روند رو به رشد تجارت الکترونیک، مخاطرات امنیتی جدیدی را به همراه داشته است. سرقت اطلاعات کارت اعتباری و حملات carding، بیشترین آسیب را به کسب و کارهای آنلاین و افراد وارد می کنند. پیش بینی می شود تا سال 2024، این نوع کلاهبرداری ها، زیان بیش از 25 میلیارد دلاری به مشاغل آنلاین وارد نمایند. راهکارهای امنیتی قدیمی، دیگر پاسخگوی تهدیدات امنیتی جدید نیستند و نمی توان از تکنولوژی های قدیمی جهت محافظت از کسب و کارهای آنلاین بهره برد.
چرا تجارت الکترونیک همواره هدف حمله هکرها است؟
به دلیل وجود حجم زیاد اطلاعات حساس و مهم کاربران در فروشگاه های آنلاین، همواره تجارت الکترونیک هدف حملات سایبری بوده است. دادههای موجود در سایتهای فروشگاهی معمولا شامل اطلاعات شخصی مشتریان، جزئیات کارت اعتباری و موارد دیگر هستند. صاحبان کسب و کارهای آنلاین باید حجم گستردهای از ابزار و سیاستهای امنیتی را پیاده سازی کنند. در این صورت است که می توانند به ذخیره سازی امن اطلاعات کاربران، بپردازند.
تصویر(1)
متاسفانه مقاومت در برابر حجم رو به افزایش حملات سایبری روز به روز دشوارتر می شود. از کسب و کارهای کوچک تا بازارهای بزرگ بین المللی، همگی می توانند دچار عواقب نقض دادهها شوند. مشخص نیست که چه سایتی میتواند مورد حمله هکرها قرار گیرد، به همین دلیل نباید از تمهیدات امنیتی برای هیچ سایتی چشم پوشی نمود.
کلاهبرداری ها در پرداخت آنلاین: از سرقت اطلاعات کارت تا حملات carding
کلاهبرداری در پرداخت آنلاین، از رایج ترین تهدیدات امنیت سایبری محسوب می شود. سرقت اطلاعات کارت بانکی، تجربه خرید ایمن را از بین میبرد و خسارات زیادی به فروشنده و خریدار وارد می کند. ضرر مالی و از بین رفتن اعتبار در این نوع از حملات سایبری، بسیار بالا است.
سرقت اطلاعات کارتهای اعتباری جهت استفاده در خریدهای غیرمجاز، یا فروش آن در بازار سیاه، تعاریف دیگری از کلاهبرداری در پرداختهای آنلاین هستند. پس از افشای اطلاعات بانکی، معمولا آن اطلاعات در deep web به فروش می رسند. متاسفانه این روند فروش اطلاعات در deep web، شناسایی و ردیابی مجرمان سایبری را دشوار می سازد.
مجرمان سایبری برای اعتبارسنجی اطلاعات به سرقت رفته کارتهای اعتباری، حملات carding را انجام می دهند.
تصویر(2)
هکرها چگونه اطلاعات کارتهای اعتباری را به سرقت میبرند؟
مجرمان سایبری می توانند در هر یک از مراحل پرداخت آنلاین، اقدام به سرقت اطلاعات کارتهای اعتباری نمایند. این سرقت می تواند از طریق سبد خرید کاربران در فروشگاه اینترنتی رخ دهد یا از طریق فیشینگ و ایجاد صفحه جعلی انجام پذیرد. وجود طیف گسترده ای از عملیات مخرب که نقض دادهها را تسهیل می کنند، موجب موفقیت کلاهبرداریهای آنلاین می شود. استفاده ترکیبی از مهندسی اجتماعی و آسیب پذیریهای سیستم، می تواند دسترسی غیرمجاز به اطلاعات حساس پرداخت را ممکن سازد.
