با پیشرفت دنیای تکنولوژی، هک کارت های بانکی غیر ممکن نیست و اطلاعات بانکی افراد همیشه در معرض خطر بوده است. به تازگی تحقیقات جدیدی هم در مجله دانشگاهی IEEE Security & Privacy منتشر شده که نشان می دهد شماره کارت، تاریخ انقضا و کد امنیتی هر ویزا کارت یا کارت های اعتباری و نقدی در کمتر از 6 ثانیه هک می شوند. هک کارت های بانکی به این روش چیزی فراتر از حدس و گمان نیست.
این روش که به اصطلاح حمله بروت فورس (Brute Force) نامیده شده می تواند تمام ویژگی های امنیتی را که برای جلوگیری از کلاهبرداری در پرداخت های آنلاین طراحی شده، دور بزند!
محققان دانشگاه نیوکاسل انگلستان اعلام کردند که در سیستم پرداخت ویزا نقص هایی وجود دارد که نه شبکه و نه بانکها نمی توانند هویت هکرها، که بارها تلاش کردند اطلاعات کارت بانکی را هک کنند، تشخیص دهند. هکرها می توانند بطور خودکار و بصورت سیستمی با ایجاد تغییرات مختلف در اطلاعات امنیتی کارت و وارد کردن آن در چندین سایت، تنها در کمتر از چند ثانیه همه اطلاعات مورد نیاز را تایید کنند.
پژوهشگران بر این باورند که از حمله بروت فورس هم احتمالا در حمله سایبری بانک تسکو Tesco استفاده شده است. روشی که اگر یک لپ تاپ و اینترنت داشته باشید به راحتی قابل انجام است. آن ها در ادامه گفتند که خرید هدیه های کریسمس بصورت آنلاین در این زمان از سال خطرناک است.
ضعف های امنیتی در سیستم های بانکی که موجب هک کارت های بانکی می شود
این نوع حمله از دو ضعف امنیتی سوء استفاده می کند که به خودی خود خیلی جدی نیستند اما وقتی در کنار هم استفاده شوند، خطری برای کل سیستم پرداخت ایجاد می کند.
سیستم پرداخت آنلاین درخواست های پرداخت نامعتبر را از چندین وبسایت مختلف تشخیص نمی دهد. در این صورت تعداد حدس های مجاز برای وارد کردن اطلاعات کارت بدون محدودیت می شود (معمولا وارد کردن اطلاعات هر کارتی در هر وبسایت بین 10 تا 20 حدس مجاز است.)
نقص دوم به این صورت است که سایت های مختلف برای تایید هر خرید آنلاین موارد متفاوتی از اطلاعات کارت را درخواست می کنند. این به این معنی است که به راحتی و مانند یک پازل می توان اطلاعات کارت های بانکی را جمع آوری کرد.
حدسهای نامحدود، زمانی که با تغییر در اطلاعات پرداخت ترکیب شوند، باعث می شود هکرها به راحتی تمامی جزئیات اطلاعات کارت را بدست آورند. آن ها با استفاده از اطلاعات کارت های تایید شده به ترتیب موفق به یافتن اطلاعات کارت های بعدی می شوند.
بنابراین یک هکر می تواند بدون هیچ اطلاعات خاصی _ با 6 رقم اول کارت بانکی که بانک و نوع کارت را مشخص می کند و برای هرکارتی یکسان است _ سه بخش مهم اطلاعات کارت بانکی شما را در 6 ثانیه برای یک خرید آنلاین هک کند.
محمد علی، دانشجوی دکترا در دانشکده علوم کامپیوتر نیوکاسل
چگونه هک کارت های بانکی با بروت فورس انجام می شود؟
این نوع هک سایت های پرداخت آنلاین برای بدست آوردن اطلاعات کارت از طریق بروت فورس استفاده می کند. نتیجه تراکنش مشخص می کند که حدس درست بوده یا نادرست.
سایت های مختلف برای اعتبارسنجی خرید موارد متفاوتی را درخواست می کند که به سه بخش تقسیم می شود:
- شماره کارت + تاریخ انقضا ( بسیار بندرت)
- شماره کارت + تاریخ انقضا و CVV ( کد سه رقمی امنیتی)
- شماره کارت + تاریخ انقضا و CVV
تیم تحقیقاتی دریافتند که تنها شبکه ویزا کارت آسیب پذیر است. در مقایسه با سیستم پرداخت ویزا کارت، شبکه مرکزی مسترکارت توانست حمله بروت فورس را بعد از کمتر از 10 بار تلاش کردن حتی در سایت های دیگر در چندین شبکه تشخیص دهد. بسیاری از هکر ها ابتدا شماره کارت معتبر را بدست می آورند اما حتی بدون داشتن شماره کارت هم ایجاد شماره کارت های مختلف نسبتا آسان است. آن ها اطلاعات را برای تایید اعتبار در چندین سایت وارد می کنند.
مرحله بعدی هک حساب بانکی، تاریخ انقضا است. بانک ها به طور معمول کارت هایی را صادر می کنند که 60 ماه اعتبار دارند، بنابراین بروت فورس تاریخ تا حداکثر 60 تلاش امکان پذیر است.
آخرین گزینه برای حفاظت از سرمایه شما کد سه رقمی CVV است که فقط دارنده کارت آن اطلاعات را دارد. این کد جای دیگری ذخیره نمی شود.
اما برای حمله به منظور حدس زدن این سه رقم 1000 بار مجاز هستید تا آن را در سایت های مختلف وارد کنید. احتمالا یکی از این کدها که برای هک حساب بانکی لازم دارید، در کمتر از 4 ثانیه تایید خواهد شد.
چگونه از هک حساب بانکی جلوگیری کنیم؟
یک پرداخت آنلاین موفق یا تراکنش بدون کارت، به وارد کردن اطلاعاتی بستگی دارد که تنها صاحب کارت آن را می داند.
متاسفانه هیچ جلیقه نجاتی وجود ندارد اما درصورتی که در معرض هک شدن باشیم می توانیم با گام هایی ساده تاثیرات هک را به حداقل برسانیم. به عنوان مثال تنها از یک کارت برای خریدهای آنلاین استفاده کنید و موجودی حساب را تا پایین ترین حد مجاز آن نگه دارید. درصورتی که کارت شما متصل به حساب بانکی است، در صورت لزوم مقداری را که نیاز دارید به کارت خود انتقال دهید. به علاوه مرتبا صورت حساب و موجودی خود را بررسی کنید و مراقب پرداخت های مشکوک باشید.
البته تنها راه مطمئن برای جلوگیری از هک شدن، پنهان کردن پول ها در تشک تان است و این چیزی نیست که من توصیه می کنم!
مدیر دانشگاه نیوکاسل انگلستان