পিওএস সিস্টেমে পেমেন্ট কার্ড ডেটা এবং পিিনগুলি চুরি করা সহজ।

সাম্প্রতিক বছরগুলিতে খুচরো ও আতিথেয়তা ব্যবসাকে আঘাত করে এমন বেশিরভাগ বৃহৎ পেমেন্ট কার্ডের লঙ্ঘন ছিল আক্রমণকারীরা পয়েন্ট-অফ-বিক্রয় সিস্টেমগুলিকে মেমরি সহ সংক্রামিত করে। -স্ক্রপিং মালওয়্যার কিন্তু কার্ড রিডার এবং পিওএস পেমেন্ট অ্যাপ্লিকেশনগুলির মধ্যে প্রমাণীকরণ এবং এনক্রিপশন অভাবের কারণে এই ধরনের ডাটা চুরি করার সহজ উপায় রয়েছে।

পিওএস সিস্টেমগুলি বিশেষ কম্পিউটার। তারা সাধারণত উইন্ডোজ চালায় এবং কীবোর্ড, প্যাচ স্ক্রিন, বারকোড স্ক্যানার এবং পিন প্যাড দিয়ে কার্ড পাঠকদের মত পেরিফেরিয়াল থাকে। লেনদেনগুলি পরিচালনা করার জন্য তাদের কাছে বিশেষ অর্থ প্রদানের অ্যাপ্লিকেশান রয়েছে।

আক্রমণকারীদের দ্বারা PoS সিস্টেমগুলি থেকে পেমেন্ট কার্ডের তথ্য চুরি করার জন্য ব্যবহৃত একটি সাধারণ পদ্ধতি হল চুরি করা দূরবর্তী সমর্থন প্রমাণপত্রাদি বা অন্যান্য কৌশলগুলির মাধ্যমে ম্যালওয়ারের সাথে সংক্রামিত হওয়া। এই ম্যালওয়্যার প্রোগ্রামগুলিকে মেমোরি বা রাম স্ক্রাপার হিসাবে পরিচিত হয় কারণ তারা পিওএস সিস্টেমের পেমেন্ট অ্যাপ্লিকেশন দ্বারা প্রক্রিয়া করার সময় ক্রেডিট কার্ড ডেটার জন্য সিস্টেমের মেমরিটি স্ক্যান করে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

লক্ষ্য: গ্যাস পাম্প

কিন্তু মঙ্গলবার লাস ভেগাসের বিসাইড কনফারেন্সে, যুক্তরাষ্ট্রের ভিত্তিক পিওএস এবং এটিএম নির্মাতা এনসিআর থেকে নিরাপত্তা গবেষক নির ভল্টম্যান এবং প্যাটারিক ওয়াটসন একটি চটপটে এবং আরো কার্যকর আক্রমণের কৌশল দেখিয়েছেন যা বেশিরভাগ " পিএইচপি প্যাড এবং এমনকি গ্যাস পাম্প পেমেন্ট টার্মিনালের সাথে কার্ড পাঠকদের সহ

এই সমস্ত ডিভাইসগুলি দ্বারা ভাগ করা প্রধান ইস্যু হল পিওএস পেমেন্ট সফটওয়্যারের তথ্য পাঠানোর সময় তারা প্রমাণীকরণ এবং এনক্রিপশন ব্যবহার করে না। । এটি তাদের বহিরাগত ডিভাইসের মাধ্যমে মানুষের ইন-দ্য মিডিল আক্রমণগুলি প্রকাশ করে যা নেটওয়ার্ক বা সিরিয়াল সংযোগ বা "শিম সফটওয়্যার" এর মাধ্যমে পিওএস সিস্টেম চালায়।

