে Payment Brand, Acquiring Bank, Law Enforcement (FBI, Secret Service), এবং PCI Forensic Investigator (PFI) সাথে দ্রুত যোগাযোগ। PR এবং Customer Communication strategy প্রস্তুত।