همه‌چیز درباره‌ی هک درگاه پرداخت

کاربران و مشتریان فروشگاه‌های اینترنتی، اخیرا به دنبال روش‌هایی برای دور زدن و هک درگاه پرداخت هستند. برای این منظور راهکارهای مختلفی وجود دارد. به عبارت دیگر برخی از کاربران با قصد قبلی، تصمیم می‌گیرند در فرآیند خرید خود، از طریق این راهکارها، درگاه پرداخت را دور زده و بدون انجام عملیات واریز وجه، فرآیند خرید خود را تکمیل نمایند.

در چنین روشی، در فهرست فروش کسب و کارها، سفارشاتی به صورت تکمیل شده وجود دارد که در گزارش آن‌ها، مشتری دانلودهای خودش را به طور کامل انجام داده است. اما تراکنش موفقی در درگاه پرداخت ثبت نشده است. در واقع این تراکنش‌ها به صورت ناموفق در درگاه پرداخت ثبت می‌شوند. اما چه‌گونه می‌شود که تراکنشی موفق نبوده باشد اما کاربر توانسته باشد به وب‌سایت برگردد و سفارش خود را تکمیل نماید؟

راه‌های هک کردن درگاه پرداخت

اصولا تراکنش‌های اینترنتی سازکار پیچیده‌ای دارند. برای دور زدن درگاه پرداخت در هنگام انجام تراکنش، کاربر باید به این سازکار پیچیده، اشراف کاملی داشته باشد. فقط در این صورت است که می‌تواند راهکاری برای خرید آنلاین، بدون پرداخت هزینه پیدا کند. در ادامه سه روش ممکن برای دور زدن درگاه پرداخت توسط کاربران شرح داده می‌شود.

تغییر قیمت محصول

ساده‌ترین راه برای هک درگاه پرداخت در جریانِ یک خرید اینترنتی، دستکاری قیمت محصول مورد نظری است که توسط کاربر خریداری می‌شود. برای تغییر قیمت محصول مورد نظر، کافی است پیش از افزودن محصول به سبد خرید، آن را در قسمت فرم مخفی که در آن قیمت ذکر شده است، تغییر دهید. به این ترتیب هیچ گاه قیمت واقعی آن محصول به سبد خرید اضافه نمی‌شود و شما می‌توانید محصول مورد نظرتان را کاملا رایگان خریداری کنید.

<input type=”hidden” name=”business” value=”abc@xyz.com”>
<input type=”hidden” name=”cmd” value=”_xclick”>
<input type=”hidden” name=”item_name” value=”Classmate_Notebook”>
<input type=”hidden” name=”amount” value=”550">
<input type=”hidden” name=”currency_code” value=”INR”>

این روش بسیار ساده است و برای هکرهای تازه کار قابل انجام هستش و به دلیل ساده بودن آن،بیشتر سایت‌های فروشگاه‌های اینترنتی از آن اطلاع دارند و المان‌های مخفی نخواهند داشت.

تغییر قیمت سبد خرید

دومین راهکار برای دور زدن درگاه پرداخت و خرید رایگان، دستکاری مقدار محصولی است که قصد خرید آنلاین آن‌را دارید. با این روش نیز در نهایت قرار است شما قیمت کالای مورد نظرتان را به میزان دلخواه نزدیک کنید. در چنین فرآیندی، لزوماً باید از ابزار رهگیری مانند Burp Suite  استفاده کنید.

در واقع فرض بر این این است که قیمت در قسمت پنهان در فرم قرار ندارد و بنابراین ما نمی‌توانیم آن را مانند روش قبل تغییر دهیم و سپس محصول را به سبد خرید اضافه کنیم. بلکه این‌بار در مرحله‌ی پرداخت به کمک درگاه بانکی، ابزار رهگیری مذکور را روشن می‌کنیم و سپس هزینه‌ی کالای مورد نظرمان را به صورت دستی، در سبد خریدی که رهگیری کرده‌ایم دستکاری می‌کنیم. آن‌گاه قیمت را به شکل دلخواه ویرایش می‌نماییم.

تغییر قیمت سبد خرید

بازگردانی هش به مقدار اولیه

راهکار بعدی در قیاس با دو راهکار قبلی، بسیار دشوارتر است. اما نخستین چیزی که هکرها یاد می‌گیرند این است که زود تسلیم نشوند و در نهایت راه حلی را پیدا کنند. اکنون درگاه‌های پرداخت از سرویس‌های امنیتی بسیار قوی برخوردارند و کار هکرها را دشوارتر کرده‌اند. اما در مقابل هکرها نیز بیکار نمانده‌اند و مثلا در مورد شناسه تراکنش‌ها یا همان هش تحقیق فراوان کرده و سازکار آن را کشف کرده‌اند.

