انتشار شده در تاریخ 1399/04/22 - 14:52

افزایش کلاه‌برداری‌ها از طریق فروشگاه‌های آنلاین

شرکت «Group-IB» از افزایش کلاه‌برداری‌ها با استفاده از خدمات پرداخت «P2P» در فروشگاه‌های آنلاین خبر داد.

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری گروپ‌آی‌بی در گزارشی تازه از افزایش کلاه‌برداری‌ها با استفاده از خدمات پرداخت شخص به شخص (P2P) و فروشگاه‌های جعلی آنلاین خبر دادند.

طبق گزارش این شرکت، در دوران قرنطینه در روسیه سرقت وجه از کارت‌های شهروندان با استفاده از فروشگاه‌های آنلاین جعلی افزایش چشمگیری داشته و 6 برابر شده است.

کلاه‌برداران سایت‌های فروشگاه‌های رسمی و مشهور را شبیه‌سازی کرده و کاربران را به این سایت‌ها هدایت کرده و فرم پرداخت هزینه کالا به آن‌ها ارائه می‌کنند و درنهایت وجه خرید کالا را به‌حساب خود انتقال می‌دهند. طبق گزارش گروپ‌آی‌بی، در ماه ژوئن بانک‌های بزرگ روسیه 400 تا 600 مورد تلاش برای چنین کلاه‌برداری‌ها را ثبت کرده‌اند.

مهاجمان در کلاه‌برداری‌های خود مکانیسم‌های امنیتی سرویس‌های پرداخت آنلاین و سرویس احراز هویت سه‌طرفه (3DS) را دور می‌زنند. این سرویس ساده خریداران را قادر می‌سازد با درخواست کد یک‌بارمصرف که معمولاً از طریق پیام کوتاه ارسال می‌شود، معاملات خود را از طریق اینترنت ایمن سازند.

تأیید هویت سه‌طرفه بدین‌صورت است که کاربر اطلاعات کارت پرداخت را در صفحه پرداخت فروشگاه آنلاین وارد می‌کند و سپس در همین صفحه بانک پذیرنده که به فروشگاه مورد نظر خدمات ارائه می‌دهد، درخواست می‌شود.

در پاسخ به درخواست، اطلاعات رمزگذاری شده در مورد پرداخت من‌جمله بانک پذیرنده که در صفحه خدمات 3DS نمایش داده می‌شود، آدرس صفحه 3DS بانک صادرکننده کارت، آدرس URL صفحه‌ای که کاربر پس از تأیید پرداخت با پین یک‌بارمصرف از طریق پیام کوتاه، به آن بازمی‌گردد، نمایش داده می‌شود.

در این نوع کلاه‌برداری، اطلاعاتی که توسط خریدار در صفحه جعلی پرداخت وارد می‌شود، جهت ارجاع به سرویس‌های عمومی P2P بانک‌ها در لحظه مورداستفاده قرار می‌گیرد.

زمانی که کاربر کد تأیید را در صفحه 3DS وارد می‌کند، خرید از فروشگاه آنلاین را تأیید نکرده و انتقال وجه به‌حساب کلاه‌بردار را تأیید می‌کند.

مجرمان سایبری برای اینکه کاربر متوجه نشود از سرویس‌های شخص به شخص ثالث استفاده می‌شود، آدرس URL بازگشت به نتایج احراز هویت و اطلاعات مربوط به پذیرنده را دست‌کاری و جایگزین می‌کنند تا در صفحه 3DS برای واردکردن کد تأیید، اطلاعات مشکوکی نمایش داده نشود.

به گفته کارشناسان گروپ‌آی‌بی، امنیت سه‌طرفه نسخه 1.0 که در حال حاضر به‌صورت فراگیر مورداستفاده قرار می‌گیرد، به محافظت در برابر کلاه‌برداری‌های فروشگاه‌های جعلی آنلاین کمک نمی‌کند و تنها فرایندهای پرداخت را از کلاه‌برداران خارجی محافظت کرده و مانع از سوءاستفاده از اطلاعات کارت‌های بانکی می‌شود.

کارشناسان این شرکت به بانک‌ها توصیه کرده‌اند جهت پیشگیری از چنین کلاه‌برداری‌هایی از سرویس‌های تأیید هویت نسخه 3DS 2.0 استفاده کنند.

پاول کریلوف (Pavel Krylov)، رئیس بخش توسعه محصولات Secure Bank و Secure Port در این خصوص اعلام کرد:

کلاه‌برداری با استفاده از پرداخت‌های P2P در دوران همه‌گیری جهانی روند تازه‌ای به خود گرفته است. استفاده فراگیر از پروتکل 3DS نسخه 1.0 منجر به گسترش چنین کلاه‌برداری‌ها خواهد شد.