قدم إيهاب معوض، نائب رئيس شركة تريند مايكرو لمنطقة الشرق الأوسط وإفريقيا ورابطة الدول المستقلة، عدداً من النصائح للحد من هجمات كاشطات ذاكرة الوصول العشوائي لأنظمة نقاط البيع. وتعرف كاشطات ذاكرة الوصول العشوائي لأنظمة نقاط البيع بأنها برمجيات خبيثة مصممة لسرقة البيانات الشخصية لبطاقات الائتمان (كرقم واسم حامل البطاقة) من ذاكرة الوصول العشوائي RAM للنظام المستهدف. وفي حالة إصابة النظام، يمكن للبرامج الخبيثة سرقة البيانات المخزنة على الشريط المغناطيسي للبطاقة في كل مرة يتم تمريرها على القارئة، ومن ثم تستخدم في صنع بطاقة ائتمان مزورة، أو قد تستخدم في إجراء معاملات احتيالية مثل الشراء عبر الإنترنت. آلية ولفهم طريقة عمل هذه البرمجيات، نحتاج إلى فهم الخطوات الثلاث في سلسلة هجومها على أنظمة نقاط البيع: نقطة الدخول، إذ يحدد المهاجمون نقطة ممكنة للتسلل والدخول عبرها إلى النظام. ويستخدم في ذلك بعض الإجراءات كالتصيد وهجمات الهندسة الاجتماعية، وكشف نقاط الضعف في النظام، واستغلال الثغرات الناتجة عن عدم الالتزام بمعايير الأمان القياسية أو التعاون مع شخص مخوّل بالوصول إلى النظام. أما الحركة الجانبية، فهي أن تنتشر البرمجية الخبيثة في شبكة الشركة بعد زرعها في النظام، وتبحث عن المعلومات أو الثغرات التي يمكن استغلالها لكسب المزيد من التحكّم به. عندما يتحقق ذلك، تبدأ كاشطات ذاكرة الوصول العشوائي إلى الأنظمة بالعمل واستهداف المخدمات. والخطوة الثالثة هي اختلاس البيانات، إذ تقوم البرمجيات الخبيثة باختلاس البيانات من الشريط المغناطيسي لبطاقة الائتمان وإرسالها إلى المهاجمين، ويتم ذلك من خلال عدة طرق كبروتوكول نقل الملفات أو مخدمات CC، والثغرات البرمجية، ومواقع الإنترنت الخطرة أو الوهمية، والبريد الإلكتروني، وشبكة Tor أو عن طريق الإزالة اليدوية. خطر حقيقي تحقق سرقة المعلومات من بطاقات الائتمان مكاسب نقدية سريعة، ولذلك يفضل المهاجمون استخدام كاشطات أنظمة البيع. وتندرج الخروقات التي تستهدف بطاقات الائتمان والإيداعات المنزلية، إضافة إلى الخرق الذي استهدف شركة غودويل (Goodwill) في عام 2014، جميعها ضمن خروقات كاشطات ذاكرة الوصول العشوائي لأنظمة نقاط البيع. تم اكتشاف سبعة خروقاتٍ من هذا النوع في الفترة بين 2009-2013، وارتفع هذا العدد إلى تسعة خروقاتٍ جديدة في عام 2014 فقط. حماية الأنظمة على المؤسسات التي تسعى لحماية أنظمتها وبياناتها من هذه الخروقات، التأكد من تطبيق المنظمة والبائعين لطرف ثالث المتعاونين معها لأحدث معايير الأمان مجلس معايير أمان بيانات بطاقات الدفع هو منتدى عالمي مفتوح مسؤول عن التطوير، والإدارة، والتعليم، والتوعية لبطاقات الدفع الإلكترونية. وتهدف هذه المعايير إلى حماية الشركات وحاملي البطاقات من تهديدات كاشطات ذاكرة الوصول العشوائي لأنظمة نقاط البيع. وقد قدم المجلس في 1 يناير، 2015، متطلباتٍ جديدة للحد من انتهاكات أنظمة نقاط البيع ذات الصلة. ولا تكفي برامج الحماية من الفيروسات وحدها في مكافحة الهجمات المتعلقة بأنظمة نقاط البيع، تحتاج الشركات الكبرى والصغيرة على حدٍ سواء ابتكار نماذج دفاعية جديدة متعددة الطبقات تغطي القواعد الأربع للهجمات التي تتعرض لها أنظمة نقاط البيع الخاصة بها: نقطة الدخول أو العدوى، والحركة الجانبية، وجمع المعلومات، ومخدمات CC واختلاس البيانات. استراتيجية تحتاج المؤسسات التي تسعى لتنفيذ استراتيجيات دفاعية إلى أخذ النقاط التالية بعين الاعتبار عند اتخاذ أي قرار: حجم الشركة والكلفة، وأنظمة التشغيل ومنصات الحوسبة المستخدمة، والأجهزة المحمولة المتصلة بشبكة الشركة.