روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ خدمات پرداختی در طول این سال‌ها هم راحت‌تر شده است و هم امن‌تر؛ اما مجرمان سایبری هنوز هم به دنبال راه‌هایی برای سرقت پول از کارت‌های سراسر جهان هستند. حال، رایج‌ترین متودهای استفاده‌شده در این سرقت‌ها چیست و چطور می‌شود با آن‌ها مبارزه کرد؟ با ما همراه بمانید.

شبیه‌سازی پول

زمانیکه کارت‌ها فقط اطلاعات را روی نواز مغناطیسی ذخیره می‌کردند، کلاهبرداران خیلی راحت می‌توانستند کپی دقیق کارت را تولید کنند و از آن برای پرداخت‌های فروشگاهی‌ و برداشت از خودپردازها استفاده کنند. ابتدا داده‌ها به دستگاه خاصی خوانده می‌شدند- یک اسکیم‌کننده که روی دستگاه خودپرداز یا پایانه‌ای در فروشگاه نصب می‌شد. این با دوربین یا پد ویژه‌ای روی کیبورد ترمینال برای پیدا کردن کد پین کارت تکمیل می‌شد. کلاهبرداران با به دست آوردن کارتی خالی و یک پین، داده را در کارت خالی می‌نوشتند و از آن در خودپرداز یا در فروشگاه استفاده می‌کردند. این فناوری هنوز در برخی نقاط جهان کار می‌کند اما ظهور کارت‌های تراشه‌ای از کارا بودن آن کم کردند. کارتی با تراشه براحتی کپی نمی‌شود. برای همین است مجرمان سایبری توانستند شروع کنند به آلوده کردن پایانه‌های پرداختی با کد مخرب که کارش کپی کردن یک سری داده از کارت حین پردازش خریدی قانونی بود. متعاقباً اسکمرها بااستفاده از این اطلاعات، درخواست‌های پرداختی هوشمندانه تولیدشده را ارسال کردند. در اصل آن‌ها فقط داده‌هایی را ارسال می‌کنند که قبل‌تر در نوار مغناطیسی ضبط شده است اما تراکنش انجام‌شده توسط تراشه برچسب‌گذاری می‌شود. این درجاهایی ممکن است که بانک‌ها چندین مؤلفه‌ی تراکنش را با جزئیات کافی ارجاع نمی‌دهند و به طور نادرستی پروتکل‌های EMV را که همه اقدامات تراشه کارت باید توسط آن رعایت شود پیاده‌سازی می‌کنند. اگر بانک‌ها چنین ضعفی نداشته باشند مهاجمین باید از ترفندهای پیچیده‌تری استفاده کنند. وقتی قربانی پرداخت قانونی انجام می‌دهد ترمینال آلوده پرداخت درخواست می‌دهد که کارت درج‌شده تراکنش کلاهبردارانه دیگری تولید کرده است. بنابراین خود کارت کپی نمی‌شود بلکه وجوه بیشتری به هر حال از آن کسر می‌گردد. چطور از خود محافظت کنید: سعی کنید از قابلیت پرداخت بدون تماس با گوشی خود استفاده کنید که لایه محافظتی بیشتری دارد. اگر هنوز باید در ترمینال کارت بکشید به دقت پنل پین کد را چک کنید تا اسیر دستکاری‌های مشکوک نشوید. همچنین موقع وارد کردن کد، با دست، کیف یا چیز دیگری پنل را کاور کنید. اگر ترمینال ناگهان پرداخت بدون تماس را قبول نکرد روی صفحه‌اش پیام‌های غیرمعمول می‌آید یا پین نیاز خواهد داشت مکرراً وارد شود. این دلیلی است که باید مشکوک شوید و اقدامات محافظتی انجام دهید. برای مثال می‌توانید فوراً صورت حساب فعلی خود را چک کنید یا برای صرف پول روی کارت حد پایینی را تعیین نمایید.

کیف‌های ضدگلوله

این روزها کیف‌پول‌ها و کیف‌هایی با محافظت از RFID برای خرید وجود دارند که از کارت‌های فیزیکی درون کارت‌های فیزیکی در برابر خواندن از راه دور محافظت می‌کنند، به عنوان مثال در وسایل نقلیه عمومی. هیچ مشکلی با چنین محافظتی وجود ندارد - واقعاً به کار می‌آید. با این حال، این سناریوی حمله عملاً هرگز در عمل استفاده نمی‌شود. در طول چنین اسکن سریعی می‌توانید فقط اطلاعات اولیه را از کارت بخوانید و این معمولاً برای پرداخت کافی نیست. در عین حال، یافتن آخرین مکان‌ها و میزان پرداخت بدون تماس آسان است!

سرقت داده‌های کارت از طریق اینترنت

در اینجا، کلاهبرداران به دنبال جزئیات کارت بانکی هستند تا بتوانند به صورت آنلاین پرداخت کنند. اینها معمولاً شامل شماره کارت، تاریخ انقضا، و کد تأیید (CVV/CVC) است. همچنین بسته به کشور، نام دارنده کارت، کد پستی یا شماره پاسپورت نیز ممکن است جستجو شود. حداقل سه روش موثر برای جمع آوری این داده‌ها توسط کلاهبرداران وجود دارد:

-         فریب دادن قربانی با سازمان‌دهی کردن یک فروشگاه تقلبی آنلاین، کپی فیشینگ یک فروشگاه آنلاین واقعی یا با پوشش جمع‌آوری پول برای خیریه.

