Forbes الشرق الأوسط
امن المعلومات | المشاهدات : 11806 مشاهدة | تاريخ: 8/2012
سرقة بيانات البطاقات الائتمانية لاسلكياً

بقلم : آندي غرين بيرج

تتيح أنظمة الدفع الإلكتروني في الهواتف الذكية مثل (محفظة غوغل - Google Wallet) لمستخدمي هذه الأجهزة والتي تعمل بنظام (أندرويد - Android) القدرة المستقبلية على استخدامها لتسديد المبالغ المستحقة عليهم عبر بطاقاتهم الإئتمانية. قام الباحث إدي لي في خطوة متقدمة نحو الإستفادة من هذه الحيلة: استخدام هواتف أندرويد للقيام بعملية تسديد المبالغ المستحقة عبر بطاقة الإئتمان التي تنتمي لأشخاص مجهولين الهوية.

في إحدى الأوراق التي قدمت في مؤتمر ديفكون للقرصنة في لاس فيغاس الجمعة، أثبتت لي أن أداة البرمجيات أندرويد والتي تدعى بـ (وسيط تقنية التواصل الموسع - NFCProxy)، والتي تعمل على قراءة و"إعادة" البيانات من بطاقات الإئتمان الذكية – أي من بطاقات الدفع العادية التي تحتوي على تقنية (رقاقات راديو لاسلكية Radio-Frequency Identification)، ما يسمح باستخدام أجهزة نقاط البيع اللاسلكية لتنفيذ عمليات الدفع في منافذ البيع بالتجزئة.

بعدما تمكن لي من استخدام هاتفه (نيكسوس أس - Nexus S) لقراءة بطاقة الفيزا الذكية على خشبة مسرح مؤتمر ديفكون، من ثم قام باستخدم هذه الأداة لنقل البيانات إلى جهاز نقطة البيع، حيث تم قبولها كدفعه. وأخبر الحضور أنه "قد تمكن من تصفح واستغلال واستخدام البطاقة الإئتمانية لشخص ما في غضون دقائق قليلة. إنها حقا بسيطة".

حذر الباحثون منذ فترة طويلة أن الـ 100 مليون بطاقة الإئتمانية الذكية المتداولة حاليا، وتحمل أسماء مثل (بي باس - PayPass) و (زيب - Zip) و (بي ويف - payWave) و (إكسبرس بي - ExpressPay) والتي تصدرها كل من (فيزا - Visa) و (ماستر كارد - MasterCard) و (ديسكفر - Discover) و (أمريكان إكسبريس - American Express). جميع هذه البطاقات عرضة للاحتيال السري: يمكن للمحتال أن يقوم بقراءة بيانات أي بطاقة إئتمانية باستخدام تقنية رقاقات الراديو لاسلكية خلسة ودون أن تستدعي الحاجة للمس حامل البطاقة.

لكن استخدام بيانات تلك الضحية لن تكن بهذه البساطة. وذلك لأن البيانات المرسلة لاسلكيا من بطاقات الائتمان الذكية لا تحتوي على اسم المستخدم والرقم السري أو الرمز السري المكون من ثلاثة أرقام. ومع ذلك فقد أظهر بعض الباحثين سبل استغلال هذه البطاقات: حيث بين هاكر كريستين باجيت على خشبة المسرح في مؤتمر (شموو كون - Shmoocon) في يناير/كانون الثاني أنها تمكنت من استخدم جهاز ممغنط لكتابة البيانات المسروقة على بطاقة جديدة والقيام بعملية الدفع باستخدام تقنية قراءة البطاقات الإئتمانية (سكوير - Square) المثبتة على الهاتف النقال.

لا تزال طريقة لي المستخدمة في الإحتيال أسهل بكثير: مكن وسيط تقنية التواصل الموسع NFCProxy، الذي قام لي بنشر رمزه السري على الانترنت، أي شخص من قراءة واستخدام بيانات الضحية عبر هواتف رخيصة وعادية، واستخدم هذه البطاقة المسروقة في متاجر البيع بالتجزئة، والتي ستكون إحتمالية معرفة ما إذا كان الهاتف يستخدم أنظمة تشغيل محفظة غوغل أو أي خدمة مماثلة. وقال إن "عامل الشكل يحدث فرقا كبيرا. حيث الهاتف جهاز غير ضار للغاية". وأضاف أن "هذا ليس إعتداء جديدا. إنما هو مجرد جعل هذا الشي من السهل استخدامه واستغلاله".

يتطلب وسيط تقنية التواصل الموسع NFCProxy من المستخدم لهواتف الأندرويد من تأصيل وتثبيت نسخة محددة للغاية من نظام التشغيل (السيانوجين – Cyanogen) المعدل منذ بداية هذا العام. في فترة وجيزة عندما يضيف أحد مطوري السيانوجين نظام (المصادر المفتوحة - Open Source) القدرة على محاكاة قارئ البطاقة الإئتمانية. (من الأرجح أنه تم حذف هذه الميزة فيما بعد، لأنه يتعارض مع التأدية الوظيفية لمحفظة غوغل). يقر لي أيضا أن قراءة بطاقات الإئتمان عبر الهواتف غالبا ما يستغرق عدة محاولات، على الرغم من أن المعتدي يرتدي سماعات إلا انه يمكن سماع صوت المنبه الذي يشير إلى نجاح عملية قراءة البطاقة.

1    
2    


https://itunes.apple.com/ae/app/forbes-middle-east-fwrbs-alshrq/id521680232?mt=8
لا يوجد تعليقات
أضف تعليقك