مجرمان سایبری با استفاده از روشهای قدیمی و جدید، در حال سرقت اطلاعات کارتهای پرداخت مشتریان از خردهفروشان هستند. با نزدیک شدن به شلوغترین دوره خرید سال، خردهفروشان آنلاین و آفلاین و همچنین مصرفکنندگان با ریسکهایی برای امنیت دادههای کارتهای پرداخت خود در سرتاسر جهان مواجه هستند.
در سال 2023، حملات فرمجکینگ به شدت افزایش یافته است؛ به طوری که شرکت سیمانتک بین اواسط سپتامبر تا اواسط نوامبر نزدیک به 700,000 تلاش برای فرمجکینگ را مسدود کرده است. این افزایش حملات فرمجکینگ یکی از بزرگترین خطرات سال 2023 است، جایی که مهاجمانی مانند Magecart از حملات زنجیره تأمین و دیگر تاکتیکها برای تزریق اسکریپتهای مخرب به وبسایتها استفاده میکنند تا اطلاعات کارتهای پرداخت را به سرقت ببرند.
حملات به سیستمهای POS در فروشگاههای فیزیکی نیز در سال جاری مشاهده شده است، هرچند هیچکدام به اندازه نقضهای عظیم اوایل این دهه که دهها میلیون کارت اعتباری در یک نقض به خطر افتاده بودند، نبوده است.
پوزها نقطه اصلی تهدید در حملات سایبری
بر اساس تحقیقات اخیر تیم مدیریت اطلاعات و تهدیدات سیمانتک (MATI) که در گزارش MATI تحت عنوان چگونگی کسب درآمد مجرمان سایبری از دسترسی غیرمجاز به سیستمهای PoS و دادههای کارتهای سرقت شده منتشر شده است، در بازارهای دارک وب، هکرها دسترسی به سیستمهای PoS را با قیمتهایی از 12 دلار برای دسترسی اداری به یک دستگاه PoS تا 60,000 دلار برای دسترسی به یک شبکه شرکتی بزرگ که هزاران سرور و پایانه PoS را در بر میگیرد، تبلیغ میکنند. در همین حال، بسته به کیفیت آن، دادههای کارتهای پرداخت در دارک وب بین 1 تا 175 دلار به ازای هر کارت فروخته میشود.
تکنیکهایی که توسط هکرهای PoS استفاده میشود همچنان ساده باقی مانده و در چند سال اخیر به طور چشمگیری تغییر نکرده است. این کلاهبرداران همچنان از بدافزار RAM-scraping برای سرقت جزئیات کارتهای پرداخت استفاده میکنند.
بدافزار RAM-scraping به دلیل نحوه جابجایی دادهها در سیستمهای خردهفروشی کار میکند. خردهفروشان معمولاً از رمزنگاری در سطح شبکه در داخل شبکههای داخلی خود برای محافظت از دادهها در حین جابجایی بین سیستمها استفاده میکنند. با این حال، شماره کارتهای پرداخت همیشه در خود سیستمها رمزنگاری نمیشوند و همچنان میتوان آنها را در حافظه سیستمهای PoS و دیگر سیستمهای کامپیوتری که مسئول پردازش یا انتقال دادهها هستند، یافت.
این ضعف به مهاجمان اجازه میدهد تا با استفاده از بدافزار RAM-scraping این دادهها را از حافظه خارج کنند در حالی که دادهها در داخل ترمینال پردازش میشوند و نه در حین جابجایی از طریق شبکه.
گروههای جرایم سایبری PoS
دو هکر برجسته در زمینه بدافزار PoS عبارتند از FIN7 و FIN6. گروه FIN7 که به سرقت بیش از 1 میلیارد دلار از شرکتهای سراسر جهان مشهور است، از ایمیلهای فیشینگ پیشرفته استفاده میکند تا اهداف خود را متقاعد کند پیوستهای آلودهای را دانلود کنند که سپس شبکه شرکتها را به بدافزار آلوده میکند. بدافزاری که FIN7 اغلب از آن استفاده میکند، نسخهای سفارشی از بدافزار Carbanak است که در حملات متعددی به بانکها استفاده شده است. شرکتهایی که توسط FIN7 مورد هدف قرار گرفتهاند شامل برندهای معروفی مانند Chipotle، Chilli’s و Arby’s هستند و گروه FIN7 احتمالاً هزاران مکان تجاری را به خطر انداخته و میلیونها شماره کارت اعتباری را سرقت کرده است.
گروه FIN6 نیز اولین بار در سال 2016 مشاهده شد، زمانی که از درپشتی Grabnew و بدافزار FrameworkPOS برای سرقت جزئیات بیش از 10 میلیون کارت اعتباری استفاده کرد. این گروه در سال 2018 نیز فعال بود و از ابزارهای living off the land مانند Windows Management Instrumentation Command (WMIC) و چارچوب Metasploit برای اجرای دستورات PowerShell استفاده کرد.
