مجرمان سایبری چگونه از کارت های بانکی سرقت می کنند و چگونه باید در برابر چنین سرقتی محافظت کنید؟

ما بررسی می کنیم که چرا کارت های تراشه دار (کارت های هوشمند) درمان همه چیز نیستند و چه اقدامات احتیاطی باید هنگام پرداخت انجام شود.

خدمات پرداخت در سال‌ های اخیر راحت‌ تر و ایمن تر شده اند، اما مجرمان سایبری همچنان موفق به سرقت پول از کارت ها در سراسر جهان می شوند. رایج ترین روش های استفاده شده برای چنین سرقت هایی چیست و چگونه می توان با آن ها مقابله کرد؟

زمانی که کارت ها اطلاعات را فقط روی یک نوار مغناطیسی ذخیره می‌ کردند، تهیه یک کپی دقیق از کارت برای کلاهبرداران بسیار آسان بود و از آن برای پرداخت در فروشگاه ها و برداشت از دستگاه های خودپرداز (ATM) استفاده می کردند. در ابتدا، داده ها با یک دستگاه خاص خوانده می شد - یک اسکیمر (Skimmer)¹ که روی یک دستگاه خودپرداز یا پایانه فروشگاه (POS) نصب شده بود. این فرایند توسط یک دوربین یا یک پد مخصوص روی صفحه کلید پایانه برای پیدا کردن پین کد کارت تکمیل می شد. کلاهبرداران پس از به دست آوردن یک کارت خالی (Card Dump)² و یک پین، داده ها را روی کارت خالی می نوشتند و از آن در دستگاه خودپرداز یا پایانه‌ فروشگاه استفاده می کردند.

این فناوری هنوز در برخی از نقاط جهان کار می کند، اما ظهور کارت های تراشه دار کارایی آن را تا حد زیادی کاهش داده است. کپی کردن کارت تراشه دار چندان کار آسانی نیست. به همین دلیل است که مجرمان با کد مخربی شروع به آلوده کردن پایانه‌ های پرداخت کردند که برخی از داده‌ های کارت را در حین پردازش یک خرید قانونی کپی می‌ کند. متعاقبا، کلاهبرداران با استفاده از این اطلاعات درخواست های پرداخت را ارسال می کنند. در اصل، آن ها فقط داده هایی را ارسال می کنند که قبلا روی نوار مغناطیسی ثبت شده اند، اما تراکنش را به عنوان "انجام شده توسط تراشه" برچسب می زنند. این زمانی امکان پذیر است که بانک ها پارامترهای مختلف تراکنش را با جزئیات کافی ارجاع ندهند و پروتکل های EMV (که همه اقدامات کارت تراشه دار باید از آن پیروی کنند) را به درستی پیاده‌ سازی نکنند.

در برابر بانک هایی که چنین اشتباهاتی را انجام نمی دهند، مهاجمان از یک ترفند پیچیده تر استفاده می کنند. هنگامی که قربانی یک پرداخت قانونی انجام می دهد، پایانه پرداخت آلوده درخواست می کند که کارت درج شده یک تراکنش جعلی دیگر ایجاد کند. بنابراین، خود کارت کپی نمی شود، اما به هر حال پول اضافی از آن کسر می شود.

چگونه از خود محافظت کنید: سعی کنید از پرداخت بدون تماس (Contactless Payment)³ که محافظت بهتری دارد، در گوشی خود استفاده کنید. اگر همچنان نیاز به قرار دادن کارت در پایانه دارید، پنل پین کد را برای تغییرات مشکوک با دقت بررسی کنید. همچنین هنگام وارد کردن کد، پنل را با دست، کیف یا اشیای دیگر بپوشانید. اگر پایانه به طور ناگهانی پرداخت بدون تماس را نپذیرد، پیام های غیر عادی روی صفحه نمایش آن ظاهر می شود یا پین کد باید مکررا وارد شود، این ها دلایلی برای مشکوک بودن و انجام اقدامات حفاظتی اضافی است. به عنوان مثال، می توانید بلافاصله صورت حساب خود را بررسی کنید یا برای خرج کردن پول، حد پایینی روی کارت تعیین کنید.

در اینجا، کلاهبرداران به دنبال جزئیات کارت بانکی هستند تا بتوانند پرداخت‌ های خود را به صورت آنلاین انجام دهند. این ها معمولا شامل شماره کارت، تاریخ انقضا و کد تایید (CVV/CVC) می شوند. همچنین بسته به کشور، ممکن است نام دارنده کارت، کد پستی یا شماره گذرنامه نیز جستجو شود. حداقل سه روش موثر برای جمع آوری این داده ها توسط کلاهبرداران وجود دارد:

• فریب دادن قربانی با سازماندهی یک فروشگاه اینترنتی جعلی، یک کپی فیشینگ از یک فروشگاه آنلاین واقعی یا به بهانه جمع آوری پول برای امور خیریه.
• رهگیری اطلاعات با آلوده کردن صفحات وب فروشگاه آنلاین واقعی (اسکیمرهای وب) یا کامپیوتر و گوشی هوشمند قربانی (تروجان بانکی).
• هک کردن یک فروشگاه آنلاین واقعی و سرقت اطلاعات کارت مشتری که زمان پرداخت در آن سایت ذخیره شده است. توجه داشته باشید که قرار نیست فروشگاه ها اطلاعات کامل کارت را نگه دارند، اما متاسفانه گاهی این قانون نقض می شود.

به طور کلی، اگرچه این روش سرقت قدیمی است، اما همچنان باقی خواهد ماند؛ به عنوان مثال، طبق تجزیه و تحلیل ما، حملات سرقت اطلاعات بانکی در سال 2022 تقریبا دو برابر شده است.

