راه پرداخت
رسانه فناوری‌های مالی ایران

عواملی که امنیت دستگاه‌های خودپرداز را تهدید می‌کنند

«اگر خرسی در تعقیب شماست لازم نیست سریع‌تر از آن بدوید، بلکه تنها کافی است از شخص دیگری که در حال گریز از دست آن خرس است، سریع‌تر باشید!»

بدون شک عبارت فوق، ایده‌آل‌ترین راه برای بررسی امنیت دستگاه‌های خودپرداز نیست، اما به صورت هوشمندانه‌ای می‌تواند ایده‌های خوبی فراهم کند. لازم به توضیح نیست که یک مسئول دستگاه خودپرداز ممکن است هیچوقت نیازی به فرار از دست یک خرس نداشته باشد. اما اگر در این جمله خرس را همان مجرمانی درنظر بگیریم که به دنبال روش‌های آسانی برای به دست آوردن پول هستند، قضیه اندکی متفاوت‌تر خواهد بود.

یکی از مهم‌ترین چالش‌های پیش روی موسسات مالی و خرده‌فروشی‌ها تضمین امنیت دستگاه‌های خودپرداز و شناسایی تهدیدات بالقوه‌ی این دستگاه‌ها است. پس از شناخت این تهدیدات بالقوه، شرکت‌ها دست به دامان فناوری‌هایی می‌شوند تا در حد توان در برابر مجرمان از دستگاه‌های خودپرداز محافظت کنند. در کنفرانس سالانه‌ی ATMIA US 2019 این مورد به صورت مفصلی مورد بحث و بررسی قرار گرفت. این کنفرانس به منظور آشنایی بیشتر با روش‌های تضمین امنیت دستگاه‌های خودپرداز و اقدامات لازم برای این کار برگزار شده بود.

این کنفرانس کارگاهی با نظارت تام مور (Tom Moore)، معاون اجرایی و مدیرعامل تی‌ام‌دی سکیوریتی (TMD Security) آمریکا و چند تن از پنلیست‌های دیگر برگزار شد. مور در ابتدای این کارگاه مقدمه‌ای از انواع مختلف حملات و تهدیدهای موجود برای دستگاه‌های خودپرداز سرتاسر جهان را بیان کرد.

یکی از شایع‌ترین و خطرناک‌ترین تهدیدات معرفی شده در این مقدمه، اسکیمینگ (skimming) دستگاه‌های خودپرداز است. اسکیمینگ روشی است که در آن شخص مجرم با دستکاری فیزیکی دستگاه و قراردادن یک قطعه الکتریکی کوچک در صفحه‌ی آن، اقدام به ذخیره‌سازی و سرقت اطلاعات مربوط به حساب بانکی افراد می‌کند. به عقیده مور تقریبا تمامی شیوه‌های اسکیمینگ از اروپا آغاز شده و به سراسر جهان راه یافته است.

شیمینگ (Shimming) به روشی اطلاق می‌شود که در آن شخص متقلب و مجرم یک دستگاه کوچک را از قسمت ورودی کارت، وارد دستگاه خودپرداز می‌کند. این دستگاه کوچک قادر است تا به صورت مستقیم اطلاعات ذخیره شده کارت‌های مشتریان بر روی EMV دستگاه را ذخیره کرده و در اختیار شخص مجرم قرار دهد. این شیوه از جرم‌ها در اروپا و برخی از کشورهای آمریکای جنوبی دیده می‌شود.

با این حال شیمینگ تاکنون نتوانسته در ایالات متحده آمریکا گسترش یافته و موفقیت آمیز باشد. اخیرا یکی از بانک‌های بزرگ آمریکا گزارش داد که 6 دستگاه خودپرداز آن تحت حملات شیمینگ قرار گرفته و تمامی این عملیات ناسرانجام مانده است.

حملات فیزیکی نیز نوع دیگری از جرایم مداوم و البته خطرناکی هستند که امنیت دستگاه‌های خودپرداز را تهدید می‌کنند. مجرمان در این روش سعی دارند تا با ایجاد یک انفجار پول‌های موجود در مخزن دستگاه خودپرداز را به سرقت ببرند. به گفته‌ی مور تعداد این دسته از حملات در اروپا از 188 مورد در سال 2005 به 1081 مورد در سال 2017 رسیده است.

مور در ادامه توضیح می‌دهد که حملات فیزیکی به مرور زمان بسیار خطرناک‌تر می‌شوند. چرا که با افزایش تعداد این نوع حملات، بانک‌ها از سازندگان دستگاه‌های خودپرداز تقاضا می‌کنند تا در بدنه‌ی این دستگاه‌ها از مواد مقاوم‌تری در برابر انفجار استفاده کنند. در نتیجه با افزایش مقاومت فیزیکی، مجرمان نیز از انفجارهای بزرگتری برای دست‌یابی به این هدف خود استفاده می‌کنند.

