روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ امنیت کارت پرداختی مدام در حال پیشرفت و بهبود است اما مهاجمین هم بیکار نشستهاند: آنها نیز همواره به دنبال پیدا کردن روشهایی برای دزدیدن پول هستند. در گذشته، مجرمان با فریب دادن قربانی برای دادن اطلاعات کارتش روی یک فروشگاه آنلاین فیک یا بواسطهی یک نوع اسکم دیگر میتوانستند با نوشتن دادههای سرقتی روی نوار مغناطیسی اقدام به درست کردن نسخه فیزیکی آن کارت بکنند. چنین کارتهایی سپس میشد براحتی در فروشگاهها و حتی دستگاههای خودپرداز استفاده شوند. ظهور کارتهای تراشه و رمزهای عبور یک بار مصرف OTP) ) زندگی را برای کلاهبرداران بسیار سخت تر کرد، اما آنها سازگار شدند. تغییر به پرداختهای موبایلی با استفاده از تلفنهای هوشمند انعطافپذیری را در برابر برخی از انواع کلاهبرداریها افزایش داد - اما همچنین راههای جدیدی را برای کلاهبرداری باز کرد. اکنون، پس از فیشینگ برای شماره کارت، سعی می کنند آن را به حساب Apple Pay یا Google Wallet خود پیوند دهند. با انجام این کار، آنها از این حساب از طریق تلفن هوشمند برای پرداخت کالاها با استفاده از کارت قربانی استفاده می کنند - چه در یک فروشگاه معمولی یا در یک خروجی جعلی با یک پایانه پرداخت مجهز به انافسی.
چطور اطلاعات کارت، فیش میشوند؟
چنین حملات سایبری نیازمند آمادگی در مقیاس صنعتی هستند. مهاجمین شبکههایی از وبسایتهای تقلبی را که طراحی شدند برای فیش کردن دادههای پرداختی میسازند. اینها شاید سرویسهای دلیوری را تقلید کنند یا فروشگاههای بزرگ آنلاین را و حتی پورتالهایی را که برای پرداخت قبوض یا جریمههای ترافیک هستند. مجرمان سایبری همچنین کلی اسمارت فون یخرند و رویشان اکانتهای گوگل یا اپل میسازندو بعد اپهای پرداختی بدون تماس نصب میکنند. حالا قسمت جذابش: وقتی قربانی روی سایت قلابی فرود میآید، از او خواسته میشود کارتش را لینک دهد یا یک پرداخت کوچک الزامی انجام دهد. این نیازمند وارد کردن اطلاعات کارت است و نیز تأیید دارندگی کارت آن هم با وارد کردن اوتیپی. کارت در واقع دراین نقطه شارژ نمیشود. اما در حقیقت چه اتفاقی رخ میدهد؟ دادههای قربانی تقریباً به طور فوری به مجرمان سایبری منتقل میشود؛ همانهایی که کارت را به کیفپول موبایل روی اسمارتفون خود لینک میکنند. کد OTP برای احراز این عملیات، نیاز است. برای تسریع و تسهیل فرآیند، مهاجمین ازنرمافزارهای خاصی استفاده میکنند که دادههایی را که قربانی تأمین کرده را تقلید نموده و تصویری از کارت شبیهسازیشده را به طور بی نقصی تولید میکند. پس از آن، کافی است از Apple Pay یا Google Wallet از این تصویر عکس بگیرید. فرآیند دقیق اتصال کارت به کیف پول موبایل به کشور و بانک خاصی بستگی دارد، اما معمولاً به جز شماره کارت، تاریخ انقضا، نام دارنده کارت، CVV/CVC و OTP به هیچ داده دیگری نیاز نیست. همه اینها را می توان در یک جلسه فیش کرد و بلافاصله مورد استفاده قرار داد. برای مؤثرتر کردن حملات خود، مجرمان سایبری از تعدادی ترفند استفاده می کنند. ابتدا، اگر قربانی قبل از زدن دکمه ارسال به خود بیاید، هر داده ای که قبلاً در فرم ها وارد شده است همچنان به مجرمان منتقل می شود - حتی اگر فقط چند کاراکتر یا یک ورودی ناقص باشد. دوم، سایت جعلی ممکن است گزارش دهد که پرداخت انجام نشد و از قربانی بخواهد کارت دیگری را امتحان کند. به این ترتیب، مجرمان می توانند جزئیات دو یا سه کارت را در یک حرکت فیش کنند. کارتها بلافاصله شارژ نمیشوند و بسیاری از مردم، چون چیز مشکوکی در صورت حساب بانکی خود نمیبینند، همه چیز را فراموش میکنند.
