رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1398-06-10 08:56
تنظیم اندازه قلم

پ

4:02
کد خبر: 144234

شورای استاندارد امنیت داده به سازمان‌ها در مورد تهدید رو به افزایش کلاهبرداری و سرقت بوسیله کپی برداری از کارت عابر بانک بصورت آنلاین هشدار می‌دهد.

PCI SSC ‌شورای استانداردهای امنیتی صنعت کارت اعتباری پرداخت‌ هشدار داده است‌، سازمان‌هایی که پرداخت‌های آنلاین را قبول می‌کنند‌‌، باید فوراً تهدید اسکیمینگ یا کلاهبرداری از طریق کپی برداری از کارت‌های اعتباری در اینترنت را برطرف کنند.

این هشدار‌، که با همکاری شرکت به اشتراک گذاری و تجزیه و تحلیل اطلاعات یا ‌ISAC‌ یک سازمان غیرانتفاعی است که یک منبع اصلی برای جمع آوری اطلاعات در مورد تهدیدات سایبری به زیرساخت‌های مهم و فراهم آوردن به اشتراک گذاری دو طرفه از اطلاعات بین بخش خصوصی و دولتی فراهم می‌کند: centrhttps: //rhisac.org/‌ صادر شده است‌، افزایش اخیر حملات بدافزار را به وب سایت‌های تجارت الکترونیکی را برای به دست آوردن داده‌ها و اطلاعات کارت‌های اعتباری پرداخت مورد بررسی قرارداده است.

احتمال زیادی وجود دارد که سازمان‌ها و افرادی که هنوز آگاه نیستند به خطر بیافتند‌، زیرا این حملات به گونه‌ای طراحی شده‌اند که ممکن است توجه کمتری به خودشان جلب کنند.

کپی برداری آنلاین چگونه کار می‌کند؟

102939759_127359212dfbcc.jpg

 skimming  یا کلاهبرداری آنلاین نوعی از روش جنایی است که برای دستیابی به اطلاعات کارت پرداخت استفاده می‌شود. تا همین اواخر‌، بیشتر با تقلب فیزیکی همراه بود‌، که در آن مجرمان از وسیله‌ای ‌اسکیمر استفاده می‌کنند که با کارت پرداخت قربانی در تعامل است.

 یکی از متداول‌ترین روش‌های اسکمیینگ‌، قرار دادن کارت خوان تکراری در بالای شکاف کارت پرداخت ATM است. پس از ورود کارت به دستگاه‌، مجرمان می‌توانند جزئیات کارت را کپی برداری کنند.

این خواننده یا کپی بردار به طور معمول با یک دوربین سوراخ دار یا صفحه کلید تکراری قرار داده شده روی دستگاه زوج کار می‌کند  تا کلاهبرداران بتوانند پین مشتری را وارد کنند.

کپی برداری آنلاین به همان روش کار می‌کند‌، مگر اینکه دستگاه خودپرداز با فرم پرداخت آنلاین جایگزین شود و وسیله اسکیمر یا خواننده فیزیکی با کد مخرب جایگزین شود.

Magecart به حملات سایبری اشاره دارد که در آن هکرها کد رایانه‌های مخرب را به وب سایت‌ها و تأمین کنندگان شخص ثالث سیستم‌های دیجیتالی وارد می‌کنند تا اطلاعات کارت اعتباری را به محض ورود افراد به صفحه پرداخت به سرقت برسانند‌. اعتقاد بر این است که تعدادی از نقض اطلاعات اخیر مانند Ticketmaster ‎/ British Airways بخشی از چنین عملیات اسکیمینگ یا کپی برداری از کارت اعتباری است.

 این بدافزارهای ناخوشایند مانند JS Sniffer ‎/ Magecart هدف قرار دادن شرکت‌های میزبان وب / شرکت‌های توسعه شخص ثالث است که کد‌هایی را برای شرکت‌های تجارت الکترونیکی ایجاد می‌کند. وقتی هکرها درون کد قرار بگیرند می‌توانند کد را دستکاری کرده و سایر وب سایت‌های موجود در محیط را که روی سایر وب سایت‌ها و کاربران آن تأثیر می‌گذارد آلوده کنند.

