Page 9 - Computer Για Όλους τ. 352

COMPUTER ΓΙΑ ΟΛΟΥΣ
9
γάτα με το ποντίκι προκειμένου να τις ανακα-
λύψουν και να μας προστατέψουν.
ΠΩΣ ΜΑΣ ΚΛΕΒΟΥΝ ΤΙΣ ΠΙΣΤΩΤΙΚΕΣ ΚΑΡΤΕΣ
Οι κυβερνοεγκληματίες έχουν μία αχόρταγη
δίψα για στοιχεία πιστωτικών καρτών. Υπάρ-
χουν πολλοί τρόποι για να υποκλέψουν πληρο-
φορίες on-line, αλλά, όπως μας ενημερώνει η
Symantec, τα σημεία πώλησης αποτελούν το
πιο θελκτικό στόχο. Ένα εκτιμώμενο ποσοστό
60%
των αγορών σε σημεία λιανικής πώλησης
(
POS) γίνονται με χρήση πιστωτικής ή χρεω-
στικής κάρτας. Λαμβάνοντας υπόψη ότι οι με-
γάλες αλυσίδες λιανικής πώλησης μπορούν να
επεξεργάζονται χιλιάδες συναλλαγές καθημε-
ρινά, είναι λογικό τα τερματικά τους να γίνο-
νται στόχαστρο των κυβερνοεγκληματιών, που
αναζητούν μεγάλο όγκο δεδομένων από πι-
στωτικές κάρτες.
Μάλιστα, αυτήν τη στιγμή, υπάρχει ένας
αριθμός διαδικτυακών forum που πωλούν δε-
δομένα πιστωτικών και χρεωστικών καρτών σε
διάφορα formats. Το πιο κοινό είναι το CVV2,
όπου ο πωλητής παρέχει τον αριθμό της κάρ-
τας, μαζί με τον επιπρόσθετο κωδικό ασφαλεί-
ας CVV2, το οποίο βρίσκεται στο πίσω μέρος
της κάρτας. Αυτά τα δεδομένα είναι αρκετά
για να διευκολύνουν τις on-line αγορές. Παρ’
όλα αυτά, ορισμένοι πωλητές προσφέρουν τα
πιο επικερδή δεδομένα τύπου Track 2. Πρόκει-
ται για μία συντομογραφία των δεδομένων
που αποθηκεύονται στο μαγνητικό τσιπ της
κάρτας. Αυτά τα δεδομένα είναι πιο επικερδή,
καθώς επιτρέπουν στους εγκληματίες να κλω-
νοποιούν κάρτες για χρήση σε φυσικά κατα-
στήματα ή σε ΑΤΜ. Φυσικά, στην περίπτωση
αυτή, θα πρέπει και το ΡΙΝ να είναι διαθέσιμο.
Η αξία των δεδομένων αντανακλάται στην on-
line τιμή πώλησης και οι τιμές ποικίλλουν ευ-
ρέως. Τα CVV2 δεδομένα πωλούνται για το
ποσό των $ 0,1 έως $ 5 ανά κάρτα, ενώ τα
Track 2 δεδομένα μπορεί να κοστίζουν έως $
100
ανά κάρτα!
Το ερώτημα είναι πώς οι εγκληματίες απο-
κτούν αυτά τα δεδομένα. To skimming είναι
μία από τις πιο δημοφιλείς μεθόδους. Αυτό
περιλαμβάνει εγκατάσταση επιπρόσθετου
hardware στο POS τερματικό, το οποίο έπειτα
χρησιμοποιείται για να διαβάζει τα Track 2 δε-
δομένα από τις κάρτες. Καθώς όμως απαιτεί-
ται φυσική πρόσβαση στα συστήματα των ση-
μείων πωλήσης και δαπανηρό εξοπλισμό, είναι
δύσκολη η εφαρμογή του από τους εγκλημα-
τίες σε μεγάλη κλίμακα. Για να αντιμετωπίσουν
το συγκεκριμένο πρόβλημα, οι επιτιθέμενοι
έχουν στραφεί σε λύσεις λογισμικού με τη
μορφή POS malware. Στοχεύοντας μεγάλους
retailers με αυτό το malware, οι εγκληματίες
μπορούν να εκμαιεύσουν δεδομένα εκατομμύ-
ριων καρτών με μία μόνο καμπάνια.
Το POS malware εκμεταλλεύεται το κενό
στην ασφάλεια και στον τρόπο που διαχειρίζο-
νται οι εταιρείες τα δεδομένα πιστωτικών καρ-
τών. Ενώ τα δεδομένα των πιστωτικών καρτών
είναι κρυπτογραφημένα, καθώς στέλνονται για
εξουσιοδότηση πληρωμής, δεν είναι κρυπτο-
γραφημένα όταν η πληρωμή βρίσκεται σε επε-
ξεργασία, για παράδειγμα, τη στιγμή που περ-
νιέται η κάρτα στο τερματικό για την πληρωμή
των αγαθών. Οι απατεώνες εκμεταλλεύτηκαν
για πρώτη φορά αυτό το κενό ασφαλείας το
2005,
όταν η καμπάνια που ξεκίνησε ο Albert
Gonzalez οδήγησε σε κλοπή δεδομένων 170
εκατομμυρίων καρτών.
Από τότε μία ολόκληρη αγορά δημιουργή-
θηκε σχετική με την προμήθεια και πώληση
malware που διαβάζει Track 2 δεδομένα από
τη μνήμη του POS τερματικού. Τα περισσότε-
ρα συστήματα POS έχουν Windows λειτουργι-
κό σύστημα, καθιστώντας τα σχετικά εύκολα
στην προσθήκη malware. Αυτό το κακόβουλο
Ειδήσεις
Απόψεις
Αναλύσεις
ΤΟ TROJAN ΤΟΥ FACEBOOK