توسعه کلاه‌برداری‌های بیومتریک برای حمله به ATM ها

۱۸۸۷بانک‌ها در حال توسعه و تقویت ساز و کارهای احراز هویت ATM ها هستند تا مانع از کلاهبرداری‌ها شوند، اما خبرها حاکی از آن است که مجرمان سایبری توسعه ابزارها و روش‌هایی را شروع کرده‌اند که با استفاده از آن‌ها می‌توانند از سامانه‌های امنیتی مدرن عبور کنند.

در گزارشی که روز پنج‌شنبه منتشر شد، محققان آزمایشگاه کسپرسکی سامانه‌‌های احراز هویت کنونی و آینده ATM ها را تحلیل کرده‌ و بررسی کرده‌اند چگونه ممکن است این سامانه‌ها توسط عوامل مخرب هدف قرار گیرند.

یکی از روش‌های احراز هویت روش‌های بیومتریک است که هر روزه بر محبوبیتش افزوده می‌شود. روش‌های بیومتریک شامل صدا، اثرانگشت، الگوی عنبیه، هندسه کف دست و تشخیص چهره هستند. برخی از بانک‌های بزرگ همانند HSBC پیش از این، استفاده از این سامانه‌ها را آغاز کرده‌اند. HSBC اخیراً اعلام کرده است از شناسایی مبتنی بر سلفی استفاده می‌کند. Barclays نیز گفته است از احراز هویت مبتنی بر صدا بهره می‌برد.

طی پژوهش انجام شده توسط Visa، دو سوم مشتریان اروپایی آماده هستند تا با استفاده از روش‌های بیومتریک فرآیند پرداخت خود را انجام دهند.

البته از سوی دیگر مجرمان سایبری نیز در حال تلاش هستند تا از احراز هویت این سامانه‌های بیومتریک عبور کنند. متخصصان امنیتی هشدار می‌دهند که این سامانه‌های جدید معایب خود را دارند.

احراز هویت بیومتریک می‌تواند به اطلاعاتی متکی باشد که بر روی یک کارت ذخیره شده و یا به طور مستقیم فراهم شده است. در هر دوی این موارد، به‌منظور مقایسه، این اطلاعات ابتدا بر روی یک پایگاه داده بیومتریک ذخیره می‌شوند. به گفته کسپرسکی، یک مشکل این است که هر چه داده‌های بیومتریک بیشتری استفاده شوند، امکان سرقت بالا می‌رود. به‌علاوه بر خلاف کلمه‌عبور، اثر انگشت و الگوی عنبیه، اگر مورد نفوذ قرار گیرند به راحتی قابل تغییر نیستند.

مجرمان سایبری هم‌چنین بر روی کلاه‌برداری‌های بیومتریکی کار می‌کنند که می‌توانند برای سرقت اطلاعات ارزشمند از افراد و یا کارت‌ها مورد استفاده قرار گیرند. آن‌ها می‌توانند دستگاه مخصوصی بسازند که می‌تواند داده‌های بیومتریک را از کارت‌های بانکی به سرقت ببرد.

یک روش دیگر حمله، استفاده از روش‌های کلاهبرداری بر روی خواننده بیومتریک یک ATM است تا اثرانگشت‌ها و سایر اطلاعات را جمع‌آوری کند. کسپرسکی می‌گوید ۱۲ سازنده تقلبی از این دستگاه‌های خواننده اثرانگشت و ۳ شرکت سازنده تقلبی ابزارهای تشخیص عنبیه و کف دست را شناسایی کرده است.

به گفته این شرکت امنیتی، اولین کلاه‌برداری‌های بیومتریک در سپتامبر ۲۰۱۵ ارائه شدند و احتمالاً موج دوم چنین دستگاه‌هایی در آینده نزدیک، اتحادیه اروپا را تهدید خواهد کرد.

اولین سری از آزمایش‌ها، چندین اشکال مختلف را بر روی دستگاه‌های ارائه شده نشان می‌دهد، از جمله کارایی پایین ماژول‌های GSM در انتقال داده‌های به سرقت‌رفته. کلاه‌برداری‌‌های جدید از فناوری‌های دیگری برای بدست‌آوردن اطلاعات به‌سرقت‌رفته استفاده می‌کنند.

یک روش دیگر که توسط مجرمان سایبری برای دسترسی به داده‌های بیومتریک استفاده می‌شود، سرقت مستقیم این داده‌ها از پایگاه‌داده سازمان‌های مالی است. حوادث اخیر نیز نشان می‌دهند در بیشتر موارد شبکه بانک‌ها آن‌طور که باید امن نیستند.

در یک عملیات معمولی سرقت داده‌های بیومتریک، اطلاعات سرقت‌شده می‌توانند به طور مستقیم استفاده شده و یا در بازارهای سیاه به فروش برسند.

در گزارش شرکت کسپرسکی آمده‌ است: «به طور کلی، در سال‌های آتی حملات مبتنی بر شبکه علیه ATM ها به یک مشکل اساسی برای سازمان‌های مالی مبدل خواهد شد، چرا که بر اساس آزمایشگاه‌های نفوذ انجام شده توسط ما، زیرساخت شبکه بانک‌ها در بیشتر موارد طوری ساخته شده است که به یک نفوذگر امکان می‌دهد دسترسی‌های لازم را پیدا کرده و کنترل بخش‌های حساس شبکه، از جمله شبکه ATM ها را به‌دست گیرد. این وضعیت به دلایل مختلف به این زودی‌ها حل نخواهد شد. یکی از این دلایل بزرگی شبکه‌های سازمان‌های مالی و هزینه گزاف مالی و زمانی برای به‌روزرسانی‌های لازم است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.