خریداران تعطیلات توجه: ارزش تأیید کارت هرگز نباید بصورت آنلاین ذخیره شود
پایان سال خرید آنلاین یک دیوانگی کلاهبرداری بانکی است. این مورد قبلاً توسط مجرمان با استفاده از کارتهای پرداخت دزدی یا کلون شده به صورت حضوری ، از طریق معاملات جعلی کارت فعلی (CP) انجام می شد. معرفی کارتهای Europay ، Mastercard و Visa (EMV) مبتنی بر تراشه ، این امر را تغییر داده است. تقلب در CP اکنون بسیار دشوارتر است.
در پاسخ ، مجرمان به تقلب در کارت (غیر CNP) حاضر شده اند. این سوئیچ به کلاهبرداری آنلاین است. جزئیات کارت را می توان به صورت انبوه از خرده فروشان آنلاین به سرقت برد و سپس برای خرید کالا از دیگر خرده فروشان استفاده کرد. اما نباید به این آسانی باشد ، زیرا کارت ها شامل یک شماره جداگانه هستند که به عنوان اعتبار تأیید کارت (CVV) شناخته می شود.
این یک شماره سه رقمی (متداول) یا چهار رقمی (بر روی کارت های American Express) است. چاپ شده روی کارت. این کد برای انجام یک معامله مورد نیاز است – اما هرگز نباید به صورت آنلاین ذخیره شود. هدف این است که به خرده فروش ثابت کند که مشتری کارت موجود در آن را دارد.
مسئله این است که در وب تاریک تعداد زیادی از جزئیات کارت وجود دارد که به عنوان "fullz" توصیف شده است ، که از یک موجود برای فروش در دسترس است. جنایتکار به دیگری. "فولز" نشان می دهد که همه چیز مورد نیاز برای معاملات تقلب در دسترس است – از جمله شماره CVV.
بنابراین سؤال این است که چگونه جنایتکاران این شماره ها را دست می گیرند که هرگز نباید در هر جای اینترنت ذخیره شوند؟
محافظت از CVV [19659008] جزئیات کارت در درجه اول توسط یک استاندارد امنیتی معروف به استاندارد امنیت داده کارت صنعت پرداخت (PCI DSS ، که معمولاً فقط با عنوان PCI شناخته می شود) محافظت می شود. هر بنگاه که قبول کارت های اعتباری را رعایت کند لازم است:
"کد تأیید کارت یا ارزش را ذخیره نکنید (شماره سه رقمی یا چهار رقمی چاپ شده در جلو یا پشت کارت پرداخت که برای تأیید کارت استفاده نمی شود). معاملات فعلی) پس از مجوز. "
در PCI مشکلی وجود دارد. ادعا می شود که هیچ خرده فروش و یا بازرگان مطابق با PCI تاکنون نقض نشده است – و ممکن است اینگونه باشد – با این وجود ، این حسابرسی توسط حسابرسی های سالانه اندازه گیری و تأیید می شود. این امکان وجود دارد که یک شرکت از لحاظ فنی سازگار باشد ، اما برای 364 روز از سال مطابقت ندارد.
گزارش امنیت پرداخت پرداخت Verizon 2019 سه مشاهده جالب را ارائه می دهد. اول ، هیچ یک از شرکت هایی که طی یک سال گذشته در مورد نقض کارت های پرداخت پرداخته اند ، PCI در زمان نقض سازگار نبودند. دوم ، تعداد شرکتهای دستیابی به انطباق در حال افزایش است. اما سوم ، تعداد شرکتهای معتبر پیروی از انطباق در طول سال رو به کاهش است. فقط 37٪ از این شرکت ها موفق به تکمیل سازگاری PCI خود در کل کل سال 2018 شدند.
در حالی که ممکن است برخی از شماره های CVV که در وب تاریک به عنوان fullz فروخته شده از پایگاه داده های آنلاین به سرقت رفته باشد ، این بعید است و نادر. ما باید به جای دیگری به دنبال منبع مجرمان شماره CVV بگردیم: در حملات نرم افزارهای مخرب به رایانه های شخصی و حمله به سبک Magecart به خرده فروشان و بازرگانان.
حمله به رایانه های شخصی کاربر
چهار حمله بدافزار اولیه علیه رایانه های شخصی طراحی شده است. برای سرقت جزئیات کارت اعتباری ، از جمله CVV. اینها فیشینگ ، infostealers ، keylogger ها و بدافزارهای درج مرورگر هستند.