این مسئله به قدری مشکل‌ساز شده که در کشور هلند برخی از بانک‌ها دستگاه‌های خودپرداز خود را به دلیل خطر آسیب‌ رسیدن به مردم در حین انفجارهای احتمالی از جانب سارقان تعطیل کرده‌اند.

در کنار این موارد حملات منطقی و لوجیکال نیز امنیت دستگاه‌های خودپرداز را تحت‌الشعاع قرار می‌دهند. برخی از این حملات ازجمله جکپاتینگ (jackpotting)، بد‌افزارها و همچنین حملات جعبه‌ی سیاه (black box attacks)، تبدیل به یک مشکل و چالش اساسی برای موسسات مالی شده‌اند. تعداد زیادی از ارائه‌دهندگان دستگاه‌های خودپرداز که از دستگاه‌هایی با قابلیت EMV استفاده می‌کنند، از جکپاتینگ بیشتر از جعل هویت ترس دارند.

برخلاف حملات استخراج پول که مستقیما خود بانک و پردازنده را هدف قرار می‌دهند، حمله جکپاتینگ هدف خود را مستقیما بر روی خود پایانه‌های دستگاه‌های خودپرداز متمرکز می‌کند. این حمله هم به صورت فیزیکی و هم به صورت منطقی انجام می‌گیرد. در این حالت شخص مجرم با نصب یک بد‌افزار و یا یک بخش سخت‌افزاری بر روی دستگاه، قادر به ارسال دستوراتی به آن می‌شود.

درنتیجه این شخص دستور خارج کردن پول را به صورت مداوم برای دستگاه ارسال می‌کند. این عمل به قدری ادامه می‌یابد که کل پول درون مخزن دستگاه تخلیه شود. برای جلوگیری از چنین حملاتی لازم است تا تمامی نقاط ورودی فیزیکی دستگاه خودپرداز به شیوه قدرتمندی ایمن‌سازی شوند.

ویلیام آرنولد (William Arnold)، مدیرعملیاتی دستگاه‌های خودپرداز در ایبریا بانک (IberiaBank) توصیه می‌کند که:

همواره از به‌روز بودن سیستم‌های دستگاه‌های خودپرداز خود اطمینان حاصل کنید. همچنین لازم است تا ارتباط خود را با سازنده‌ی این دستگاه‌ها به صورت مداوم حفظ کنید. ما در این بانک از سرویس‌های مدیریتی استفاده می‌کنیم و دستگاه‌های خودپردازمان به صورت مداوم از جانب شرکت سازنده به‌روزرسانی می‌شوند. اما در صورتی که شما در موسسه مالی خود از چنین سرویسی استفاده نمی‌کنید، حتما به هرطریقی از به‌روز بودن دستگاه‌های خود مطمئن شوید.

آرنولد در ادامه می‌گوید که اعمال نظارت دقیق بر دستگاه‌های آسیب‌پذیرتر بسیار مهم است. به گفته‌ی وی یکی از اصلی‌ترین حالت‌های مقاوم در برابر جکپاتینگ، عملکرد صحیح دستگاه خودپرداز در حالت آفلاین است. به این صورت که اگر ارتباط این دستگاه با مرکز قطع شود، شخص مجرم قادر به ارسال دستورات دلخواه به آن نباشد.

آرنولد معتقد است که عملیات شیمینگ و استخراج اطلاعات کارت‌های مشتریان به وسیله یک کارت مخصوص همچنان یک تهدید بزرگ برای امنیت دستگاه‌های خودپرداز به شمار می‌رود. وی در حین سخنرانی در کنفرانس، ایمیلی را که از یکی از شعب بانک در تنسی رسیده بود، به حضار نمایش داد.

این ایمیل حاوی ویدیویی از دوربین یک دستگاه‌های خودپرداز بود. در این ویدیو که به نظر می‌رسید لنز دوربین دستگاه توسط وازلین پوشانده شده است، شخصی قابل مشاهده بود که دسته‌ای از کارت‌های خاص را با خود به همراه داشت. این شخص کارت‌ها را یک به یک وارد دستگاه کرده و آن‌ها را امتحان می‌کرد.

بنا به اظهارات آرنولد ایبریا بانک تاکنون هیچگونه بدهی از جانب پول‌های نقد دزدی شده به بار نیاورده است.

