کلاهبرداری آنلاین از کارت های اعتباری
PCI SSC شورای استانداردهای امنیتی صنعت کارت های اعتباری پرداخت هشدار داده است. سازمانهایی که پرداختهای آنلاین را قبول میکنند، باید فوراً تهدید اسکیمینگ از طریق کپی برداری از این کارت های اعتباری در اینترنت را برطرف کنند.
احتمالش بالاست که سازمانها و افرادی که هنوز آگاه نیستند به خطر بیافتند. زیرا این حملات به گونهای طراحی شدهاند که ممکن است توجه کمتری را به خودشان جلب کنند.
کپی برداری آنلاین از کارت های اعتباری به چه صورت است ؟
skimming یا کلاهبرداری آنلاین روشی است که برای دستیابی به اطلاعات کارت پرداخت استفاده میشود. تا همین اواخر، بیشتر با تقلب فیزیکی همراه بود، که در آن مجرمان از وسیلهای اسکیمر استفاده میکنند .
یکی از متداولترین روشهای اسکمیینگ، قرار دادن کارت خوان تکراری در بالای شکاف کارت پرداخت ATM است. پس از ورود کارت های اعتباری به دستگاه، مجرمان میتوانند جزئیات کارت را کپی برداری کنند.
این کپی بردار به طور معمول با یک دوربین سوراخ دار یا صفحه کلید تکراری قرار داده شده است. و روی دستگاه زوج کار میکند تا کلاهبرداران بتوانند پین مشتری را وارد کنند.
کپی برداری آنلاین به همان روش کار میکند. مگر اینکه دستگاه خودپرداز با فرم پرداخت آنلاین جایگزین شود و وسیله اسکیمر یا خواننده فیزیکی با کد مخرب جایگزین شود.
Magecart به حملات سایبری اشاره دارد که در آن هکرها کد رایانههای مخرب را به وب سایتها و تأمین کنندگان شخص ثالث سیستمهای دیجیتالی وارد میکنند تا اطلاعات کارت اعتباری را به محض ورود افراد به صفحه پرداخت به سرقت برساند.
این بدافزارهای ناخوشایند مانند JS Sniffer / Magecart هدف قرار دادن شرکتهای میزبان وب / شرکتهای توسعه شخص ثالث است که کدهایی را برای شرکتهای تجارت الکترونیکی ایجاد میکند. وقتی هکرها درون کد قرار بگیرند میتوانند کد را دستکاری کرده و سایر وب سایتهای موجود در محیط را که روی سایر وب سایتها و کاربران آن تأثیر میگذارد آلوده کنند.
این بدافزارها برای استخراج جزئیات کارت اعتباری از سبدهای خرید و فرمهای شناخته شده هستند. هنگامی که مشتریان جزئیات کارت های اعتباری پرداخت خود را وارد میکنند، این بدافزار اطلاعات را اسکیم یا کپی برداری میکند. معامله به صورت عادی ادامه مییابد و نه سازمان و نه مشتری متوجه چیزی نمیشوند.
تنها راه برای گفتن این است که اگر سازمان ارزیابی دقیقی از رویههای امنیتی خود انجام دهد یا مشتری متوجه تقلب در پرداخت حسابهای خود شود. و تا آن زمان، خیلی دیر شده است.
سازمانها چگونه آلوده میشوند؟
روشهای زیادی وجود دارد که وب سایت سازمانها را میتواند آلوده کند. PCI SSC شورای امنیت وتجزیه و تحلیل اطلاعات اعتباری موارد زیر را مطرح میکند:
- آسیب پذیریهای افزونه.
- تلاشهای ورود به سیستم ناخواسته پر کردن اعتبار.
- کلاهبرداری فیشینگ و سایر تکنیکهای مهندسی اجتماعی. برنامههای هدفمند برنامههای شخص ثالث، مانند اسکریپتهای تبلیغاتی، عملکردهای چت زنده و ویژگیهای رتبه بندی مشتری.
هر سازمانی که پرداختهای آنلاین را انجام دهد در معرض خطر است. افرادی که آلوده هستند اغلب طی روزها دوباره مورد هدف قرار میگیرند. بنابراین آنها باید برای ایمن سازی سیستمهای آسیب دیده مراقبتهای بیشتری انجام دهند. و از آسیب پذیریهای اساسی در آنها جلوگیری کنند تا از برقراری مجدد جلوگیری شود.
نحوه شناسایی کپی برداری آنلاین :
PCI DSS استاندارد امنیت داده های صنعت کارت اعتباری پرداخت مواردی را که سازمانها نیاز به شناسایی کپی برداری بصورت آنلاین دارند، تشریح میکند. آنها باید روی این موضوع تمرکز کنند:
بررسی کد به منظور شناسایی آسیب پذیریها؛ استفاده از ابزارهای ارزیابی امنیت آسیب پذیری برای آزمایش برنامههای کاربردی وب و آسیب پذیریها.
ورود به سیستم حسابرسی و بررسی گزارشها و رویدادهای امنیتی برای کلیه مؤلفههای سیستم برای شناسایی فعالیت مشکوک؛
اجرای نرم افزار نظارت بر یکپارچگی پرونده یا نرم افزار تغییر شناسایی داخلی؛
و اسکن آسیب پذیری شبکههای خارجی.
آزمایشهای نفوذ برای شناسایی نقاط ضعف امنیتی.
سازمانها همچنین باید از این فرصت استفاده کنند تا خدمات شخص ثالثی که از آنها استفاده میکنند را بررسی کنند.
خوب نیست که بگویید شما مقصر نقض نیستید زیرا آسیب پذیری در یک ارائه دهنده خدمات رخ داده است. سازمانها مسئول کسانی هستند که با آنها کار میکنند، بنابراین آنها فقط باید از ارائه دهندگان خدمات مورد اعتماد خود استفاده کنند.
خود را از کپی برداری آنلاین محافظت کنید :
به عنوان یک ارائه دهنده تست امنیتی با اعتبار CREST و یک شرکت معتبر PCI QSA ارزیابی امنیتی واجد شرایط، مدیریت فناوری اطلاعات میتواند به تمام نیازهای شما در زمینه PCI DSS کمک کند.
دیدگاهتان را بنویسید