ÙÙ Ù Ø´Ùد طرÙÙØ Ù Ø¬Ù Ùعة٠٠٠اÙأشبا٠ÙØاÙÙÙ٠اÙÙØا٠بÙاÙدÙ
جدول المحتويات:
العديد من الانتهاكات الكبيرة لبطاقات الدفع التي ضربت شركات البيع بالتجزئة والضيافة في السنوات الأخيرة كانت نتيجة للمهاجمين الذين يصيبون أنظمة نقاط البيع بالذاكرة البرامج الضارة ولكن هناك طرق أسهل لسرقة هذا النوع من البيانات ، بسبب نقص المصادقة والتشفير بين قارئات البطاقات وتطبيقات الدفع POS.
أنظمة POS هي أجهزة كمبيوتر متخصصة. وعادةً ما يقومون بتشغيل Windows ولديهم الأجهزة الطرفية مثل لوحات المفاتيح وشاشات اللمس وأجهزة المسح الضوئي للباركود وقارئات البطاقات المزودة بوسادات PIN. لديهم أيضا تطبيقات الدفع المتخصصة المثبتة للتعامل مع المعاملات.
واحدة من الأساليب الشائعة المستخدمة من قبل المهاجمين لسرقة بيانات بطاقة الدفع من أنظمة PoS هو لإصابتها بالبرامج الضارة ، عن طريق بيانات الدعم عن بعد المسروقة أو غيرها من التقنيات. تُعرف هذه البرامج الضارة بالذاكرة أو كاشطات RAM لأنها تقوم بمسح ذاكرة النظام لبيانات بطاقة الائتمان عند معالجتها بواسطة تطبيق الدفع على نظام POS.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]الهدف: مضخات الغاز
ولكن يوم الثلاثاء في مؤتمر BSides في لاس فيغاس ، أظهر باحثان أمنيان هما Nir Valtman و Patrick Watson ، من شركة POS و ATM المصنعة في الولايات المتحدة ، تقنية هجومية أكثر فاعلية وأكثر فعالية ضد معظمها. نقاط دفع للتفاعل ، بما في ذلك أجهزة قراءة البطاقات ذات لوحات PIN وحتى محطات دفع مضخات الغاز.
المشكلة الرئيسية التي تشترك فيها جميع هذه الأجهزة هي أنها لا تستخدم المصادقة والتشفير عند إرسال البيانات إلى برنامج دفع نقاط البيع . وهذا يعرضهم لهجمات الرجل في الوسط من خلال الأجهزة الخارجية التي تنقر على الشبكة أو الاتصال التسلسلي أو من خلال "برنامج الرقائق" الذي يعمل بنظام POS نفسه.
استخدم الباحثون جهاز Raspberry Pi مع حركة المرور التقاط البرامج التي تنقر على كبل البيانات بين لوحة PIN ، وجهاز كمبيوتر محمول مع جهاز محاكاة لتطبيق الدفع. كانت لوحة PIN تحتوي على غطاء علوي مخصص لإخفاء تصنيعها وطرازها. لم يرغب الباحثون في استبعاد بائع معين لأن العديد منهم قد تأثروا.
بينما استخدم العرض جهازًا خارجيًا يمكن تثبيته من قبل شخص من الداخل أو شخص يتظاهر بأنه فني ، يمكن للمهاجمين أيضًا ببساطة تعديل ملف DLL (مكتبة الارتباط الديناميكي) من تطبيق الدفع للقيام باعتراض البيانات داخل نظام التشغيل نفسه ، إذا كان الوصول إليها عن بعد. سيكون تعديل DLL الذي تم تحميله بواسطة برنامج الدفع الشرعي أكثر صعوبة في اكتشافه من البرامج الضارة لكسر الذاكرة.
الباحثان Patrick Watson و Nir Valtman يتسببان في محطة دفع لعرض مطالبة إعادة إدخال PIN مزيفة.
أظهر باحثو NCR أنه لا يمكن للمهاجمين فقط استخدام أسلوب الهجوم هذا لسرقة البيانات المشفرة على شريط مغناطيسي للبطاقة ، والتي يمكن استخدامها لاستنساخها ، ولكن يمكنهم أيضًا خداع حاملي البطاقات لفضح أرقام PIN وحتى الأمن رموز مطبوعة على ظهر البطاقات.
عادةً تقوم لوحات PIN بتشفير أرقام PIN عند نقلها إلى برنامج PoS. هذا هو مطلب الصناعة والمصنعين يمتثلون له.
