Ödemeler Afrika
Son birkaç gün içinde Las Vegas'taki Black Hat USA 2018 konferansından çok şey çıktı. Böylesi bir keşif talep eden kritik bir dikkat, daha düşük maliyetli ödeme yöntemi saldırılarına ışık tutmak için öne çıkan Positive Technologies'in araştırmacıları Leigh-Anne Galloway ve Tim Yunusov'dan gelen haberlerdir.
İki araştırmacıya göre, bilgisayar korsanları, kullanıcılardan para çalmak için kredi kartı bilgilerini çalmanın veya işlem tutarlarını değiştirmenin bir yolunu buldu. Bu taktikleri gerçekleştirmek için ucuz mobil ödeme kartları için kart okuyucuları geliştirmeyi başardılar. İnsanlar bu yeni ve basit ödeme yöntemini giderek daha fazla benimsedikçe, bu kanal aracılığıyla hırsızlık konusunda ustalaşmış bilgisayar korsanları için birincil hedef olarak devreye giriyorlar.
İki araştırmacı özellikle, bu ödeme yönteminin okuyucularındaki güvenlik açıklarının, müşterilerin ödeme ekranlarında gösterilenleri manipüle etmesine izin verebileceğini açıkladı. Bu, bir bilgisayar korsanının gerçek işlem tutarını değiştirmesine veya makinenin ödemenin ilk seferde başarısız olduğunu göstermesine izin vererek çalınabilecek ikinci bir ödemeye yol açabilir. İki araştırmacı, Amerika Birleşik Devletleri ve Avrupa'nın önde gelen dört satış noktası şirketi için okuyuculardaki güvenlik açıklarını inceleyerek bu iddiaları destekledi: Square, PayPal, SumUp ve iZettle.
Bir satıcı bu şekilde kötü niyetle dolaşmazsa, okuyucularda bulunan başka bir güvenlik açığı, uzaktaki bir saldırganın da para çalmasına izin verebilir. Galloway ve Yunusov, okuyucuların Bluetooth'u eşleştirmek için kullanma şeklinin güvenli bir yöntem olmadığını keşfetti, çünkü onunla ilişkili bir bağlantı bildirimi veya parola girişi / alımı yok. Bu, kapsama alanındaki herhangi bir rastgele saldırganın, işlem miktarını değiştirmek için cihazın bir mobil uygulama ve ödeme sunucusu ile sürdürdüğü Bluetooth bağlantısının iletişimini engelleyebileceği anlamına gelir.
İki araştırmacının, bu güvenlik açığından uzaktan istismarların henüz gerçekleştirilmediğini ve bu büyük güvenlik açıklarına rağmen, istismarların genel olarak henüz ivme kazanmadığını açıkladığını belirtmek önemlidir. Bu ödeme yöntemlerinden sorumlu şirketlere Nisan ayında haber verildi ve görünen o ki, dört şirketten Square hızlı bir uyarı aldı ve savunmasız Miura M010 Reader için desteği kesmeye karar verdi.
Araştırmacılar, ödeme için bu ucuz kartları seçen kullanıcıları güvenli bahis olmayabilecekleri konusunda uyarıyor. Kullanıcılara manyetik şerit kaydırması yerine çip ve pin, çip ve imza veya temassız yöntemler kullanmalarını tavsiye ediyorlar. Buna ek olarak, satışların sonundaki kullanıcılar, işlerinin güvenilirliğini ve güvenliğini sağlamak için daha iyi ve daha güvenli teknolojiye yatırım yapmalıdır.
