هشدار: مجرمان هنوز هم می توانند از کارتهای بانکی چیپ دار سرقت کنند!
ایتنا - صنعت بانکداری تلاش، زمان و هزینه بسیاری را صرف حفاظت و امنیت کارتهای بانکی میکند.
روابط عمومی شرکت (ایدکو) توزیعکننده محصولات کسپرسکی در ایران؛ صنعت بانکداری تلاش، زمان و هزینه بسیاری را صرف حفاظت و امنیت کارتهای بانکی میکند. سالهای قبل، حفاظت آنها شامل اثر انگشت برجسته و امضا بود اما حالا چیپهای هوشمند یا همان قسمت الکترونیکی کارتهای اعتباری و رمز عبورها محافظ سرمایه شما هستند و این دقیقا چیزی است که مجرمان آن را میخواهند و برای رسیدن به آن دست به هر کاری میزنند.
چیپهای جدید و پینکارتها (1 EMV) امنیت بیشتری را نسبت به کارتهای ساده به همراه دارد و اگر این گونه امنیت برای این کارتها وجود نداشته باشد، مجرمان براحتی میتوانند حفاظت نداشته آنها را از بین ببرند. خوشبختانه، مجرمان تنها افرادی نیستند که این آزمایشها را روی کارتها انجام میدهند و سعی برای شکستن راههای امنیتی کارتها دارند، کارشناسان امنیتی نیز این بررسی کامل را انجام می دهند. محققان شرکتها برای آسیبپذیری در تجهیزات و معماری سیستمهای پرداخت کاوش و بررسی زیادی کرده و سعی بر این دارند که نقاط ضعف در این زمینه را بررسی کرده و به توسعه دهندگان در مورد امنیت کارتها هشدار لازم را قبل از اینکه مجرمان راهی برای نفوذ به کارتهای آنها بیابد، میدهند.
یک محقق امنیتی در Black Hat گزارشی را ارائه کرده است که هم جای امیدواری دارد هم کمی نگرانی: بله مجرمان میتوانند پول را از کارتهای چیپ بدزدند، اما مردم هم آنقدرها بیدست و پا نیستند و میتوانند به نحوهای از خودشان محافظت کنند. دو نفر از کارمندان NCR Corporation، (شرکتی که دستگاههای پرداخت و خود پرداز را توسعه میدهد، در حمله دستگاههای پرداخت که معمولا در فروشگاهها و ایستگاههای گاز استفاده میشود حضور یافتند. آنها با استفاده از کامپیوتر کوچک و ارزان Raspberry Pi توانستند به ارتباط بین کامپیوتر اصلی فروشگاه و ماژول پرداخت وارد شوند.
به طور کلی، ارتباط بین این دو سیستم باید به طور درستی رمزگذاری شده باشد اما متاسفانه در بسیاری از موارد دستگاههای پرداخت از رمزگذاریها ضعیفی برخوردار هستند. در نتیجه، مجرمان به راحتی می توانند در این بین از حملات مرد میانی استفاده کنند: آنها ارتباط دادههای بین ماژول پرداخت و کامپیوتر اصلی را قطع کرده و آن را رمزگشایی میکنند. این حمله در واقع به منظور استخراج دادهها از طریق امنیت سست یک چیپ کارت نیست. دادههای خاص، مثل پین کد که چیپها را رمزگذاری می کند و هرگز اجازه باز کردن آن را نمیدهند از اهمیت بالاتری برخوردارند. با این حال، مهاجم میتواند دادههای دیگری را نیز از چیپها بدست آورند، این دادهها معمولا در قسمت نوار مغناطیسی کارتها نوشته شده است.
با استفاده از این روش مجرمان میتوانند نام و شماره کارت مالک را بیابند و با استفاده از کارت اعتباری قربانی به پرداخت آنلاین بپردازند. البته در این مورد، مجرمان به کد CVV2 یا CVC2 که بر روی کارت درج شده است نیاز دارند، که معمولا این کد در زمان انتقال داده به صورت مخفی باقی می ماند. اما مجرمان همیشه در کار خود موفق هستند و می توانند براحتی این اطلاعات را از دارندگان کارت بگیرند.
درخواستهای مرسوم و استانداردی مثل "وارد کردن کارت" و "زدن پین کد" همیشه دیده می شوند و دستگاههای پرداخت می توانند تذکرهای زیادی نشان دهند، یک درخواست جدید مثل "وارد کردن CVV۲ یا CVC۲".
در اینجا رویکرد جالب دیگری وجود دارد: مجرم می تواند چیز دیگری را مثل " خطا، پین کد را دوباره وارد کنید" اضافه کند. اما این بار دستگاه پردازنده ممکن است فکر کند که این درخواست برای گشایش است و نه امنیت اطلاعات! اگر این فریب عملی شود، دستگاه پرداخت اطلاعات امن را بدون رعایت ایمنی ارسال می کند و مجرمان به همین راحتی پین کد قربانیان را بدست می آورند.
محققان دو راهنمایی ساده برای دارندگان کارتی که می خواهند از حملات مجرمان در امان بمانند، پیش روی آنها قرار داده است. اول از همه شما هرگز در یک پرداخت نباید دوبار پین کد خود را وارد نمایید. اگر به شما خطا داده شد و درخواست دوباره برای وارد کردن پین کد داده شد، سریعا آن پرداخت را کنسل کنید، کارت را از دستگاه خارج کنید و یکبار دیگر آن را وارد نمایید و پین خود را تنها یکبار وارد کنید(تاکید می کنم تنها یکبار). شما همچنان باید احتیاط کنید و هرگونه درخواست اضافی توسط دستگاه را نادیده بگیرید. خصوصا اگر این درخواست " CVC۲/CVV۲شما چه است؟" باشد.
راه دوم برای افزایش امنیت متاسفانه در تمام کشورها قابل اجرا نیست، اما بد نیست بدانید. کارشناسان NCR عقیده ی قابل توجهی در مورد امنیت سیستمهای پرداخت موبایل مثل اپل را دارند، آنها می گویند پرداخت با ساعتهای هوشمند و یا تلفنها خیلی بیشتر از استفاده از کارتهای اعتباری می تواند امن باشد.
۱.این کارتها به کارتهای Chip-and-PIN نیز معروف هستند (که همراه با یک چیپ هوشمند و یک پین کد ارائه میشوند). این کارتها دارای یک چیپ هستند که برنامهای جهت تشخیص پرداختهای غیر متعارف روی آن نصب شده است. علاوه بر این، این کارتها نیاز به یک پین کد برای افزایش امنیت در پرداخت دارند.