এই ক্ষুদ্র ডিভাইস পয়েন্ট-অফ-বিক্রয় সিস্টেমগুলিকে সংক্রমিত করে এবং হোটেলের কক্ষগুলি আনলক করতে পারে

পয়েন্ট অফ বিক্রয়ের সিস্টেম এবং হোটেল রুম লক হাজার হাজার কোটি টাকার একটি ক্ষুদ্র, সস্তা ডিভাইস স্থাপন দ্বারা হ্যাক করা যায় তাদের কার্ড পাঠকদের কাছ থেকে কয়েক ইঞ্চি দূরে।

লাস ভেগাসের ডিএএফ কন কনফারেন্সে রবিবার এই ডিভাইসটি র্যাপিড 7 এ সিনিয়র সিকিউরিটি ইঞ্জিনিয়ার ওয়েস্টন হেককারের সৃষ্টি। এটি স্যামসাং গবেষক সামি কামকারের দ্বারা তৈরি করা আরেকটি ডিভাইস ম্যাজসপোফের দ্বারা অনুপ্রাণিত হয়েছিল।

ম্যাগসপোফ একটি শক্তিশালী ইলেক্ট্রোম্যাগনেটিক ফিল্ড তৈরি করে একটি নির্দিষ্ট কার্ড স্যুইপ করা বিশ্বাস করার জন্য সবচেয়ে মানক কার্ড পাঠককে চালাতে পারে যা কার্ডের চুম্বকীয় স্ট্রাইপে । Kamkar এটি একটি ডিভাইসের সঙ্গে আপনার সব কার্ড প্রতিস্থাপন করার একটি উপায় হিসাবে উপস্থাপন, কিন্তু হেক্ভার ধারণা গ্রহণ এবং এটি সঙ্গে কি কি করা হতে পারে তদন্ত।

[আরও পড়া: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ কিভাবে]

তিনি বিন্দু-বিক্রয়ের বিক্রয় ব্যবস্থার দিকে তাকিয়ে শুরু করেন এবং দেখান যে তাদের মধ্যে অনেক কার্ড পাঠককে স্ট্যান্ডার্ড ইউএসবি মানুষের ইনপুট ডিভাইস হিসাবে ব্যবহার করে এবং তাই তাদের মাধ্যমে কীবোর্ড ইনপুট গ্রহণ করা হবে।

হেকমার একটি যন্ত্র তৈরি করে যা ম্যাগসপোফের অনুরূপ এবং যা , যখন একটি কার্ড রিডারের কাছে স্থাপন করা হয়, তখন বিদ্বেষপূর্ণ কীবোর্ড কমান্ড পাঠানো হবে যা বিন্দু-বিক্রয়ের-সিস্টেমে কার্যকর হবে। এর অর্থ হল কোনও আক্রমণকারী এই সিস্টেমে দূরবর্তী একটি সিস্টেমের কমান্ড প্রম্পট খুলতে ব্যবহার করতে পারে এবং এটি প্রয়োজনীয় কীবোর্ডের কমান্ডের সাহায্যে মেমোরি স্ক্র্যাপিং ম্যালওয়ার ডাউনলোড এবং ইনস্টল করতে এটি ব্যবহার করে।

ওয়েস্টন হেকমার / রেপিড 7

এই চৌম্বকীয় কার্ড স্পুফার ডিভাইস কার্ড ইফেক্টগুলি কয়েক ইঞ্চি দূরে ছড়িয়ে দিতে পারে।

দুর্বলতা বিক্রেতার নির্দিষ্ট নয়, হ্যাকারের মতে উইন্ডোজ চালিত সর্বাধিক PoS সিস্টেমের আক্রমণ এবং একটি কীবোর্ডের সাথে কাজ করার জন্য ডিজাইন করা হয়। এই নকশা জনপ্রিয় এবং এই ধরনের পেমেন্ট সিস্টেম ব্যাপক।

কোন হস্তক্ষেপ এবং প্যাকেট ক্ষতি আছে কিনা তা নিশ্চিত করার জন্য একটি আক্রমণকারী রিডারের চার এবং এক-অর্ধ ইঞ্চি মধ্যে ডিভাইস স্থাপন করতে হবে। তবে, ডিভাইসটি কার্ডের একটি ডেকের আকারের ওপর নির্ভর করে কারণ এটি আক্রমণকারীর সোভিয়ে বা খালি ফোন ক্ষেত্রে সহজেই লুকানো থাকতে পারে। তারপর এটি একটি পরিস্থিতি তৈরির একটি বিষয় যেখানে PoS কয়েক সেকেন্ডের জন্য অযৌক্তিক, যেমন ক্যাশিয়ার ম্যানেজারকে ডাকার অনুরোধ জানানো।