তাদের ডেমোতে, গবেষকরা ট্র্যাফিকের সাথে একটি রাস্পবেরি পিআই ডিভাইস ব্যবহার করতেন ক্যাপচার সফটওয়্যার যা একটি পিন প্যাডের মধ্যে ডাটা ক্যাবল এবং একটি পেমেন্ট অ্যাপ সিমুলারের সাথে একটি ল্যাপটপ ট্যাপ করে। পিন প্যাডের তৈরি এবং মডেলটি লুকানোর জন্য একটি কাস্টম শীর্ষ কভার ছিল; গবেষকরা কোনও বিশেষ বিক্রেতাকে একত্রিত করতে চান না কারণ তাদের অনেকেই ক্ষতিগ্রস্ত হয়।

যখন ডেমো একটি বহিরাগত ডিভাইস ব্যবহার করে যা একজন অভ্যন্তরীণ ব্যক্তি বা একজন প্রকৌশলী হিসাবে প্রতিষ্ঠিত হতে পারে, হামলাকারীরা কেবলমাত্র পরিবর্তন করতে পারে ডিএলএল (ডাইনামিক-লিংক লাইব্রেরি) পিএইচপি-এর ফাইলটি ওএস এর মধ্যে ডাটা আটকাতে কাজ করে, যদি এটিকে রিমোট অ্যাক্সেস পায়। বৈধ পরিশোধিত সফ্টওয়্যার দ্বারা লোড করা একটি সংশোধিত ডিএলএল মেমরি স্ক্র্যাপিং ম্যালওয়্যারের চেয়েও কঠিন।

লুসিয়ান কনস্ট্যান্টিন

গবেষকরা প্যাট্রিক ওয়াটসন এবং নির ভল্টম্যান একটি জাল পুনরায় প্রিন্ট করার জন্য পেমেন্ট টার্মিনাল ব্যবহার করে PIN প্রম্পট পুনরায় প্রবেশ করুন।

এনসিআর গবেষকরা দেখিয়েছেন যে শুধুমাত্র আক্রমণকারীদের এই আক্রমণের কৌশল ব্যবহার করে কার্ডের চুম্বকীয় স্ট্রিপের এনকোডেড তথ্য চুরি করতে পারে, যা এটি ক্লোন করতে ব্যবহার করা যেতে পারে, তবে তারা কার্ডহোল্ডারদেরও তাদের PIN নম্বর এবং এমনকি নিরাপত্তা প্রকাশ করতে পারে। কোডগুলির পেছনে মুদ্রিত কোডগুলি।

সাধারণত পিন প্যাডগুলি পিওএস সফটওয়্যারে প্রেরণ করার সময় PIN নম্বর এনক্রিপ্ট করে। এটি একটি শিল্পের প্রয়োজন এবং নির্মাতারা এটি মেনে চলে।

"পিন পুনরায় প্রবেশ করুন" -এর দ্বারা আক্রমণকারীরা এটি চুরি করতে পারেন

তবে, মধ্য-মধ্য-আক্রমনকারীরা পিন প্যাড স্ক্রিন তথাকথিত কাস্টম ফর্ম আপলোড করে এই স্ক্রিনটি জিজ্ঞাসা করে যে আক্রমণকারীরা যা চান তা বলতে পারেন, উদাহরণস্বরূপ "PIN- পুনরায় প্রবেশ করুন" বা "কার্ড নিরাপত্তা কোড প্রবেশ করুন।"

নিরাপত্তা পেশাদাররা হয়ত জানেন যে তারা তাদের PIN পুনরায় প্রবেশ করতে বা কার্ড সুরক্ষা কোডগুলি সিভিভি ২ নামেও পরিচিত, শুধুমাত্র অনলাইন, কার্ড-অ-বর্তমান লেনদেনের জন্য প্রয়োজন হয় না, তবে নিয়মিত গ্রাহকরা সাধারণত এই জিনিসগুলি জানেন না। গবেষকরা বলেছিলেন।

বস্তুত, তারা পেমেন্ট থেকে পেশাদারদের কাছে এই আক্রমণের পদ্ধতিটি দেখিয়েছেন অতীতে শিল্প এবং 90 শতাংশ তাদের PIN- এন্ট্রি পর্দার সন্দেহজনক ছিল না, তারা বলেন।