هر دو گروه FIN7 و FIN6 معتقدند که با فروش جزئیات کارتهای سرقت شده در بازارهای دارک وب، میلیونها دلار درآمد کسب کردهاند و بازار Joker’s Stash به نظر میرسد که جایی است که اکثر این معاملات در آن انجام میشود.
عوامل جدید مؤثر بر حملات پوزها POS
با این حال، چندین عامل درسال های اخیر ظاهر شدهاند که ممکن است بر محیط حملات PoS و فعالیت این گروهها تأثیر بگذارند:
دستگیری سه عضو FIN7: در اوت سال 2020، وزارت دادگستری ایالات متحده کیفرخواستهایی را علیه سه شهروند صادر کرد که ادعا میکرد اعضای FIN7 هستند. با اینکه فعالیت FIN7 از زمان این دستگیریها ادامه داشته است، اما این دستگیریها میتواند تأثیری بر فعالیت این گروه در آینده داشته باشد.
افزایش استفاده از چیپ و چیپ-و-پین: افزایش استفاده از فناوریهای چیپ و چیپ-و-پین در ایالات متحده و جهان توسط صادرکنندگان کارتهای پرداخت، دسترسی به اطلاعات کارتهای پرداخت “قابل استفاده” را در بازارهای مجرمانه کاهش داده است. اگر یک هکر سیستم PoS را که 50 درصد کارتهای آن از چیپ-و-پین استفاده میکند به خطر بیاندازد، فقط 50 درصد از کارتها برای آنها قابل استفاده یا فروش خواهند بود. با گسترش فناوری چیپ-و-پین در سراسر جهان و کاهش تعداد سیستمهای PoS که میتوانند دادههای کارتی را تولید کنند که بازیگران تهدید بتوانند از آنها بهرهبرداری کنند، کارشناسان MATI سیمانتک معتقدند که قیمت دسترسی غیرمجاز به PoS کاهش خواهد یافت، در حالی که اطلاعات کارتهای سرقت شده قابل استفاده به دلیل کمیاب شدن، ارزش بیشتری پیدا خواهند کرد.
ظهور هکر جدید Fleahopper
یکی از هکرهای جدید که در سال 2018 در حملات مخرب به سیستمهای PoS دیده شده است، گروهی است که ما آن را Fleahopper نامیدهایم. این گروه از حداقل ژوئیه 2017 فعال بوده و به نظر میرسد انگیزه مالی دارد و با سرقت اطلاعات از ماشینهای آلوده به نرمافزار PoS، قربانیان خود را هدف قرار میدهد.
در نیمه دوم سال 2018، Fleahopper مشاهده شده است که از botnet Necurs برای آلوده کردن قربانیان استفاده میکند. این کار را به دو روش انجام میدهد: از طریق باتهای Necurs و از طریق ایمیل اسپم که احتمالاً از botnet Necurs منشأ گرفته است. سیمانتک مشاهده کرده است که Fleahopper بدافزار را به طور مستقیم از طریق باتهای Necurs به ماشینهای آلوده به Necurs منتقل میکند. ماشینهایی که به Necurs آلوده نشدهاند ممکن است همچنان از طریق اسپمهایی که از botnet Necurs ارسال میشود، توسط Fleahopper آلوده شوند.
ایمیلهای اسپم که بدافزار Fleahopper را منتقل میکنند، با فایلهای مخرب Microsoft .pub همراه هستند. این فایلهای .pub نصاب بدافزار Trojan.FlawedAmmyy را دانلود میکنند. این تروجان نسخهای تغییر یافته از ابزار دسترسی از راه دور عمومی Ammyy Admin (Remacc.Ammyy) است. اگرچه تروجان FlawedAmmyy به طور اختصاصی به Fleahopper تعلق ندارد، اما مشاهده شده است که این گروه از آن برای انتقال ابزارهای خود استفاده میکند.
در نتیجه، به نظر میرسد که امسال نه تنها برای خردهفروشان و مصرفکنندگان، بلکه برای مجرمان سایبری نیز فصلی پررونق است. با افزایش تهدیدات هم به صورت آنلاین و هم آفلاین، خردهفروشان باید از سیستمهای خود در برابر این حملات حفاظت کنند و مصرفکنندگان نیز باید در حفاظت از اطلاعات کارتهای پرداخت خود بیشتر احتیاط کنند. آلما شبکه نماینده شرکت سیمانتک Symantec در ایران با مدیریت آقای وحید فوائدی آماده ارائه انواع راهکارهای امنیتی بر پایه نرم افزارهای شرکت سیمانتک میباشد.