حملات JavaScript Sniffing: دزدیدن اطلاعات پرداخت از صفحه Checkout
یکی از رایج ترین حملات سایبری، تزریق کد به سایت های فروشگاهی در جهت سرقت اطلاعات پرداخت است. این عمل به عنوان حملات JavaScript sniffing نیز شناخته می شود. این حمله به صورت تزریق کد جاوا اسکریپت در فایلهای وب سایت یا فراخوانی فایل از منابع دیگر، انجام میپذیرد. روش دوم معمولا از طریق تزریق به پایگاه داده یا SQL injection پیاده سازی می شود. از سیستمهای فروشگاهی که بیشتر مورد هدف قرار گرفته اند می توان به مجنتو و ووکامرس اشاره کرد.
اگر مالک فروشگاه ووکامرسی هستید، زمانی را به اسکن دیتابیس خود اختصاص دهید. اگر با فایلهای مشکوک جاوا اسکریپت روبرو شدید، از کنار آنها به سادگی عبور نکنید. برای جستجوی آدرس فایلهای جاوا اسکریپت مشکوک، باید وارد phpmyadmin شوید. دیتابیس مربوط به فروشگاه خود را انتخاب کنید و سپس روی گزینه "search" کلیک نمایید. در این پنجره باید قطعه کد زیر را قرار دهید:
%script%src=%.js%script%
سپس همه جداول را با کلیک روی "Select all" انتخاب کنید تا جستجو در همه جداول انجام گردد. در آخر روی "Go" کلیک نمایید.
تصویر(3)
پس از آن باید آنالیز و بررسی نتایج جستجو انجام شود تا از عدم وجود فایلهای مشکوک جاوا اسکریپت، اطمینان حاصل گردد. علاوه بر این، میتوان از ابزار آنلاین اسکن ویروس استفاده کرد. این ابزار با بررسی فایل های فراخوانی شده از منابع دیگر، تهدیدات امنیتی احتمالی را شناسایی می کنند.
همین روال برای فروشگاه های مبتنی بر مجنتو نیز قابل انجام است. در اغلب موارد، فایل های مشکوک جاوا اسکریپت از جدول core_config_data فراخوانی می شوند.
حملات carding چیست؟
مجرمان برای اعتبارسنجی اطلاعات سرقت شده کارتهای اعتباری، سیستم بررسی خودکار کارتها را به کار می گیرند. به این سیستم بررسی خودکار، حملات carding یا credit card stuffing گفته می شود. این اولین گامی است که پس از دریافت اطلاعات کارت اعتباری یا خرید آن، از سوی مجرمان صورت می پذیرد.
تصویر(4)
حمله Carding، عملیاتی خودکار است که معمولا به وسیله ربات ها انجام می گردد. هدف این حمله سایبری نیز اعتبارسنجی اطلاعات به سرقت رفته کارت بانکی می باشد. این حملات علیه سیستمهای پردازش پرداخت استفاده شده و معمولا در فروشگاه های آنلاین صورت می پذیرد.
لازم به ذکر است که سایت هدف حمله Carding به صورت تصادفی انتخاب می گردد. همه مشاغل درگیر در تجارت الکترونیک، از کلاهبرداریهای زمان پرداخت و حمله Carding آسیب خواهند دید.
حملات carding چگونه عمل می کند؟
حملات carding تا حد زیادی خودکار هستند. مجرمان یک ربات یا شبکهای از رباتها که باتنت نامیده می شوند را راه اندازی میکنند. این شبکه باتنت، فرایند اعتبارسنجی اطلاعات به سرقت رفته کارتها را انجام می دهد. علاوه بر این، شبکه باتنت می تواند جهت یافتن اطلاعات گم شده کارت مانند CVV و تاریخ انقضای آنها نیز به کار گرفته شود. این عملیات می تواند در دو مرحله انجام گردد:
- بررسی مجوزها یا Authorizations:
مجرمان با استفاده از Authorizations کارت میتوانند بدون شناسایی شدن، اطلاعات آن را اعتبارسنجی کنند. به عنوان مثال، فرایند Authorizations شامل آگاهی یافتن از موجودی کافی برای انجام یک تراکنش می شود. این نوع استعلامها معمولا به صاحبان کارت اطلاع رسانی نمی شوند (از طریق پیامک یا ایمیل). لذا آنها از سرقت اطلاعات کارت خود مطلع نخواهند شد.