فیشینگ مبتنی بر استفاده از مهندسی اجتماعی برای ترغیب کاربران به مراجعه به وب سایت مخرب است. این امر می تواند از طریق پیوندی پنهان شده در ایمیل ، پیوندی به وب سایت ظاهراً اما کاذب یا پیوندهای تعبیه شده در یک پیوست ، باشد. هنگامی که کاربر به وب سایت فریبنده مراجعه کرد ، از مهندسی اجتماعی بیشتر برای ترغیب قربانی برای وارد کردن اطلاعات کارت ، که اسیر شده و برای جنایتکار ارسال می شود ، استفاده می شود.
Keyloggers شامل نرم افزارهای مخرب انواع مختلفی است که می تواند تماشا کند. محرک ها (مانند دسترسی به سایت بانکی یا خرده فروش عمده) و سپس کلیدهای تایپ شده در صفحه کلید را ضبط کنید. هر گونه اطلاعات کارت به رسمیت شناخته می شود ، ضبط می شود و به مجرمان ارسال می شود.
Infostealers به طور کلی حملات سر و صدا می کنند. اگر رایانه ای آلوده باشد ، بدافزار سیستم را اسکن می کند و اطلاعات محرمانه را سرقت می کند – از جمله جزئیات پرداختی که می توانید پیدا کنید. این اغلب در عرض چند ثانیه قابل دستیابی است. infostealer های مداوم همچنین ممکن است برای فعالیت طولانی مدت ، یک keylogger را رها کنند.
بدافزار درج مرورگر به مرورگر قربانی نفوذ می کند. معمولاً فقط روی یک یا دو بانک بزرگ ملی یا خرده فروشان اصلی تمرکز دارد. هنگامی که کاربر بازدید کننده یکی از این سایت ها را تشخیص می دهد ، نسخه مخصوص فرم ورود به بانک یا فرم پرداخت جزئیات خرده فروش را همپوشانی می کند. داده های وارد شده به این اشکال یکسان اما نادرست ضبط و برای مجرم ارسال می شوند. پس از دستیابی ، اغلب با پیغام خطای واجی دنبال می شود که گفته می شود مشکل نیاز به کاربر دارد تا صفحه را تازه کند و دوباره امتحان کند. کاربر سپس معامله را به درستی انجام می دهد ، و هرگز نمی داند که جزئیات کارت به تازگی به سرقت رفته است.
اصل اصلی همه این حملات این است که جزئیات کارت – از جمله شماره CVV – می تواند به طور مستقیم از کاربر سرقت شود. یک حالت بدون رمزگذاری از نظر كيفري ، آنها براي بازگشت محدود (يك بار يك كامپيوتر) نياز به تلاش زيادي دارند ، بنابراين احتمالاً حجم خود را در حجم كامل موجود در وب حساب نكنيد. با این وجود ، با رشد بدافزارها به عنوان سرویس ، احتمالاً در سالهای آینده این حملات افزایش می یابد. این امر بیشتر تلاش مجرمان را از بین می برد و بدافزار را در دسترس مجرمان با توانایی فنی محدود قرار می دهد.
برای تعداد بیشتری از سرقت های CVV ، باید به حملات سبک Magecart علیه خرده فروشان نگاه کنیم.
Magecart [19659008] در ابتدا ماژکارتی نامی بود که برای یک باند شخصی مجرمان سایبری اعمال می شد که نوع خاصی از حمله را انجام می داد. روند حمله به دست آوردن دسترسی به سیستم پرداخت خرده فروش است ، سپس با استفاده از نرم افزارهای مخرب برای وارد کردن جزئیات کارت در زمان واقعی ، همانطور که وارد شده اند برای انجام خرید خریداری کنید. این نوع حمله به عنوان skimming وب شناخته می شود. این اطلاعات کارت پرداخت – از جمله شماره CVV – را سرقت می کند زیرا آنها به صورت ساده و قبل از رمزگذاری توسط خرده فروش وارد می شوند. کاربر و در واقع خرده فروش ، تا زمان کشف بدافزار ، چیزی در مورد سرقت نمی دانند.
روش حمله بعدا توسط بسیاری از باندهای جنایتکار دیگر کپی شد ، و اصطلاح Magecart اکنون بیشتر از هر نوع خاص ، به سبک حمله اشاره دارد. باند تصور می شود که بیش از ده ها باند مجرمان اینترنتی Magecart وجود دارد. آنها به صورت پی در پی کشف شده اند: Magecart 1، Magecart 2، Magecart 3، etc.etera.
برخی از باندهای پشت گروه های مختلف ، مجرمان سایبری دیرینه و بدنام هستند. به عنوان مثال ، تصور می شود Magecart 5 باند Carbanak است که مسئولیت برخی از بزرگترین سرقت های آنلاین در سال های اخیر را بر عهده داشته است. همچنین تصور می شود این گروه مسئول هک Ticketmaster Magecart باشد.
