روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛صنعت بانکداری تلاش، زمان و هزینه بسیاری را صرف حفاظت و امنیت کارت های بانکی می کند. سالهای قبل، حفاظت آنها شامل اثر انگشت برجسته و امضا بود اما حالا چیپ های هوشمند یا همان قسمت الکترونیکی کارت های اعتباری و رمز عبورها محافظ سرمایه شما هستند و این دقیقا چیزی است که مجرمان آن را می خواهند و برای رسیدن به آن دست به هر کاری می زنند.
چیپ های جدید و پین کارت ها(1 EMV) امنیت بیشتری را نسبت به کارت های ساده به همراه دارد و اگر این گونه امنیت برای این کارت ها وجود نداشته باشد، مجرمان براحتی می توانند حفاظت نداشته ی آن ها را از بین ببرند. خوشبختانه، مجرمان تنها افرادی نیستند که این آزمایش ها را روی کارت ها انجام می دهند و سعی برای شکستن راه های امنیتی کارت ها دارند، کارشناسان امنیتی نیز این بررسی کامل را انجام می دهند. محققان شرکت ها برای آسیب پذیری در تجهیزات و معماری سیستم های پرداخت کاوش و بررسی زیادی کرده و سعی بر این دارند که نقاط ضعف در این زمینه را بررسی کرده و به توسعه دهندگان در مورد امنیت کارت ها هشدار لازم را قبل از اینکه مجرمان راهی برای نفوذ به کارت های آنها بیابد، می دهند.
یک محقق امنیتی در Black Hat گزارشی را ارائه کرده است که هم جای امیدواری دارد هم کمی نگرانی: بله مجرمان می توانند پول را از کارت های چیپ بدزدند، اما مردم هم آنقدرها بی دست و پا نیستند و می توانند به نحوه ای از خودشان محافظت کنند. دو نفر از کارمندان NCR Corporation، (شرکتی که دستگاه های پرداخت و خود پرداز را توسعه می دهد، در حمله ی دستگاه های پرداخت که معمولا در فروشگاه ها و ایستگاه های گاز استفاده می شود حضور یافتند. آنها با استفاده از کامپیوتر کوچک و ارزان Raspberry Pi توانستند به ارتباط بین کامپیوتر اصلی فروشگاه و ماژول پرداخت وارد شوند.
به طور کلی، ارتباط بین این دو سیستم باید به طور درستی رمزگذاری شده باشد اما متاسفانه در بسیاری از موارد دستگاه های پرداخت از رمزگذاری ها ضعیفی برخوردار هستند. در نتیجه، مجرمان به راحتی می توانند در این بین از حملات مرد میانی استفاده کنند: آنها ارتباط داده های بین ماژول پرداخت و کامپیوتر اصلی را قطع کرده و آن را رمزگشایی می کنند.
این حمله در واقع به منظور استخراج داده ها از طریق امنیت سست یک چیپ کارت نیست. داده های خاص، مثل پین کد که چیپ ها را رمزگذاری می کند و هرگز اجازه باز کردن آن را نمی دهند از اهمیت بالاتری برخوردارند. با این حال، مهاجم می تواند داده های دیگری را نیز از چیپ ها بدست آورند، این داده ها معمولا در قسمت نوار مغناطیسی کارت ها نوشته شده است.
با استفاده از این روش مجرمان می توانند نام و شماره کارت مالک را بیابند و با استفاده از کارت اعتباری قربانی به پرداخت آنلاین بپردازند. البته در این مورد، مجرمان به کد CVV2 یا CVC2 که بر روی کارت درج شده است نیاز دارند، که معمولا این کد در زمان انتقال داده به صورت مخفی باقی می ماند. اما مجرمان همیشه در کار خود موفق هستند و می توانند براحتی این اطلاعات را از دارندگان کارت بگیرند.
درخواست های مرسوم و استانداردی مثل "وارد کردن کارت" و "زدن پین کد" همیشه دیده می شوند و دستگاه های پرداخت می توانند تذکرهای زیادی نشان دهند، یک درخواست جدید مثل "وارد کردن CVV2 یا CVC2".
در اینجا رویکرد جالب دیگری وجود دارد: مجرم می تواند چیز دیگری را مثل " خطا، پین کد را دوباره وارد کنید" اضافه کند. اما این بار دستگاه پردازنده ممکن است فکر کند که این درخواست برای گشایش است و نه امنیت اطلاعات! اگر این فریب عملی شود، دستگاه پرداخت اطلاعات امن را بدون رعایت ایمنی ارسال می کند و مجرمان به همین راحتی پین کد قربانیان را بدست می آورند.
محققان دو راهنمایی ساده برای دارندگان کارتی که می خواهند از حملات مجرمان در امان بمانند، پیش روی آنها قرار داده است. اول از همه شما هرگز در یک پرداخت نباید دوبار پین کد خود را وارد نمایید. اگر به شما خطا داده شد و درخواست دوباره برای وارد کردن پین کد داده شد، سریعا آن پرداخت را کنسل کنید، کارت را از دستگاه خارج کنید و یکبار دیگر آن را وارد نمایید و پین خود را تنها یکبار وارد کنید(تاکید می کنم تنها یکبار). شما همچنان باید احتیاط کنید و هرگونه درخواست اضافی توسط دستگاه را نادیده بگیرید. خصوصا اگر این درخواست " CVC2/CVV2شما چه است؟" باشد.
راه دوم برای افزایش امنیت متاسفانه در تمام کشورها قابل اجرا نیست، اما بد نیست بدانید. کارشناسان NCR عقیده ی قابل توجهی در مورد امنیت سیستم های پرداخت موبایل مثل اپل را دارند، آنها می گویند پرداخت با ساعت های هوشمند و یا تلفن ها خیلی بیشتر از استفاده از کارت های اعتباری می تواند امن باشد.
1.این کارتها به کارتهای Chip-and-PIN نیز معروف هستند (که همراه با یک چیپ هوشمند و یک پین کد ارائه میشوند). این کارتها دارای یک چیپ هستند که برنامهای جهت تشخیص پرداختهای غیر متعارف روی آن نصب شده است. علاوه بر این، این کارتها نیاز به یک پین کد برای افزایش امنیت در پرداخت دارند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