- تراکنش یا Transactions:
مهاجمان می توانند با انجام تراکنش های کوچک از صحت اطلاعات کارت اطمینان حاصل نمایند. از این رو، کسب و کارهای کوچک با محصولات کم قیمت، یک قربانی عالی برای حملات carding هستند.
جهت اعتبارسنجی کارتهای سرقت شده، ممکن است نیاز باشد تا هزاران بار این کار انجام گردد. زیرا اطلاعات کارتهای اعتباری به صورت کلان و انبوه سرقت یا فروخته می شوند. حملات carding به صورت توزیع شده انجام می گردد. طی این حمله سایبری، انبوهی از سایت های تجارت الکترونیک به صورت همزمان هدف قرار داده می شوند. این حمله با استفاده از رباتها پیادهسازی می گردد. همین امر تشخیص و مقابله با آن را برای سیستمهای امنیتی مرسوم دشوار می سازد. داشتن یک شبکه گسترده از سیستم های آلوده (باتنت ها)، امکان تغییر IP و دور زدن firewall ها را نیز امکانپذیر میکند.
3 مورد از بدترین اثرات حمله Carding برای کسب و کارها
متاسفانه کلاهبرداریهای پرداخت الکترونیک و حمله Carding، موضوعاتی اجتناب ناپذیر در تجارت الکترونیک هستند. تاثیر منفی این نوع حملات شامل تمام صنایع و اکوسیستم های پرداخت آنلاین خواهد بود. ممکن است تصور شود که صرفا صاحب کارت ضرر خواهد کرد اما واقعیت این است که فروشندگان و سیستمهای پرداخت نیز متضرر می گردند. علاوه بر این، شهرت و اعتبار آنها نیز از بین میرود.
طبق مطالعات اخیر، کسب و کارها به ازای هر 1 دلار تراکنش جعلی، 4 دلار دیگر نیز از دست می دهند. متاسفانه این روند در سال های آینده افزایش خواهد یافت. اگر اقدامات امنیتی لازم صورت نگیرد، اثرات منفی حمله Carding به مرور زمان انباشته خواهد شد. از مخرب ترین عواقب این حمله می توان به سه مورد زیر اشاره نمود:
- صدمه به شهرت: به دلیل حملات carding، میزان بالایی از تراکنش ها رد می شوند و این امر باعث نارضایتی مشتریان می گردد. همچنین اعتبار سایت نزد درگاههای پرداخت کاهش می یابد. با کاهش اعتبار سایت، تراکنش ها نیز کمتر می شوند.
- ضرر مالی: وقتی مالک کارت از کلاهبرداری در پرداخت مطلع گردد، جهت جبران خسارت، درخواست بازگشت وجه می کند. بازگشت وجه یک تهدید بزرگ برای پایداری کسب و کارهای آنلاین است.
- فشار روی زیرساخت: حجم بالای تست کارتها، موجب ارسال درخواست های زیاد به سرور میزبان سایت شده و با مشغول کردن آن، امکان ارائه خدمات را از سرور خواهد گرفت.
تصویر(5)
نحوه شناسایی حملات carding چگونه است؟
در صورت استفاده ترکیبی از مانیتورینگ سمت سرور و برخی معیارهای ردیابی خاص مانند نرخ پرداخت اشتباه، می توان حملات carding را شناسایی نمود.
نشانه های حملات carding در سرور
مانند سایر حملات مبتنی بر رباتها، در صورت وقوع حملات carding نیز ترافیک غیر منتظره بالایی از IP های خاص، ایجاد می شود. در زمان وقوع این حمله، کندی غیر معمول در پاسخگویی سایت دیده خواهد شد. همچنین لود سرور میزبان هاست بالا رفته و وب سرور درخواست های http را در صف پاسخگویی قرار می دهد.
نشانه های حمله Carding در فرآیند پردازش خرید و پرداخت
در زمان حمله Carding یا حتی بعد از فروکش کردن آن، نشانه هایی در فروشگاه آنلاین نمایان خواهد شد. برخی از آن ها عبارتند از:
- افزایش قابل توجه اعتبارسنجی های ناموفق در پرداخت.