این بدافزارها برای استخراج جزئیات کارت اعتباری از سبدهای خرید و فرم‌های شناخته شده هستند. هنگامی که مشتریان جزئیات کارت پرداخت خود را وارد می‌کنند‌، این بدافزار اطلاعات را ‌اسکیم یا کپی برداری می‌کند. معامله به صورت عادی ادامه می‌یابد و نه سازمان و نه مشتری متوجه چیزی نمی‌شوند.

تنها راه برای گفتن این است که اگر سازمان ارزیابی دقیقی از رویه‌های امنیتی خود انجام دهد یا مشتری متوجه تقلب در پرداخت حساب‌های خود شود. و تا آن زمان‌، خیلی دیر شده است.

سازمان‌ها چگونه آلوده می‌شوند؟

 روش‌های زیادی وجود دارد که وب سایت سازمان‌ها را می‌تواند آلوده کند. PCI SSC شورای امنیت وتجزیه و تحلیل اطلاعات اعتباری موارد زیر را مطرح می‌کند:

آسیب پذیری‌های افزونه‌؛
 تلاش‌های ورود به سیستم ناخواسته ‌پر کردن اعتبار‌،
کلاهبرداری فیشینگ و سایر تکنیک‌های مهندسی اجتماعی.
و برنامه‌های هدفمند برنامه‌های شخص ثالث‌، مانند اسکریپت‌های تبلیغاتی‌، عملکردهای چت زنده و ویژگی‌های رتبه بندی مشتری.

هر سازمانی که پرداخت‌های آنلاین را انجام دهد در معرض خطر است و افرادی که آلوده هستند اغلب طی روزها دوباره مورد هدف قرار می‌گیرند. بنابراین آن‌ها باید برای ایمن سازی سیستم‌های آسیب دیده مراقبت‌های بیشتری انجام دهند و از آسیب پذیری‌های اساسی در آن‌ها جلوگیری کنند تا از برقراری مجدد جلوگیری شود.

N83000835-72491242.jpg

نحوه شناسایی کپی برداری آنلاین

PCI DSS استاندارد امنیت داده های صنعت کارت اعتباری پرداخت مواردی را که سازمان‌ها نیاز به شناسایی کپی برداری بصورت آنلاین دارند‌، تشریح می‌کند. آن‌ها باید روی این موضوع تمرکز کنند:

 بررسی کد به منظور شناسایی آسیب پذیری‌ها‌؛ استفاده از ابزارهای ارزیابی امنیت آسیب پذیری برای آزمایش برنامه‌های کاربردی وب و آسیب پذیری‌ها ؛
ورود به سیستم حسابرسی و بررسی گزارش‌ها و رویدادهای امنیتی برای کلیه مؤلفه‌های سیستم برای شناسایی فعالیت مشکوک‌؛
 اجرای نرم افزار نظارت بر یکپارچگی پرونده یا نرم افزار تغییر‌ شناسایی داخلی؛
و اسکن آسیب پذیری شبکه‌های خارجی.
و آزمایش‌های نفوذ برای شناسایی نقاط ضعف امنیتی.

سازمان‌ها همچنین باید از این فرصت استفاده کنند تا خدمات شخص ثالثی که از آن‌ها استفاده می‌کنند را بررسی کنند.

خوب نیست که بگویید شما مقصرنقض نیستید زیرا آسیب پذیری در یک ارائه دهنده خدمات رخ داده است. سازمان‌ها مسئول کسانی هستند که با آن‌ها کار می‌کنند‌، بنابراین آن‌ها فقط باید از ارائه دهندگان خدمات مورد اعتماد خود استفاده کنند.

خود را از کپی برداری آنلاین محافظت کنید

 به عنوان یک ارائه دهنده تست امنیتی با اعتبار CREST و یک شرکت معتبر PCI QSA ‌ارزیابی امنیتی واجد شرایط‌‌، مدیریت فناوری اطلاعات می‌تواند به تمام نیازهای شما در زمینه PCI DSS کمک کند.
 

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط