وبلاگ

کلاهبرداری آنلاین از کارت های اعتباری

کلاهبرداری آنلاین از کارت های اعتباری

PCI SSC ‌شورای استانداردهای امنیتی صنعت کارت های اعتباری پرداخت‌ هشدار داده است. سازمان‌هایی که پرداخت‌های آنلاین را قبول می‌کنند‌‌، باید فوراً تهدید اسکیمینگ از طریق کپی برداری از این کارت های اعتباری در اینترنت را برطرف کنند.

احتمالش بالاست که سازمان‌ها و افرادی که هنوز آگاه نیستند به خطر بیافتند. زیرا این حملات به گونه‌ای طراحی شده‌اند که ممکن است توجه کمتری را به خودشان جلب کنند.

کپی برداری آنلاین از کارت های اعتباری به چه صورت است ؟

skimming یا کلاهبرداری آنلاین روشی است که برای دستیابی به اطلاعات کارت پرداخت استفاده می‌شود. تا همین اواخر‌، بیشتر با تقلب فیزیکی همراه بود‌، که در آن مجرمان از وسیله‌ای ‌اسکیمر استفاده می‌کنند .

 یکی از متداول‌ترین روش‌های اسکمیینگ‌، قرار دادن کارت خوان تکراری در بالای شکاف کارت پرداخت ATM است. پس از ورود کارت های اعتباری به دستگاه‌، مجرمان می‌توانند جزئیات کارت را کپی برداری کنند.

این کپی بردار به طور معمول با یک دوربین سوراخ دار یا صفحه کلید تکراری قرار داده شده است. و روی دستگاه زوج کار می‌کند تا کلاهبرداران بتوانند پین مشتری را وارد کنند.

کپی برداری آنلاین به همان روش کار می‌کند. مگر اینکه دستگاه خودپرداز با فرم پرداخت آنلاین جایگزین شود و وسیله اسکیمر یا خواننده فیزیکی با کد مخرب جایگزین شود.

Magecart به حملات سایبری اشاره دارد که در آن هکرها کد رایانه‌های مخرب را به وب سایت‌ها و تأمین کنندگان شخص ثالث سیستم‌های دیجیتالی وارد می‌کنند تا اطلاعات کارت اعتباری را به محض ورود افراد به صفحه پرداخت به سرقت برساند‌.

این بدافزارهای ناخوشایند مانند JS Sniffer ‎/ Magecart هدف قرار دادن شرکت‌های میزبان وب / شرکت‌های توسعه شخص ثالث است که کد‌هایی را برای شرکت‌های تجارت الکترونیکی ایجاد می‌کند. وقتی هکرها درون کد قرار بگیرند می‌توانند کد را دستکاری کرده و سایر وب سایت‌های موجود در محیط را که روی سایر وب سایت‌ها و کاربران آن تأثیر می‌گذارد آلوده کنند.

این بدافزارها برای استخراج جزئیات کارت اعتباری از سبدهای خرید و فرم‌های شناخته شده هستند. هنگامی که مشتریان جزئیات کارت های اعتباری پرداخت خود را وارد می‌کنند‌، این بدافزار اطلاعات را ‌اسکیم یا کپی برداری می‌کند. معامله به صورت عادی ادامه می‌یابد و نه سازمان و نه مشتری متوجه چیزی نمی‌شوند.

تنها راه برای گفتن این است که اگر سازمان ارزیابی دقیقی از رویه‌های امنیتی خود انجام دهد یا مشتری متوجه تقلب در پرداخت حساب‌های خود شود. و تا آن زمان‌، خیلی دیر شده است.

سازمان‌ها چگونه آلوده می‌شوند؟

 روش‌های زیادی وجود دارد که وب سایت سازمان‌ها را می‌تواند آلوده کند. PCI SSC شورای امنیت وتجزیه و تحلیل اطلاعات اعتباری موارد زیر را مطرح می‌کند:

  • آسیب پذیری‌های افزونه‌.
  • تلاش‌های ورود به سیستم ناخواسته ‌پر کردن اعتبار.
  • کلاهبرداری فیشینگ و سایر تکنیک‌های مهندسی اجتماعی. برنامه‌های هدفمند برنامه‌های شخص ثالث‌، مانند اسکریپت‌های تبلیغاتی‌، عملکردهای چت زنده و ویژگی‌های رتبه بندی مشتری.

هر سازمانی که پرداخت‌های آنلاین را انجام دهد در معرض خطر است. افرادی که آلوده هستند اغلب طی روزها دوباره مورد هدف قرار می‌گیرند. بنابراین آن‌ها باید برای ایمن سازی سیستم‌های آسیب دیده مراقبت‌های بیشتری انجام دهند. و از آسیب پذیری‌های اساسی در آن‌ها جلوگیری کنند تا از برقراری مجدد جلوگیری شود.

نحوه شناسایی کپی برداری آنلاین :

PCI DSS استاندارد امنیت داده های صنعت کارت اعتباری پرداخت مواردی را که سازمان‌ها نیاز به شناسایی کپی برداری بصورت آنلاین دارند‌، تشریح می‌کند. آن‌ها باید روی این موضوع تمرکز کنند:

 بررسی کد به منظور شناسایی آسیب پذیری‌ها‌؛ استفاده از ابزارهای ارزیابی امنیت آسیب پذیری برای آزمایش برنامه‌های کاربردی وب و آسیب پذیری‌ها.
ورود به سیستم حسابرسی و بررسی گزارش‌ها و رویدادهای امنیتی برای کلیه مؤلفه‌های سیستم برای شناسایی فعالیت مشکوک‌؛
اجرای نرم افزار نظارت بر یکپارچگی پرونده یا نرم افزار تغییر‌ شناسایی داخلی؛
و اسکن آسیب پذیری شبکه‌های خارجی.
آزمایش‌های نفوذ برای شناسایی نقاط ضعف امنیتی.

سازمان‌ها همچنین باید از این فرصت استفاده کنند تا خدمات شخص ثالثی که از آن‌ها استفاده می‌کنند را بررسی کنند.

خوب نیست که بگویید شما مقصر نقض نیستید زیرا آسیب پذیری در یک ارائه دهنده خدمات رخ داده است. سازمان‌ها مسئول کسانی هستند که با آن‌ها کار می‌کنند‌، بنابراین آن‌ها فقط باید از ارائه دهندگان خدمات مورد اعتماد خود استفاده کنند.

خود را از کپی برداری آنلاین محافظت کنید :

به عنوان یک ارائه دهنده تست امنیتی با اعتبار CREST و یک شرکت معتبر PCI QSA ‌ارزیابی امنیتی واجد شرایط‌‌، مدیریت فناوری اطلاعات می‌تواند به تمام نیازهای شما در زمینه PCI DSS کمک کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.


سوالی دارید؟ در واتس اپ با ما گفتگو کنید!
مکالمه را شروع کنید
سلام! برای چت در WhatsApp واحدی که میخواهید با او صحبت کنید را انتخاب کنید