র্যাপিড 7 এর ডিজাইনের ত্রুটিটি US-CERT- কে সনাক্ত করা এবং সনাক্ত করার প্রক্রিয়ার মধ্যে রয়েছে ক্ষতিগ্রস্ত বিক্রেতারা দুর্ভাগ্যবশত, ত্রুটিগুলি একটি সমাধান করার জন্য দীর্ঘ সময় লাগবে এমনকি বিক্রেতাদের একটি সফ্টওয়্যার প্যাচ তৈরি করতে হবে কারণ অনেক PoS ডিভাইসগুলি একটি টেকনিশিয়ান দ্বারা ম্যানুয়াল আপডেটের প্রয়োজন।

Hecker এছাড়াও ইলেকট্রনিক হোটেল দরজা লক্স তার ডিভাইস ব্যবহার করার একটি উপায় খুঁজে পাওয়া যায়, যা সাধারণত চৌম্বক কার্ড সঙ্গে কাজ পিওএস আক্রমণের বিপরীতে, যেখানে লক্ষ্যটি সিস্টেমের দরজা লকগুলির ক্ষেত্রে সিস্টেমটি সংক্রামিত হয়, লক্ষ্যটি সংশ্লিষ্ট কী কার্ডের উপর এনকোডেড ডেটাতে প্রাণঘাতী বল হয়।

রুম অ্যাক্সেস কার্ডের তথ্য এনক্রিপ্ট করা হয় না এবং একটি অতিথি চেক, রুম নম্বর এবং চেক-আউট তারিখের সময় হোটেল দ্বারা উত্পন্ন একটি রেকর্ড আইডি গঠিত।

তারিখটি নির্ধারিত বা সহজে অনুমান করা যেতে পারে কারণ একটি হোটেল থাকার সাধারণত কয়েক দিন পর্যন্ত সীমিত, এবং রেকর্ড আইডি, বা ফোলিও নম্বর, হেকেরের ডিভাইস ব্যবহার করে ক্রাইস্ট-ফোর্স হতে পারে কারণ এটি সাধারণত ছোট এবং প্রতিটি নতুন গেস্টের সাথে ক্রমান্বয়ে বৃদ্ধি পায়। এর মানে হল যে কোনও আক্রমণকারী অন্য একটি কার্ডের তথ্য পড়ার মাধ্যমে পরীক্ষা করার জন্য সংখ্যাগুলির পরিধি সম্পর্কে খুব সুন্দর ধারণা পেতে পারে - উদাহরণস্বরূপ, তার নিজের।

হেকারের অনুমান করা হয় যে জঙ্গলে একটি হোটেলে একটি সাধারণ রুম লককে 50 থেকে 100 কক্ষের প্রায় 18 মিনিট সময় লাগবে। একটি বিশেষ কী জোর করে মাতামাতি এবং কর্মীদের দ্বারা ব্যবহৃত হয়, প্রায় অর্ধেক ঘন্টা লাগবে।

আক্রমণকারীর জন্য চমৎকার অংশ হল যে তিনি দরজার কাজ করে ডিভাইসটিও ছেড়ে দিতে পারেন এবং তার উপর বিজ্ঞাপিত হতে পারেন মোবাইল ফোন যখন সঠিক তথ্য সংযোজন পাওয়া যায়।

এই অন্য নকশা ফ্লেক যে অনেক বিক্রেতাদের প্রভাবিত বলে মনে হয়, Hecker বলেন। ফোলিও সংখ্যার জন্য বড় হতে হবে এবং নতুন অতিথিদের জন্য এলোমেলোভাবে সাজানো হবে। প্রক্রিয়াটি এনক্রিপশন যোগ করা ভালো হবে, তবে নতুন সিস্টেমের পরিবর্তে নতুন এনক্রিপশন-সক্ষম লক দিয়ে প্রতিস্থাপনের প্রয়োজন হবে, তিনি বলেন।