روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مشتری گوشی خود را نزدیک ترمینال پوز نگه می‌دارد اما پرداخت بدون تماس کار نمی‌کند. دلیل چیست؟ شاید خود دستگاه آسیب دیده یا شاید تراشه خوانش‌گر NFC کار نمی‌کند اما ممکن است دلیل چیز دیگری هم باشد: پایانه POS ممکن است به بدافزار Prilex که کارش شکار کارت‌های بانکی است آلوده شده باشد و حالا قادر شده تراکنش‌های بدون تماس را مسدود کند. با ما همراه بمانید تا به چند و چون این ماجرا بپردازیم.

Prilex چیست و چرا تراکنش‌های ان‌اف‌سی را مسدود می‌کند؟

پریلکس یک گروه کلاهبرداری است که از سال 2014 داده‌های کارت بانکی را شکار می‌کند. این اواخر تمرکز خود را روی حملاتی از طریق پایانه‌های پوز گذاشته است. اواخر سال 2022 متخصصین تیم GReAT بررسی جامعی روی سیر تکاملی این بدافزار انجام دادند و به این نتیجه رسیدند که Prilex یکی از اولین گروه‌هایی بوده که طریقه شبیه‌سازی تراکنش‌های کارت اعتباری را –حتی آن‌هایی که از طریق فناوری تراشه و پین محافظت می‌شوند- یاد گرفته است. اما پریلکس به همینجا بسنده نکرده و همچنان به رشد و تکامل خود ادامه می‌دهد: متخصصین ما حین بررسی رخداد به چند نمونه جدید از این بدافزار برخورد کردند. یکی از ابداعات بکاررفته توانایی در بلاک کردن تراکنش‌ها از طریق ان‌اف‌سی بوده است. تراکنش‌های مبتنی بر NFC می‌توانند شناساگر منحصر به فردی را که فقط برای یک تراکنش معتبر است تولید کنند- چیزی که ممکن است به مذاق اسکمر خوش نیاید! پس با جلوگیری از پرداخت بدون تماس، مهاجمین سعی دارند مشتری را قانع کنند که کارت خود را به دستگاه بزنند.

چطور پریلکس پایانه‌های پوز را آلوده می‌کند و شکارش چیست؟

طبق گزارش تیم ما، مهاجمین از متودهای مهندسی اجتماعی برای آلوده کردن یک ترمینال استفاده می‌کنند. معمولاً آن‌ها سعی دارند کارمندان فروشگاه خرده‌فروشی را متقاعد کنند که فوراً نرم‌افزارهای ترمینال خود را به روز کنند. برای انجام این کار آن‌ها آماده‌اند تا متخصص فنی خود را مستقیم به فروشگاه اعزام کنند یا دست کم از کارمندان بخواهند تا به متخصص فنی‌شان اجازه دسترسی ریموت دهند (با نصب برنامه AnyDesk). گروه  Prilex به سازمان‌هایی که در حوزه تجارت خرده‌فروشی فعالیت دارند علاقمند است؛ همان‌هایی که از ترمینال‌های پوز استفاده می‌کنند. بیشترین علاقه آن‌ها به دستگاه‌هایی که در فروشگاه‌های زنجیره‌ای بزرگ در شهرهای بزرگ عمل می‌کنند: هزاران کارت روزانه از این ترمینال‌ها رد می‌شوند! فعالین  Prilex بیشتر در منطقه  LatAm مشاهده شده است اما مجرمان سایبری مدرن اغلب ابزارها را از هم قرض می‌گیرند پس ممکن است همین بدافزار در مناطق دیگر هم مورد استفاده قرار گیرد. در واقع این شواهد وجود دارد که این بدافزار (یا دست کم این فناوری) در آلمان نیز به کار رفته است.

راهکارهای امنیتی

اگر در فروشگاه خروده‌فروشی کار می‌کنید و متوجه شدید ترمینال شروع کرده به پس زدن پرداخت‌های بدون تماس، شاید دلیل خوبی باشد که با کارمندان بخش آی‌تی خود تماس بگیرید. اگر مشکل جزئی باشد شاید نیروی آی‌تی با رفع مشکل در بخش سخت‌افزاری قضیه را حل و فصل کنند اما اگر ماجرا آلودگی به بدافزار باشد باید از تیم امنیتی یا متخصصین طرف سوم درخواست کمک کرد. شرکت‌های خرده‌فروشی نیز (خصوصاً شبکه‌های بزرگ که چندین شعبه دارند) مهم است که رگولاسیون‌های داخلی خود را پیشرفته کنند و به همه کارمندان خود توضیح دهند چطور پشتیبانی فنی باید کار کند. این دست کم جلوی دسترسی‌های غیرقانونی به پایانه‌های پوز را می‌گیرد. افزون بر این، افزایش سطح آگاهی کارمندان در مورد جدیدترین تهدیدهای سایبری همیشه ایده خوبیست: بدین‌ترتیب آن‌ها خیلی کمتر در معرض ترفندهای جدید مهندسی اجتماعی قرار می‌گیرند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.