در ادامه‌ی کنفرانس جاش هاموند (Josh Hammond)، مشاور ارشد امنیت در آی‌اواکتیو (IOActive) نگاهی اجمالی داشت بر «هنر احتمالات» از دیدگاه مجرمان. وی به بررسی حملات به مخزن‌های موجود در بالا و پایین دستگاه‌های خودپرداز پرداخته و ویژگی‌های هر یک از این مخزن‌ها را بیان کرد.

ویژگی‌های مربوط به امنیت دستگاه‌های خودپرداز که مخزن آن‌ها در قسمت بالای دستگاه قرار دارد به این صورت است:

  • قابلیت اتصال به سرویس‌های بک‌اند از جمله سرویس‌های شبکه و به روزرسانی و کنترل برنامه‌های موجود بر روی دستگاه
  • کنترل نرم‌افزاری شامل جداسازی امتیازی (privilege separation)، XFS و ذخیره‌سازی امن
  • کنترل آن دسته از دسترسی‌های فیزیکی که باعث فراهم شدن راهی برای بارگذاری بدافزارها می‌شوند
  • کنترل رابط فیزیکی شامل کارت اسکیمینگ و دوربین PIN

 

ویژگی‌های مربوط به امنیت دستگاه‌های خودپرداز که مخزن آن‌ها در قسمت پایین دستگاه قرار دارد نیز به این صورت است:

  • دسترسی فیزیکی از طریق رابط‌های امن
  • امنیت نرم‌افزاری شامل امنیت درایورها و ارتباطات انجام گرفته با مخزن بالا
  • قفل امنیتی برای جلوگیری از حملات الکترونیکی

 

هاموند می‌گوید: «در هنگام بررسی دستگاه‌های خودپردازی که مخزن آن‌ها در قسمت بالا قرار گرفته است شاهد خدمات شبکه‌ آسیب‌پذیر بسیاری هستیم. گاهی به‌روزرسانی‌هایی می‌بینیم که از داشتن یک سیستم احراز هویت قدرتمند بی‌بهره‌اند.»

وی در ادامه می‌گوید: «شواهد و مدارک موجود بسیاری نادیده گرفته می‌شوند. چرا که این مسئله رویکرد بیرونی و ظاهری ندارد و نمی‌توان به وضوح آن را دید.»

در هنگام بررسی امنیت دستگاه‌های خودپرداز با مخزنی در قسمت پایین، هاموند به حفره‌های کوچکی اشاره می‌کند که در کنار اغلب این مخازن وجود دارد. این حفره‌ها را نه مهاجمان و سارقان، بلکه سازندگان این دستگاه‌ها ایجاد کرده‌اند. هدف از انجام این کار کابل‌کشی به داخل مخزن است. چنین حفره‌هایی به مهاجمان این امکان را می‌دهد تا به دستگاه دسترسی داشته، آن را مجددا راه‌اندازی کنند و در حین همین کار کنترل کامل آن را در دست بگیرند.

علاوه بر این، وجود ناهنجاری‌هایی در میان‌افزارهای اختصاصی می‌تواند فرصت دسترسی‌های ناصحیح را برای مهاجمان فراهم کند. این ناهنجاری‌ می‌تواند به اشکال مختلفی از جمله احراز هویت اختیاری باشد.

هاموند می‌گوید:

واضح است که قسمت‌های متعددی بر روی دستگاه‌های خودپرداز وجود دارند که سیگنال‌های داده را به داخل آن منتقل می‌کنند. این ورودی‌های سیگنال فرصت مناسبی را برای به دست‌گیری کنترل دستگاه ایجاد می‌کنند. چنین امری می‌تواند به یک حمله منتج شده و فرصتی را برای دور زدن سیستم قفل الکتریکی به وجود آورد.

اما از نظر هاموند حفظ امنیت دستگاه‌های خودپرداز، در مرحله‌ی فعلی، تنها قسمت آسان ماجراست. وی در این‌باره بیان می‌کند:

قسمت سخت ماجرا اینجاست که هنگامی که شما جلوی یکی از راه‌های نفوذ مجرمان را گرفتید، آن‌ها به دنبال روش‌های جدیدتری خواهند بود که شاید از دید شما پنهان مانده‌ است. در حالت کلی مهاجمان و سارقان به دنبال راحت‌ترین گزینه‌های ممکن هستند. بنابراین آگاهی از مسائل امنیتی و تلاش برای حفظ امنیت دستگاه‌های خودپرداز خود نسبت به سایرین همانند یک بازی رقابتی است.