"الرجاء إعادة إدخال رقم التعريف الشخصي" - يمكن للمهاجمين سرقتها
على الرغم من ذلك ، يمكن لمهاجمين في منتصف العمر أيضًا إدخال مطالبات مريبة على شاشة لوحة مفاتيح PIN عن طريق تحميل ما يسمى بالنماذج المخصصة. يمكن لمطالبات الشاشة هذه أن تقول ما يريده المهاجمون ، على سبيل المثال "إعادة إدخال رقم التعريف الشخصي" أو "إدخال رمز أمان البطاقة".
ربما يعرف المحترفون في مجال الأمان أنه ليس من المفترض أبدًا إعادة إدخال أرقام التعريف الشخصية أو رموز أمان البطاقات ويعرف الباحثون أيضًا باسم CVV2s ، وهي لا تتطلب سوى المعاملات عبر الإنترنت ، أو المعاملات التي لا تتضمن بطاقات ، لكن المستهلكين العاديين لا يعرفون عادة هذه الأشياء.
في الواقع ، أظهروا طريقة الهجوم هذه للمهنيين من المدفوعات في الماضي ، كان 90٪ منهم غير مرتابين من شاشة إعادة إدخال رقم التعريف الشخصي ، حسبما قالوا.
تحتوي بعض لوحات PIN على قوائم بيضاء تقيد الكلمات التي يمكن أن تظهر على الشاشات المخصصة ، ولكن العديد من هذه القوائم البيضاء تسمح بالعبارة "يرجى إعادة إدخال" وحتى إذا لم تكن موجودة ، فهناك طريقة لتجاوز الفلتر لأن النماذج المخصصة لنوع PIN تسمح الصور. يمكن للمهاجمين ببساطة إدخال صورة بهذه الكلمات ، باستخدام نفس لون النص والخط الذي يظهر عادة على الشاشة.
ومن الجدير بالذكر أيضًا أن هذا الهجوم يعمل ضد أجهزة قراءة البطاقات وأجهزة PIN التي تتوافق مع معيار EMV ، أي يدعمون البطاقات التي تدعم الشرائح. لا تمنع تقنية EMV المهاجمين من استخدام بيانات المسار المسروقة من بطاقة ممكّنة للشريحة لإنشاء نسخة واستخدامها في بلد لا يدعم EMV حتى الآن أو على الأجهزة الطرفية التي لا تعمل بنظام EMV ولا تسمح إلا بتمرير البطاقة.
أيضًا ، لا تؤثر EMV على معاملات التجارة الإلكترونية ، لذلك إذا اكتسب المهاجمون بيانات مسار البطاقة ورمز البطاقة CVV2 ، فإنهم يملكون جميع المعلومات اللازمة لإجراء معاملات احتيالية عبر الإنترنت.
بالنسبة إلى الشركات المصنعة ، فإن الباحثين نوصي بتطبيق التشفير من نقطة إلى نقطة (P2PE) ، الذي يقوم بتشفير الاتصال بالكامل من لوحة PIN على طول الطريق إلى معالج الدفع. إذا تعذر تنفيذ P2PE على الأجهزة الموجودة ، فيجب على البائعين النظر على الأقل في تأمين الاتصال بين منصات PIN وبرنامج POS مع TLS (أمن طبقة النقل) وتوقيع جميع الطلبات المرسلة رقمياً إلى لوحة PIN بواسطة تطبيق الدفع.
وفي هذه الأثناء ، لا ينبغي على المستهلكين أبدًا إعادة إدخال أرقام التعريف الشخصية على لوحة PIN إذا طُلب منهم ذلك. يجب عليهم أيضًا قراءة الرسائل المعروضة على الشاشة وأن يكونوا متشككين من أولئك الذين يطلبون معلومات إضافية. يجب استخدام الدفعات عبر الهاتف المحمول باستخدام خدمات المحفظة الرقمية مثل Apple Pay حيثما أمكن ، لأنهم في هذه المرحلة يكونون أكثر أمانًا من استخدام محطات الدفع التقليدية.
محلات الألبان الملكة اخترق من قبل البرامج الضارة "النسخ الاحتياطي" ، سرقت بيانات بطاقة الدفع
تم الوصول إلى الأنظمة باستخدام بيانات اعتماد حساب من وقالت شركة ديري كوين للمزودات من طرف ثالث إن
سرقة بيانات بطاقة الدفع و PINs من أنظمة POS أمر سهل للغاية
الاتصالات بين قارئي البطاقات وأنظمة نقاط البيع غير آمن ويمكن للمهاجمين النقر عليها لسرقة بيانات بطاقة الدفع وحتى أرقام PIN.