چگونه از خود محافظت کنید: ابتدا یک کارت مجازی برای پرداخت های آنلاین بگیرید. اگر خیلی سخت یا گران نیست، یک کارت مجازی جدید صادر کنید و حداقل سالی یک بار کارت قدیمی را مسدود کنید. دوم، برای کارت پرداخت آنلاین خود حد پایینی تعیین کنید، یا فقط مقدار بسیار کمی پول در آن نگه دارید. سوم، مطمئن شوید که بانک همیشه از شما می خواهد پرداخت های آنلاین را با کد یکبار مصرف (OTP) تایید کنید. و چهارم اینکه فرم های پرداخت و آدرس سایت هایی که اطلاعات مالی خود را در آن وارد می کنید به دقت بررسی کنید. برای نگرانی کمتر، از ابزارهای امنیت سایبری استفاده کنید که با خیال راحت از پرداخت های آنلاین محافظت می کنند.
آنتی ویروس های ایست اینترنت سکیوریتی (ESET Internet Security)، ایست موبایل سکیوریتی برای اندروید (ESET Mobile Security for Android)، کسپرسکی توتال سکیوریتی (Kaspersky Total Security)، کسپرسکی اینترنت سکیوریتی (Kaspersky Internet Security) و کسپرسکی اینترنت سکیوریتی برای اندروید (Kaspersky Internet Security for Android) همگی قابلیت حفاظت از بانکداری و پرداخت را دارند و به شما کمک می کنند تا جزئیات کارت ها و حساب های بانکی خود را امن نگه دارید.
شما می توانید برای خرید لایسنس اورجینال ایست (نود 32) به فروشگاه آنلاین نود 32 و برای خرید لایسنس اورجینال کسپرسکی به فروشگاه آنلاین کسپرسکی مراجعه نمایید.

این قابل توجه ترین و آشکارترین روش سرقت است، اما هنوز هم رایج است. مجرمان باهوش می توانند با پیدا کردن فروشگاه آنلاینی که نیازی به وارد کردن کدهای تایید اضافی ندارد، از کارت ها برای پرداخت های آنلاین استفاده کنند. یک راه ساده تر، استفاده از کارت سرقت شده برای پرداخت بدون تماس است که نیازی به وارد کردن پین ندارد. معمولا برای پرداخت هایی که از این طریق انجام می شود محدودیتی وجود دارد. در برخی کشورها پس از سه تا پنج پرداخت، کارت مسدود می شود، اما برای مثال در انگلستان، خسارات قربانی از این روش سرقت به راحتی می تواند به 500 پوند (5 × 100 پوند) برسد. یک گوشی همیشه برای سارقان ارزشمند است و اگر گوگل پی (Google Pay) را فعال کرده باشد، امکان پرداخت حتی از یک گوشی مسدود شده در محدوده مجاز پرداخت، وجود دارد که باعث ضرر بیشتر قربانی می‌ شود.

محققان امنیتی نشان داده اند که حتی اگر کارتی پس از سه بار وارد کردن پین اشتباه مسدود شود، باز هم گاهی اوقات امکان پرداخت بدون تماس وجود دارد. مهاجم همچنین می تواند برخی از داده ها را با یک گوشی مسدود شده مبادله کند و سپس از سوابق تغییر یافته آن تبادل برای انجام پرداخت‌ های جعلی یک باره استفاده کند. خوشبختانه، هر دو نوع حمله توسط محققان شناسایی شده اند، بنابراین امیدواریم که کلاهبرداران هنوز از این روش ها استفاده نکرده باشند.

چگونه از خود محافظت کنید: بهترین کار این است که محدودیت های نسبتا کمی برای کارت‌ ها جهت استفاده روزانه تعیین کنید. اگر بانک شما اجازه می دهد، می توانید به طور جداگانه یک حد پایینی برای پرداخت های بدون تماس تعیین کنید. البته، باید مطمئن شوید که در صورت نیاز می توانید حد آن را به سرعت افزایش دهید. از طرف دیگر، می توانید یک کارت مجازی با محدودیت‌ های کم داشته باشید و گوگل/اپل/سامسونگ پی را به آن لینک دهید. اگر می توان برنامه پرداخت را طوری تنظیم کرد که فقط از طریق گوشی مسدود نشده امکان پرداخت را فراهم کند، حتما این تنظیمات را انجام دهید.

در آخر، متذکر می شویم: قوانینی در بسیاری از کشورها در حال ظهورند که به موجب آن قربانیان به طور جزئی یا کامل برای کلاهبرداری غرامت می گیرند. برای استفاده از این مزیت، توصیه می‌ کنیم در پرداخت های کارتی مراقب باشید، سریع‌ ترین راه را برای اطلاع از آن ها (هشدار یا پیامک) تنظیم کنید و در صورت مشاهده هرگونه تراکنش‌ مشکوک در اسرع وقت با بانک خود تماس بگیرید.

_{1- کلمه اسکیم به معنای سریع خواندن است، مجرمان از دستگاه ‌های مختلفی به نام اسکیمر برای سرقت اطلاعات استفاده می کنند. این معمولا هنگام انجام تراکنش‌ در دستگاه های خودپرداز یا پرداخت در پایانه هایی که از قبل دستکاری شده اند، انجام می ‌شود.
2- تخلیه کارت نوعی جرم است که در آن مجرم یک کپی دیجیتال غیرقانونی و غیرمجاز از یک کارت تهیه می کند.
3- پرداخت بدون تماس، پرداخت‌ سریعی است که نیازی به تماس فیزیکی بین کارت (یا گوشی هوشمند) خریدار و پایانه فروشگاه ندارد.}