- افزایش درخواست برگشت وجه
- نرخ بالای سبد خریدهایی که به پرداخت نمی رسند و ترک می شوند.
- تعداد زیادی سبد خرید که دارای مبلغی کمتر از نرخ میانگین فروشگاه هستند.
- حجم زیادی از پرداختهای ناموفق از سمت یک IP ثابت، رنج IP مشخص یا یک حساب کاربری خاص انجام شده است.
کاهش حملات carding در سه مرحله
برای کاهش حملات carding سه مرحله باید به سرعت انجام گردد:
- شناسایی ترافیک ایجاد شده از سوی ربات ها
- اعمال محدودیت و قوانین سختگیرانه تر در firewall ها
- مسدود سازی هرگونه درخواست جعلی باقیمانده
البته این فرایند نیازمند رسیدگی سریع به گزارشات ابزار مانیتورینگ است. در کنار آن باید در کمترین زمان ممکن، عملیات ایمن سازی کامل سایت را پیاده سازی نمود.
مرحله اول: شناسایی ترافیک ایجاد شده از سوی ربات ها
تصویر(6)
اگر این احتمال وجود دارد که سایتی تحت حملات carding قرار گرفته باشد، در اولین فرصت باید ترافیک ورودی آن بررسی شود. بدین منظور بهتر است از شرکت هاستینگ خود بخواهید تا موضوع را بررسی نماید. یک مدیر سرور با بررسی گزارشات ذخیره شده در سرور، می تواند به سرعت وجود حمله را تشخیص دهد. اگر از شبکه CDN استفاده می نمایید نیز امکان بررسی لاگها را خواهید داشت. هدف اصلی در این مرحله، شناسایی الگوی خاصی از درخواست های ارسالی مرتبط با رنج IP های خاص می باشد.
مرحله دو: اعمال محدودیت ها و قوانین سختگیرانه تر در firewall ها
تصویر(7)
برای اینکه کاهش حملات carding با موفقیت همراه شود، باید تنظیمات مناسبتری در ابزار امنیتی لحاظ نمود. این تنظیمات می تواند شامل قوانین سختگیرانه تر و افزایش محدودیت ها در نرم افزار امنیتی یا فایروال باشد. نتیجه این تنظیمات، پاسخگویی سریعتر به هر گونه فعالیت غیرمعمول خواهد بود.
استفاده از قابلیت under attack یا "تحت حمله" در سایت های ارائه دهنده CDN نیز راهکار مناسبی است. این قابلیت با اعتبارسنجی کاربران ورودی، از حملات جلوگیری خواهد کرد. با توجه به تاثیر منفی که این ویژگی در بلندمدت روی تجربه کاربری دارد، باید صرفا در زمان وقوع حمله از آن استفاده گردد.
مرحله سه: انسداد دستی هرگونه درخواست جعلی باقیمانده
تصویر(8)
استفاده ترکیبی از انسداد خودکار و دستی، نتیجه بسیار خوبی در کاهش حملات carding دارد. سیستمهای تشخیص تقلب با همه مزایایی که ارائه میدهند، هنوز کامل نیستند و وجود انسان در فرایند تشخیص و انسداد می تواند بسیار سودمند باشد. پس از آنالیز ترافیک ورودی، باید IP ها یا رنج IP هایی که حمله را انجام داده اند، شناسایی گردند. برای انسداد رباتهای مشکوک، باید ابتدا مکان جغرافیایی، شهرت، امتیاز و گزارش های تخلف IP آن ربات را بررسی نمود. پس از حصول اطمینان، آن IP باید به صورت دستی مسدود شود.