مایک کیرنز (Mike Kearns) به عنوان یک هکر کلاه سفید فعالیت می‌کند. هدف حرفه‌ی مایک از زبان خود او این است که «حداقل پنج قدم جلوتر از دشمنانی باشیم که قصد سواستفاده و سرقت از ما را دارند. اگر از منظر رقابتی به قضیه نگاه کنیم متوجه خواهیم شد که با افزایش سطوح امنیتی، تنوع و شدت حملات نیز در حال افزایش و گسترش است.»

نکته‌ی اصلی پیام کیرنز این است که اپراتورهای دستگاه‌های خودپرداز در ایالات متحده‌ی آمریکا و سرتاسر جهان باید ایمنی خود را بهبود داده و برای حملات احتمالی آماده باشند. چرا که جرم و جنایات مربوط به این دستگاه‌ها به سرعت مرزهای اروپا را درخواهد نوردید و به هر کشوری در هر گوشه و کنار از دنیا خواهد رسید. مایک روزانه اطلاعاتی را از حمله‌های جدید جمع‌آوری کرده و مورد تجزیه و تحلیل قرار می‌دهد.

برای مثال وی بیان می‌کند که حملات جعبه سیاه چندین سال قبل از این که برای اولین بار در ایالات متحده آمریکا رخ دهد، آغاز شده بودند. با این حال هنگامی که این حمله در آمریکا رخ داد، برخی از مقامات و کارشناسان گمان کردند که حمله جعبه سیاه تنها نوع دیگری از حملات اسکیمینگ است. پس از گذشت چندین ماه کارشناسان آمریکایی با ماهیت اصلی حمله‌ی جعبه سیاه آشنا شدند و تا آن زمان این دسته از حملات خسارات بسیاری را به دستگاه‌های خودپرداز این کشور وارد کرده بود.

کیرنز درباره افزایش تنوع حملات چنین می‌گوید:

این وضعیت به شدت سیال و در حال حرکت است. تنوع حملات مسئله‌ای رکودی و ثابت نیست که بتوان راهکاری همیشگی برای آن درنظر گرفت. کار یک مسئول امنیتی در این حوزه هیچگاه پایان نمی‌یابد. انتظار من این است که با گذر زمان و افزایش امنیت دستگاه‌های خودپرداز وضعیت حملات به جای بهتر شدن حتی بدتر شود.

در نهایت کیرنز اظهار داشت که حفظ امنیت دستگاه‌های خودپرداز یک کار تیمی است. در این مسیر تمامی بازیکنان و دست‌اندرکاران باید با یکدیگر متحد شده، تخصص‌های خود را وارد عمل کرده و اطلاعات خویش را به اشتراک بگذارند.

این افراد با صحبت در مورد مسائل واقعی و بررسی آن‌ها می‌توانند به راه‌حل‌هایی که به نظر بهتر و منطقی‌تر هستند، دست یابند. به عقیده‌ی کیرنز، در مسائل امنیتی اقدامات فوری همیشه بهترین نتیجه را حاصل نمی‌کنند و غلبه بر این دسته از مجرمان نیازمند تفکر و ارائه‌ی بهترین راه‌حل‌های ممکن است.

برای افزایش امنیت دستگاه‌های خودپرداز قبل از هرچیزی لازم است تا مشکلات را به طور کامل درک کرده و از دیدگاه یک مجرم و سارق به آن‌ها نگاه کنید. سپس باید هزینه‌های مورد نیاز را در برابر احتمال وقوع و شدت حملات بسنجید.

برای مثال صرف هزینه یک میلیون دلاری برای یک ریسک 100 هزار دلاری معنایی ندارد. اما برای مثال در صورتی که ریسک مورد نظر 5 میلیون دلار باشد، صرف یک میلیون دلار برای جلوگیری از آن معقول و منطقی است. مجددا تاکید می‌کنیم که اولین و اصلی‌ترین قدم، درک ماهیت واقعی تهدید و چگونگی مدیریت ریسک است.

کیرنز می‌گوید: «گاهی اوقات صبر کردن بهترین پاسخی است که می‌توانید بدهید. ممکن است در شرایطی، عمل نکردن را به عنوان بهترین گزینه انتخاب کنید؛ چرا که شاید زمان مناسب برای انجام یک کار مناسب فرا نرسیده باشد.

در این فرصت وظایف بسیاری را باید انجام دهید. شما باید مسائل بیشتری را از کسب‌و‌کار خود درک کرده و به آن‌ها توجه کنید. گاهی همین عمل نکردن و صرف وقت برای درک بهتر جنبه‌های مختلف کسب‌و‌کار اقدامی شایسته و مناسب است. یک عملکرد شتاب‌زده از جانب شما ممکن است حتی بیشتر از حمله‌ی‌ یک سارق آسیب‌زا باشد!»

منبع: Atmmarketplace

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.