چطور پول از کارتها سرقت میشود؟
مجرمان سایبری ممکن است دهها کارت را به یک گوشی هوشمند متصل کنند، بدون اینکه بخواهند بلافاصله از آنها پول خرج کنند. این تلفن هوشمند، پر از شماره کارت، سپس در وب تاریک به فروش می رسد. هفته ها یا حتی ماه ها اغلب بین فیشینگ و هزینه کردن می گذرد. اما زمانی که آن روز نحس در نهایت فرا میرسد، مجرمان ممکن است تصمیم بگیرند که فقط با پرداخت بدون تماس از طریق یک تلفن پر از شماره کارت های فیش شده، اقلام لوکس را در یک فروشگاه فیزیکی به فروش برسانند. از طرف دیگر، آنها ممکن است فروشگاه جعلی خود را در یک پلتفرم تجارت الکترونیک قانونی راه اندازی کنند و برای کالاهای موجود پول دریافت کنند. برخی کشورها حتی با استفاده از تلفن هوشمند مجهز به NFC امکان برداشت از دستگاه خودپرداز را نیز دارند. در تمام موارد فوق، هیچ PIN یا تایید OTP برای تراکنش مورد نیاز نیست، بنابراین تا زمانی که قربانی کارت را مسدود کند، می توان پول را خارج کرد.
برای سرعت بخشیدن به انتقال کیف پول های موبایل به خریداران مخفی و کاهش خطر برای کسانی که پرداخت های درون فروشگاهی انجام می دهند، مهاجمان شروع به استفاده از تکنیک رله NFC به نام Ghost Tap کرده اند. آنها با نصب یک برنامه قانونی مانند NFCGate روی دو گوشی هوشمند شروع میکنند – یکی با کیف پول موبایل و کارتهای دزدیده شده و دیگری مستقیماً برای پرداخت استفاده میشود. این برنامه دادههای NFC کیف پول را به صورت بلادرنگ از طریق اینترنت از تلفن اول به آنتن NFC تلفن دوم منتقل میکند، که همدست مجرمان سایبری (معروف به "قاطر") روی پایانه پرداخت ضربه میزند.
بیشتر پایانههای فروشگاههای آفلاین و بسیاری از دستگاههای خودپرداز نمیتوانند سیگنال رلهشده را از سیگنال اصلی تشخیص دهند، بنابراین قاطر میتواند به راحتی برای کالاها (یا کارتهای هدیه، که شستشوی وجوه دزدیده شده را آسانتر میکند) پرداخت کند. و اگر قاطر در فروشگاه بازداشت شود، هیچ چیز مجرمانهای در گوشی هوشمند وجود ندارد، فقط برنامه قانونی NFCGate. هیچ شماره کارت دزدیده شدهای وجود ندارد، زیرا آنها در گوشی هوشمند مغز متفکر پشت عملیات، که می تواند در هر کجا، حتی در کشور دیگری باشد، قرار دارد. این روش به کلاهبرداران اجازه می دهد تا به سرعت و با خیال راحت مبالغ هنگفت را نقد کنند زیرا ممکن است چندین قاطر تقریباً به طور همزمان با همان کارت سرقت شده پرداخت کنند.