سه جنبه اساسی ایمنسازی تجارت الکترونیک در مقابل حملات carding و کلاهبرداری در پرداخت
ایمن سازی تجارت الکترونیک، چند وجهی است و باید آن را مانند یک سیستم واحد در نظر گرفت. به جای جستجوی راهکار جهت ایمن سازی سایت در مقابل نوع خاصی از حملات، از امنیت کافی سایت در مقابل حملات سایبری مدرن، اطمینان حاصل کنید. باید از یک سیستم امنیتی که قدرت شناسایی عوامل مشکوک و جلوگیری از کلاهبرداری ها را دارد، استفاده گردد. سه روش ایمن سازی کسب و کارها در مقابل کلاهبرداریهای اینترنتی و حمله Carding عبارتند از:
پیاده سازی امنیت در سطح لایه نرم افزار
هر تجارت الکترونیک، نیاز به پیاده سازی سیستم امنیتی در لایه نرم افزار دارد. سیستمی که هرگونه فعالیت مشکوک را پیش بینی کرده و قبل از ایجاد مشکل برای فروشگاه آنلاین، مبدا آن فعالیتها را مسدود نماید. این سیستم باید به صورت ترکیبی از ابزار مبتنی بر ابر (cloud-based) و فایروال اپلیکیشن مبتنی بر هاست (host-based)، پیاده سازی شود.
مجموعه ای از قوانین مدیریتی خاص و دلخواه در این ابزار امنیتی، همه درخواست های HTTP ورودی به وبسایت را آنالیز می کنند. این آنالیز شامل بررسی آدرس IP، مکان جغرافیایی آن، نوع کاربر درخواست کننده و دیگر جنبه های مهم می شود. این موارد با قوانین تعیین شده مقایسه می گردند.
آنالیز پیشرفته ترافیک داده و مدیریت ربات ها
ترافیک مشکوک ایجاد شده از سوی ربات ها می تواند بر اساس مکان IP رباتها، شهرت آن IP و دیگر موارد شناسایی گردد. با این حال هکرها نیز با علم به این موضوع، روش های جدیدی برای دور زدن ابزار امنیتی پیدا میکنند. به همین دلیل وجود سیستم های پیشرفته تحلیل و آنالیز ترافیک جهت مدیریت ربات ها الزامی می باشد.
استفاده از CAPTCHA یکی از روشهای مرسوم است اما این روش قدیمی شده و با توجه به پیشرفت ربات ها، دیگر آن کارایی قبل را ندارد. شرکت ها نیز به سمت ارائه سیستم های اعتبار سنجی قدرتمندتر رفتهاند. تلاش آنها باعث خلق سیستم هایی شده که تاثیر منفی روی تجربه کاربری بازدیدکنندگان ایجاد نمی کنند.
سیستم Cloudflare Turnstile نتیجه یکی از این تلاش ها است. این سیستم با اجرای چالش های غیر تعاملی اقدام به جمع آوری اطلاعات رفتاری بازدیدکنندگان می کند. سیستم های مدیریت ربات ها، با دریافت اطلاعات رفتاری بازدیدکنندگان اقدام به مقایسه آن با کاربران واقعی کسب و کارهای آنلاین می کنند. این عمل به شناسایی رباتهای پیشرفته کمک خواهد نمود.
اعمال محدودیت ها در سفارشات و پرداخت ها
اعمال سیاستهای خاص در خرید و پرداخت، منجر به محدودسازی رفتار خریداران می شود. برای نمونه:
- کمترین میزان افزایش حجم سفارش
- ثبت نام اجباری قبل از انجام خرید
- محدود سازی تعداد کاربر قابل ایجاد بر اساس IP ها
- محدود سازی تعداد کارت های قابل استفاده از سوی یک کاربر
- محدود کردن تعداد پرداخت ناموفق بر اساس IP و حساب کاربری در بازه زمانی مشخص
جمع بندی
کلاهبرداری در پرداخت و حملات carding، هر ساله میلیونها دلار خسارت به تجارت الکترونیک وارد می کنند. این حملات موجب اختلال گسترده در صنعت پرداخت آنلاین نیز می شوند. با توجه به انجام این حملات توسط ربات ها، هیچ کسب و کاری دیگر ایمن و به دور از خسارات احتمالی، نخواهد بود.
جهت ارائه تجربه خرید ایمن به کاربران خود، باید تمهیدات امنیتی بروز برای سایت در نظر گرفته شود. فایروال اپلیکیشن های تحت وب و سیستم های تشخیص کلاهبرداری، می توانند کمک شایانی در تشخیص حملات و جلوگیری از ضرر مالی و اعتباری سایت نمایند.