مع التوجه من قبل الدول العربية الي فكرة الشمول المالي والقيام بكافة المعاملات المالية عن طريق البطاقات مسبقة الدفع او التأمينية فيزا وماستركارد بالتأكيد ذادت مخاطر سرقة وتهكيرك البطاقات المصرفية والاستيلاء علي الارصدة بها من قبل المخترقين "الهكر"، وفي هذا المقال تعريف بكيفية تهكير الهكر للبطاقة البنكية الخاصة بك وكيفية الحماية من ذلك.
فكرت قبل كده إزاي بيتم سرقة الفلوس من الفيزا ؟!!
كلنا عارفين الطرق التقليديه هوا أنه تتسرق منك و يكون معاه الـ Password أو يستخدمها Online أو يحصل Phishing على Paypal Account الخ..
لكن دلوقتي الموضوع مش محتاج أكتر من تلامس
كلنا عارفين أنه ممكن الدفع عن طريق ملامسة الـ Credit Card لـ ماكينة الدفع أو لو مفعلها على الـهاتف Phone و بيتطلب مجرد ملامسة لـ ماكينة الدفع بردو لاكن في ناس بتفعل خاصية بصمة المالك أو الـ PIN Code في حالة إستخدامها كـ زيادة أمان ‼️
لكن هل ممكن أخد نسخه من الـ Visa عندي على الـ Phone و بدون علم المالك ؟!!
فريق مكون من مجموعة أكاديميين في سويسرا طورو Android App بيسمحلك تعمل العمليه دي بسهوله تامه
طيب تعالو الأول نفهم بتشتغل إزاي ..
دلوقتي في السيناريو العادي أنت علشان تدفع حق حاجه أشتريتها بتطلع الـ Visa وتلامسها بجهاز الـ POS و لو متعرفش إيه هوا الـ POS فـ هوا الجهاز المسؤول عن عملية الدفع (الي بتلامس بيه الفيزا)
الـ Attacker بقا بيعمل نفس السيناريو ده و بيسرق بطاقتك بدون ماتحس
طب إزااااي بردو !!
الـ Attacker كل الي هيحتاجه تيليفونين Android و يكون فيهم ميزة الـ NFC و هينزل عليهم الـ App الي قولتلك عليه فوق
و خلال عملية الدفع هيوهمك بتيليفون منهم أنه هوا الـ POS و أنت طبعاً واثق فيه و هتلامس الـ Visa بتاعتك بالتيليفون ده أو ممكن يكون الـ Phone في نموذج لشكل جهاز الـ POS علشان متشكش فيه و مجرد ملامسة الـ Visa بتاعتك له فـ كل بيانتها هتروح على الـ Phone التاني للـ Attacker عن طريق الـ WIFI و خلال العمليه دي بيتم تعديل طريقة المعامله و إلغاء عملية طلب الـ PIN أو البصمه بدون معرفة المالك.
و بعدين الـ Attacker هيلامس تيليفونه التاني الي سحب عليه بطاقة الفيزا بجهاز الـ POS الحقيقي علشان المعامله تتم
لكن في الحقيقه فـ هوا خد منها نسخة و يقدر يستخدمها بحريه
و ده فيديو بيوضح الكلام ده
و قال الباحثيين أنه المشكله ممكن تكون بسبب عيوب في تصميم بروتوكول عدم التلامس في الـ Visa أو (Visa Contactless Protocol) و ممكن العيب كمان في الـ EMV Standard أو (معيار ماكينة الدفع)
و قال الباحثين في ETH Zurich أو المعهد السويسري الفيدرالي إنهم جربو العمليه على أرض الواقع و في أماكن بيع و إنها كانت ناجحه تماماً
و كانت تجربتهم على الـ (Visa Credit - Visa Electron - VPay)
طب و بالنسبه للـ Master Card !!
أحب أقولك أنه دي ليها Attack لوحدها 😂😂
الباحثيين قالو إنهم إستخدمو Tool إسمها Tamarin و في الأصل الـ Tool دي بتستخدم لكشف الثغرات المعقده في بروتوكول TLS 1.3 و الـ 5G Authentication .
المهم الـ Tool دي كشفت عن مشكله بردو بتأثر على الـ Master Card و مش كده وبس ده على الـ Visa كمان 😂
و المشكله دي شبه السيناريو الأول لاكن في حالة معامله مش Connected بالأنترنت أو بطاقة Master Card قديمه و دي مش هتعمل Authentication مع أجهزة الـ Terminal لاكن بترجع للـ Card Issuer أو جهة إصدار البطاقه لاكن زي ماقولنا لو مفيش إنترنت (Offline Transaction) و المعامله هتتم و الـ Attacker هينفذ عمليته قبل ما العميل (الضحية) يعمل عمليه تانيه و البنك يكتشف الي حصل 🤦♂️
و الباحثيين قالو إنهم مجربوش الـ Attack التاني لإسباب أخلاقيه .
بس أنا أظن منفذوهوش لأسباب تانيه خالص 😏
الخلاصه دايماً تحرص و متستخدمش النوع ده من المعاملات غير في المؤسسات الكبيره أو المعروفه ✋
المقال من طرف المهندس/ محمد ابراهيم
المصادر :
https://thehackernews.com/2020/09/emv-payment-card-pin-hacking.html
https://www.zdnet.com/article/academics-bypass-pins-for-visa-contactless-payments/
https://www.world-today-news.com/academics-bypass-pins-for-visa-contactless-payments