কিছু পিন প্যাড হোয়াইটলিস্ট রয়েছে যা কাস্টম স্ক্রিনগুলিতে যে শব্দগুলি প্রদর্শিত হতে পারে তা সীমাবদ্ধ করে দেয়, তবে এই বেশিরভাগ শ্বেতবাদি শব্দগুলি "পুনরায় প্রবেশ করুন" শব্দগুলি অনুমোদন করে এবং এমনকি যদি তারা না করে তবে পিন প্যাড কাস্টম ফর্মগুলি হিসাবে ফিল্টারকে বাইপাস করার একটি উপায় রয়েছে চিত্রসমূহ। আক্রমণকারী কেবল পরিবর্তে সেই শব্দগুলির সাথে একটি চিত্রকে সেই শব্দ দ্বারা আটকান, যা একই পর্দার পর্দায় প্রদর্শিত রঙ এবং ফন্ট ব্যবহার করে।

এটাও লক্ষ্য করা যায় যে এই আক্রমণটি কার্ড পাঠক ও PIN প্যাডের বিরুদ্ধে কাজ করে যা EMV মান অনুযায়ী রদবদল করে। তারা চিপ-সক্ষম কার্ড সমর্থন EMV প্রযুক্তি আক্রমণকারীদের একটি চিপ-সক্ষম কার্ড থেকে চুরি করা ট্র্যাক ডেটা ব্যবহার করে একটি ক্লোন তৈরি করতে বাধা দেয় না এবং এটিকে এমন একটি দেশে ব্যবহার করে যা ই এমভিকে সমর্থন করে না বা টার্মিনালগুলি সমর্থন করে না যা কেবলমাত্র EMV- সক্রিয় থাকে এবং শুধুমাত্র কার্ড স্যুইপ করার অনুমতি দেয়।

ই এম ভি এরও ই-কমার্স লেনদেনের উপর কোন প্রভাব নেই, তাই যদি আক্রমণকারীরা কার্ডের ট্র্যাক ডেটা এবং কার্ডের CVV2 কোড লাভ করে তবে তাদের কাছে প্রতারণাপূর্ণ লেনদেনগুলি সঞ্চালনের জন্য প্রয়োজনীয় সমস্ত তথ্য আছে।

নির্মাতাদের জন্য, গবেষকরা পয়েন্ট-টু-পয়েন্ট এনক্রিপশন (P2PE) বাস্তবায়নের সুপারিশ, যা পিন প্যাড থেকে পুরো সংযোগটি পেমেন্ট প্রসেসরের কাছে ফেরত পাঠায়। বিদ্যমান হার্ডওয়্যারে P2PE প্রয়োগ করা যাবে না, যদি বিক্রেতা তাদের পিন প্যাড এবং পিওএস সফটওয়্যারের মধ্যে TLS (ট্রান্সপোর্ট লেয়ার সিকিউরিটি) দিয়ে যোগাযোগ রক্ষা করতে এবং পেমেন্ট অ্যাপ্লিকেশন দ্বারা পিন প্যাডে ফেরত পাঠানো সমস্ত অনুরোধগুলিকে ডিজিটালভাবে সাইন করে নিতে পারে।

এভাবে, ভোক্তাদের যদি কখনও পি-পি প্যাডে তাদের পিনের পুনরায় প্রবেশ করা না হয়, তবে তা কখনই পুনরায় করা উচিত নয়। তারা পর্দায় প্রদর্শিত বার্তাগুলি পড়া উচিত এবং অতিরিক্ত তথ্য চাইতে যারা তাদের সন্দেহ করা হবে। ডিফল্ট মানিব্যাগের সাথে মোবাইল পেমেন্টের মতো মোবাইল পেমেন্ট যেমন অ্যাপল পে ব্যবহার করা উচিত, কারণ এই সময়ে তারা ঐতিহ্যগত পেমেন্ট টার্মিনাল ব্যবহার করা নিরাপদ।