نقض Ticketmaster در سال 2018 یک حمله زنجیره تامین بود. Magecart 5 اولین بار Inbenta ، تهیه کننده نرم افزار شخص ثالث Ticketmaster را نقض کرد. از آنجا توانست کد خود را به JavaScript سفارشی مورد استفاده در فرآیند دریافت پرداخت Ticketmaster اضافه کند. این اسکریپت بارگیری و مورد استفاده قرار گرفت و نزدیک به 40،000 جزئیات پرداخت کاربر را دزدید.
حمله به زنجیره تأمین یک رویکرد رایج اما تعریف نشده است که در حملات Magecart مورد استفاده قرار می گیرد. در سال 2019 ، یک حمله Magecart یک بستر تجارت الکترونیکی (PrismWeb) را که به فروشگاه های کالج های کالج های دانشگاه های ایالات متحده و کانادا خدمت می کرد به خطر انداخت. کد اسکیت مخرب به کتابخانه های جاوا اسکریپت که توسط فروشگاه های انفرادی استفاده می شد ، تزریق شد – و بیش از 200 فروشگاه دانشگاه در 176 دانشگاه در سراسر ایالات متحده و 21 مورد در کانادا متعاقباً آلوده شدند.
حمله به بریتیش ایرویز در سال 2018 زنجیره تأمین نبود. حمله کرد ، اما رویکرد لاغری وب Magecart را حفظ کرد. محققان RiskIQ توضیح دادند: "Magecart یک زیرساخت سفارشی و هدفمند را تنظیم کرده است که به طور خاص با وب سایت British Airways مخلوط شود و تا حد امکان از شناسایی جلوگیری کند." وی گفت: "در حالی که ما هرگز نمی توانیم بدانیم که مهاجمان چه مقدار به سرورهای British Airways دسترسی داشته اند ، این واقعیت که آنها قادر به تغییر منبعی برای سایت بودند ، به ما می گوید دسترسی قابل ملاحظه بود و این واقعیت که آنها احتمالاً مدتها قبل از حمله دسترسی داشتند آغاز شده یک یادآوری دقیق در مورد آسیب پذیری دارایی های تحت وب است. "
ادعا شده است که تاکنون 500000 مشتری بریتیش ایرویز از این نقص متاثر شده اند – و تنظیم کننده محافظت از داده های انگلیس متعاقباً شرکت را تقریباً 230،000 دلار جریمه کرد. امنیت ضعیف آن.
اگر تعداد کارت های اعتباری – از جمله شماره CVV – را که می تواند در یک حمله Magecart به هدف قرار دادن رایانه های شخصی به سرقت برود ، مقایسه کنید ، به نظر می رسد که اکثر جزئیات کارت اعتباری fullz موجود در احتمالاً وب تیره توسط باندهای مختلف Magecart به سرقت رفته است. این حملات ادامه دارد و احتمالاً در طول سال 2020 افزایش می یابد.
نحوه ایمن ماندن
محافظت از اطلاعات کارت پرداخت ما دشوار است. ما می توانیم از رایانه شخصی خود دفاع کنیم اما هیچ کاری در مقابل حملات علیه خرده فروشان نمی توانیم انجام دهیم.
برای رایانه های شخصی خود ما باید از یک محصول ضد ویروس خوب و به روز استفاده کنیم. این امر باعث کشف و مسدود شدن بسیاری از بدافزارها می شود. ما باید هوشیار باشیم و تلاشهای فیشینگ را بشناسیم و نادیده بگیریم. و ما باید مرورگر خود را کاملاً مرتب نگه داشته و / یا استفاده از یک مرورگر ایمن تر را در نظر بگیریم.
هیچ کاری نمی توانیم انجام دهیم شخصاً برای جلوگیری از حملات Magecart علیه خرده فروش ، غیر از آگاهی و آماده سازی. به شرکتها گفته می شود که تخلف کرده اند یا تخلف کرده اند و یک برنامه واکنش حوادث را تهیه می کنند. ما باید یک رویکرد مشابه را اتخاذ کنیم – فرض کنید جزئیات پرداخت ما به سرقت می رود و می دانیم وقتی در مورد آن می آموزیم چه کاری انجام دهیم. ما می توانیم برای خرید آنلاین از حسابهایی استفاده کنیم که پول بیشتری را از آن رو نتوانیم از دست بدهیم. ما می توانیم حسابهای بانکی خود را کنترل کنیم تا ببینیم آیا خریدهایی انجام شده است که ما آن را تشخیص نمی دهیم. و می توانیم به طور منظم به نمرات اعتباری خود توجه داشته باشیم.