چطور ضربه روی کارت گوشی میتواند منجر به از دست دادن پول شود؟
اواخر سال 2024، کلاهبرداران به نقشه رلهکردن انافسی جدیدی رسیدند و با موفقیت آن را روی کاربران روس امتجان کردند. و هیچچیز نمی گذارد این عملیات در مقیاس جهانی امتحان نشود! در این نقشه، حتی از قربانیان خواسته نمیشود که اطلاعات کارت بدهند. در عوض مهاجمین مهندسی اجتماعی کرده و اپ به ظاهر کارایی را روی اسمارتفون قربانیان نصب میکنند؛ این اپ وانمود می کند سرویسی بانکی یا دولتی است. از آنجایی که بسیاری از این اپهای دولتی یا بانکی از فروشگاههای رسمی روسیه حذف شدند (به دلیل تحریمها)، کاربران از همهجا بیخبر سریع به نصب آنها رضایت میدهند. قربانی سپس مجاب میشود کارتش را سمت اسمارتفون گرفته و برای احراز یا تأیید پین را وارد کند. همانطور که ممکن است حدس زده باشید، اپ نصبشده هیچ وجه اشتراکی با شرحی که برایش دادند ندارد. در موج اول چنین حملاتی، قربانیان همان رله انافسی را با بستهبندی جدید تحت عنوان اپ کارا دریافت کردند. هنگامی که روی گوشی هوشمند نگه داشته می شد، کارت را می خواند و داده های آن را به همراه پین به مهاجمان منتقل می کرد که از آن برای خرید یا برداشت پول نقد از دستگاه های خودپرداز دارای NFC استفاده می کردند. سیستمهای ضد کلاهبرداری بانکهای بزرگ روسیه به سرعت یاد گرفتند که چنین پرداخت هایی را بر اساس عدم تطابق در موقعیت جغرافیایی قربانی و پرداخت کننده شناسایی کنند، بنابراین در سال 2025 این طرح - اما نه ماهیت - تغییر کرد.
اکنون، قربانی اپی برای ساخت کارت تکراری دریافت میکند و رله از سمت مهاجم نصب میشود. سپس به بهانهی ریسک سرقت، قربانی متقاعد میشود برای واریز پول در «اکانت امن» با استفاده از اسمارتفون خود برای احراز پرداخت، از دستگاه خودپرداز استفاده کند. وقتی قربانی گوشیاش را نزدیک دستگاه خودپرداز میگیرد، اسکمر جزئیات کارتش را در آن رله کرده و پول به اکانت او منتقل میشود. شناسایی چنین عملیاتهایی برای سیستمهای خودکار ضد کلاهبرداری، کار سختی است زیرا تراکنش به نظر تماماً قانونی میآید- کسی آمده دم خودپرداز و به کارتی واریز داشته. سیستم ضد کلاهبرداری نمیداند کارت به کس دیگری تعلق داشته.
راهکارهای امنیتی
اول از همه، خود گوگل و اپل، به همراه سیستمهای پرداخت، باید تدابیر امنیتی بیشتری را در زیرساخت پرداخت اعمال کنند. اما کاربران همچنین می توانند اقداماتی را برای محافظت از خود انجام دهند:
- برای پرداختهای آنلاین از کارتهای مجازی استفاده کنید. مبالغ زیادی را روی آنها نگه ندارید و فقط قبل از خرید آنلاین آنها را شارژ کنید. اگر صادرکننده کارت شما اجازه میدهد، پرداختهای آفلاین و برداشت نقدی از این کارت ها را غیرفعال کنید.
- یک کارت مجازی جدید بگیرید و حداقل سالی یک بار کارت قدیمی خود را مسدود کنید.
- برای پرداختهای آفلاین، کارت دیگری را به Apple Pay، Google Wallet یا سرویسی مشابه پیوند دهید. هرگز از این کارت به صورت آنلاین استفاده نکنید و در صورت امکان از کیف پول موبایلی در گوشی هوشمند خود برای پرداخت در فروشگاه ها استفاده کنید.
- بسیار مراقب برنامه هایی باشید که از شما میخواهند کارت پرداخت خود را روی گوشی هوشمند خود نگه دارید، چه رسد به اینکه پین خود را وارد کنید. اگر این یک برنامه بانکی برای مدت طولانی قابل اعتماد است، خوب است. اما اگر چیزی مبهم است که به تازگی از یک لینک مبهم در خارج از یک فروشگاه برنامه رسمی نصب کردهاید، از آن دوری کنید.
- از کارتهای پلاستیکی در دستگاههای خودپرداز استفاده کنید، نه گوشی هوشمند مجهز به NFC.
- یک راهکار جامع روی همه رایانهها و تلفنهای هوشمند نصب کنید تا خطر فرود در سایتهای فیشینگ و نصب برنامههای مخرب را به حداقل برسانید.
- برای محافظت از تراکنشهای مالی و خریدهای آنلاین، مؤلفه Safe Money را که در همه راهحلهای امنیتی ما موجود است، فعال کنید.
- سریعترین اعلانهای تراکنش (متن و فشار) را برای همه کارتهای پرداخت فعال کنید و در صورت مشاهده موارد مشکوک، فوراً با بانک یا صادرکننده خود تماس بگیرید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