-         رهگیری اطلاعات با آلوده کردن یا وب‌پیج فروشگاه آنلاین واقعی (وب اسکیمرها) یا کامپیوتر/اسمارت‌فون قربانی (تروجان بانکی).

-         هک کردن فروشگاه آنلاین واقعی و سرقت داده‌های کارت پرداختی مشتری که ذخیره شده بود. توجه داشته باشید که فروشگاه‌ها قرار نیست کل اطلاعات کارت را جمع کنند اما متأسفانه این قانون برخی اوقات نقض می‌شود.

به طور کلی این متود سرقت گرچه قدیمی است اما هنوز وجود دارد: برای مثال بر اساس تحلیل‌های ما حملات سرقت داده‌های بانکی در سال 2022 تقریباً دو برابر شد.

چگونه از خود محافظت کنید: ابتدا یک کارت مجازی برای پرداخت آنلاین دریافت کنید. اگر خیلی سخت یا گران نیست، یک کارت مجازی جدید صادر و حداقل سالی یک بار کارت قدیمی را مسدود کنید. دوم، برای کارت پرداخت آنلاین خود محدودیت تعیین کنید، یا فقط مقدار بسیار کمی پول روی آن نگه دارید.

سوم، مطمئن شوید که بانک همیشه از شما می‌خواهد که پرداخت‌های آنلاین را با یک کد یکبار مصرف (با استفاده از 3-D Secure یا مکانیزم‌های مشابه) تأیید کنید. و چهارم اینکه فرم‌های پرداخت و آدرس سایت‌هایی را که اطلاعات مالی را در آن وارد می‌کنید به دقت بررسی کنید. برای اینکه کمتر نگران این مشکل باشید، از ابزارهای امنیت سایبری استفاده کنید که با خیال راحت از پرداخت های آنلاین محافظت می‌کنند.

سرقت گوشی و کارت به سبک قدیمی

این، البته، قابل توجه‌ترین و آشکارترین روش سرقت است، اما هنوز هم رایج است. مجرمان باهوش می‌توانند با یافتن فروشگاه آنلاینی که نیازی به وارد کردن کدهای تأیید اضافی ندارد، از کارت ها برای پرداخت های آنلاین استفاده کنند. یک راه ساده‌تر که کارایی‌اش کم نیست استفاده از کارت سرقت شده برای پرداخت بدون تماس است که نیازی به وارد کردن پین ندارد. معمولاً محدودیتی برای پرداخت‌هایی که از این طریق انجام می‌شود وجود دارد، و در برخی کشورها پس از سه تا پنج پرداخت، کارت مسدود می شود، اما برای مثال در بریتانیا، ضرر قربانیان از این روش بدوی سرقت می تواند به راحتی به 500 پوند استرلینگ (5×5) برسد. 100 پوند). گوشی همراه همیشه برای سارقان ارزشمند است و اگر Google Pay را فعال کرده باشد، می‌توان حتی از گوشی مسدود شده در محدوده مجاز پرداخت، پرداخت کرد و ضرر بیشتری به قربانی وارد کرد. محققین امنیتی نشان داده‌اند که حتی اگر کارتی پس از سه بار وارد کردن پین اشتباه مسدود شود، باز هم گاهی اوقات امکان پرداخت بدون تماس وجود دارد. مهاجم همچنین می‌تواند برخی از داده‌ها را با یک تلفن مسدود شده مبادله نموده و سپس از سوابق تغییر یافته آن تبادل برای پرداخت‌های تقلبی یک‌باره استفاده کند.

 خوشبختانه، هر دو نوع حمله توسط محققین اخلاقی شناسایی شده‌اند، بنابراین این امید وجود دارد که کلاهبرداران هنوز از این روش‌ها استفاده نکرده باشند. چگونه از خود محافظت کنید: بهترین کار این است که برای استفاده روزانه محدودیت‌های هزینه نسبتاً کمی برای کارت‌ها تعیین کنید. اگر بانک شما اجازه می‌دهد، می‌توانید به طور جداگانه یک محدودیت پایین برای پرداخت های بدون تماس تعیین کنید. البته، باید مطمئن شوید که در صورت نیاز می توانید به سرعت حد را افزایش دهید. از طرف دیگر، می‌توانید یک کارت مجازی صادر شده با محدودیت‌های کم داشته باشید و Google/Apple/Samsung Pay را به آن لینک دهید. اگر می‌توان برنامه پرداخت را طوری تنظیم کرد که فقط از طریق تلفن قفل نشده امکان پرداخت را بدهد، این کار را انجام دهید. در خاتمه، ما متذکر می شویم که قوانینی در بسیاری از کشورها در حال ظهور هستند که به موجب آن قربانیان به طور جزئی یا کامل برای کلاهبرداری غرامت می‌گیرند.

برای استفاده از این مزیت، توصیه می‌کنیم در پرداخت‌های کارتی مراقب باشید، سریع‌ترین راه را برای اطلاع از آن‌ها (فشار یا پیامک) تنظیم کنید و در صورت مشاهده تراکنش‌های مشکوک در اسرع وقت با بانک خود تماس بگیرید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.