अदा अफरीका
पिछले कुछ दिनों में लास वेगास में ब्लैक हैट यूएसए 2018 सम्मेलन में बहुत कुछ सामने आया है। इस तरह की खोज की मांग पर एक गंभीर ध्यान पॉजिटिव टेक्नोलॉजीज के शोधकर्ताओं लेह-ऐनी गैलोवे और टिम यूनुसोव की ओर से आ रही खबरें हैं, जो कम लागत वाली भुगतान पद्धति के हमलों पर प्रकाश डालने के लिए आगे आए हैं।
दो शोधकर्ताओं के अनुसार, हैकर्स ने क्रेडिट कार्ड की जानकारी चोरी करने या उपयोगकर्ताओं से धन चुराने के लिए लेन-देन की मात्रा में हेरफेर करने का एक तरीका ढूंढ लिया है। उन्होंने इन युक्तियों को करने के लिए सस्ते मोबाइल भुगतान कार्ड के लिए कार्ड रीडर विकसित करने में कामयाबी हासिल की है। जैसे-जैसे लोग भुगतान के इस नए और सरल तरीके को अपना रहे हैं, वे उन हैकर्स के लिए मुख्य लक्ष्य के रूप में चल रहे हैं जिन्होंने इस चैनल के माध्यम से चोरी में महारत हासिल की है।
दोनों शोधकर्ताओं ने विशेष रूप से समझाया कि इन भुगतान पद्धति के पाठकों में सुरक्षा कमजोरियां किसी को यह हेरफेर करने की अनुमति दे सकती हैं कि ग्राहकों को भुगतान स्क्रीन पर क्या दिखाया गया है। यह एक हैकर को सच्ची लेनदेन राशि में हेरफेर करने की अनुमति दे सकता है या मशीन को यह प्रदर्शित करने की अनुमति देता है कि भुगतान पहली बार असफल रहा था, जिससे दूसरा भुगतान चोरी हो सकता है। दो शोधकर्ताओं ने संयुक्त राज्य अमेरिका और यूरोप में चार प्रमुख बिक्री कंपनियों के लिए पाठकों के सुरक्षा दोषों का अध्ययन करके इन दावों का समर्थन किया: स्क्वायर, पेपैल, SumUp, और IZettle।
यदि कोई व्यापारी इस तरह से गलत इरादे से घूमता है, तो पाठकों में पाई जाने वाली एक अन्य भेद्यता एक दूरस्थ हमलावर को भी पैसे चुराने की अनुमति दे सकती है। गैलोवे और यूनुसोव ने पाया कि जिस तरह से पाठकों ने ब्लूटूथ का उपयोग जोड़ी बनाने के लिए किया था वह एक सुरक्षित तरीका नहीं था क्योंकि इससे कोई कनेक्शन अधिसूचना या पासवर्ड प्रविष्टि / पुनर्प्राप्ति नहीं थी। इसका मतलब यह है कि रेंज में कोई भी यादृच्छिक हमलावर ब्लूटूथ कनेक्शन के संचार को बाधित करने के लिए प्रबंधन कर सकता है जो डिवाइस मोबाइल एप्लिकेशन और भुगतान सर्वर के साथ लेनदेन राशि को बदलने के लिए रखता है।
यह ध्यान रखना महत्वपूर्ण है कि दो शोधकर्ताओं ने समझाया है कि इस भेद्यता के दूरदराज के कारनामों को अभी तक नहीं किया गया है और इन भारी कमजोरियों के बावजूद, अभी तक सामान्य रूप से कारनामों ने गति नहीं पकड़ी है। इन भुगतान विधियों के लिए जिम्मेदार कंपनियों को अप्रैल में अधिसूचित किया गया था और ऐसा लगता है कि चार में से, उन्होंने कंपनी स्क्वायर ने त्वरित नोटिस लिया है और इसके कमजोर मिउरा M010 रीडर के लिए समर्थन बंद करने का फैसला किया है।
शोधकर्ता उन उपयोगकर्ताओं को चेतावनी देते हैं जो भुगतान के लिए इन सस्ते कार्डों का चयन करते हैं कि वे सुरक्षित दांव नहीं हो सकते हैं। वे सलाह देते हैं कि उपयोगकर्ता चुंबकीय पट्टी स्वाइप के बजाय चिप और पिन, चिप और हस्ताक्षर, या संपर्क रहित तरीकों का उपयोग करते हैं। इसके अलावा, चीजों की बिक्री के अंत पर उपयोगकर्ताओं को अपने व्यवसाय की विश्वसनीयता और सुरक्षा सुनिश्चित करने के लिए बेहतर और सुरक्षित तकनीक में निवेश करना चाहिए।
