今年8月，美國國土安全局發布公告指出Backoff惡意軟件感染PoS機活動，該政府機構聲稱這個惡意軟件可能已經感染超過1000家美國企業。在今年年初，FBI發出類似公告指出其他RAM-scraping惡意軟件變體，但盡管有這些警告，目前新研究表明攻擊者仍然在繼續利用Backoff，帶來破壞性影響。

[[122148]]

在高級威脅檢測供應商Damballa的第三季度感染情況報告中，該供應商對部分企業客戶的Backoff惡意軟件感染進行了監測，這些客戶允許該供應商掃描其POS流量。雖然安全專家描述Backoff為RAM-scraping POS惡意軟件的相當標準的變體，但Backoff已經引起廣泛關注，因為過去一年的一些零售商數據泄露事故都有它的參與，包括Neiman Marcus、Sally Beauty Supply、P.F. Chang以及最近的Dairy Queen事件。

根據Damballa的研究，從潛在Backoff受害者的數量來看，這些零售商還只是冰山一角。從8月初(US-CERT在7月31日發布第一個Backoff公告)到9月初，該供應商發現Backoff感染了增加了57%。盡管美國國土安全局發出警告，其中還為零售商提供了如何避免Backoff的指導，Damballa發現，9月初到9月底，感染了又增加27%。

Damballa首席技術官Brian Foster表示，太多零售商仍然依賴傳統防病毒技術來保護POS系統的安全，盡管美國國土安全局在公告中提出了很多額外的預防措施，包括保護正被攻擊者利用來傳播Backoff的遠程桌面應用，以及配置防火墻為僅接受已知IP地址和端口的通信。

在這種情況下，Backoff的作者將可以繼續稍微改動該惡意軟件的代碼來繞過殺毒產品。為了證明這個過程對于攻擊者是多么簡單，Damballa的研究人員對55款AV產品測試了Sinowal惡意軟件，發現45款產品能夠檢測它。然后，研究人員更改Sinowal惡意軟件為Windows Help程序文件，這個過程只用了不到兩分鐘，并發現55款AV產品中只有一個產品可以檢測到新的文件。

Foster指出，面對即將到來的美國假日購物期，零售行業對Backoff的響應情況尤其讓人擔憂，這段時期是這些公司最有利可圖的時期，但如果他們像在2013年Target那樣受到攻擊，情況就不是這樣了。

“企業沒有很好地將其POS流量轉移到中央位置，從而讓他們可以監控惡意活動，”Foster表示，“我敢肯定，在這個購物季結束時，殺毒產品可以很好地檢測Backoff，但到那時，攻擊者可能已經轉移到其他變體。”

Foster呼吁零售商重新思考他們是如何保護POS環境，并提高通常不高的安全預算，在今年早些時候，咨詢公司IDC Retail Insights發現美國零售業每家商店的安全支出為整體技術預算的2%。

從消費者的角度來看，Foster表示，移動錢包(例如新推出的Apple Pay平臺、谷歌Wallet等)可能提供比使用支付卡更安全的購物體驗。消費者也應密切關注銀行和信用卡公司對任何異常活動的公告。

最重要的是，Foster鼓勵消費者保護好自己的錢包，并對沒有部署必要安全措施來抵御Backoff和其他肯定會出現的POS惡意軟件變體的零售商進行懲罰。

“你可以看看Target及其事故后聲明，他們聲稱這是對其業務的重大打擊，但隨后我們看到所有其他零售商也受到打擊，”Foster表示，“所以，我希望看到消費者讓零售商對保護其數據負責任。”