شاید بپرسید هش چیست؟ هش در واقع یک کد است که حاوی اطلاعات خاصی از هر معامله یا تراکنش می‌باشد. هر تراکنشی که در سیستم درگاه پرداخت انجام می‌‌شود، دارای یک شناسه‌ی منحصر به فرد است. به این شناسه هش معامله یا Tx Hash گفته می‌شود. هش در واقع مجموعه‌ای متوالی و تصادفی از اعداد، حروف و کاراکترهاست. برای این‌که صاحبان کسب و کارها، بتوانند وب‌سایت تجارت الکترونیک خود را به درگاه پرداخت مجهز کنند، باید نحوه‌ی فرموله کردن هش و سایر جزئیات در این حوزه را بیاموزند. زیرا هکرها از طریق فرموله کردن هش می‌توانند درگاه پرداخت با امنیت بالا را نیز دور بزنند.

هش تراکنش درگاه پرداخت

 

اهمیت امنیت درگاه پراخت و آگاهی پذیرنده

تمام اشکالات امنیتی درگاه پرداخت، به دلیل عدم آگاهی صاحبان کسب و کارها، صورت می‌گیرد. اگر پذیرندگان درگاه بانکی بیش‌تر روی وجه امنیتی کالاها و محصولات تمرکز کنند و کدگذاری ایمن را در ذهن داشته باشند، بیش از 90٪ از خطاها را می توان بلافاصله حل کرد و هیچ خطر امنیتی نیز ایجاد نخواهد شد.

رمز پویا عامل مهمی در جلوگیری از کلاهبرداری‌های اینترنتی

رمز دوم پویا یا یک‌بار مصرف رمزهایی هستند که در جریان پرداخت‌های اینترنتی و سایر پرداخت‌های بدون حضور کارت، به عنوان رمز مشتری وارد می‌شوند و مدت زمان اعتبار هر رمز ۶۰ ثانیه است که پس از آن فاقد اعتبار است و باید رمز جدیدی دریافت شود.

اجرای رمز دوم پویا یکی از طرح‌های بانک مرکزی است که از ابتدای زمستان سال ۱۳۹۸ اجرا شد و طبق آن تمامی عملیات بانکی که پیش از این از طریق رمز دوم یا همان رمز اینترنتی انجام می‌شد، دیگر با رمز قبلی قابل انجام نیست و مشتریان بانک‌ها برای استفاده از این خدمات باید از رمز دوم پویا یا یک‌بار مصرف استفاده کنند.

بر اساس آخذین تغییرات این سازکار، هر رمز دوم پویایی که برای شما پیامک می‌شود تنها برای یک تراکنش معتبر است و زمانی که یک تراکنش به پایان رسید اما همچنان از فرصت شما برای اعتبار رمز دوم پویا باقی مانده است، دیگر این رمز برای تراکنش دیگر معتبر نیست و باید یک رمز دوم دیگر دریافت کنید. به طور کلی اجرای طرح رمز پویا در جلوگیری از فرآیند فیشینگ و کلاهبرداری‌های اینترنتی بسیار اثرگذاز بوده است.

آشنایی با حملات فیشینگ

اکنون اغلب وب‌سایت‌ها و فروشگاه‌های اینترنتی، مجهز به درگاه پرداخت الکترونیک می‌باشند. بنابراین کلاهبرداری‌های اینترنتی در بسیاری موارد از طریق انواع درگاه پرداخت انجام می‌شود. حمله‌ی فیشینگ یکی از انواع کلاهبرداری‌ها پیرامون درگاه پرداخت است. اما فیشینگ چیست؟ فیشینگ در واقع روشی است که طی آن هکرها به اطلاعات کارت بانکی اشخاص دسترسی پیدا کرده و می‌توانند از موجودی آن‌ها پول برداشت کنند. این نکته را باید در نظر بگیرید که فیشینگ نیز انواع مختلفی دارد؛ مانند فیشینگ به کمک ایمیل‌های فریبنده و یا فیشینگ تلفنی و امثال آن که برای مقابله‌ی موثر با آن‌ها باید شناخت کافی داشته باشید.

اما در گام نخست صاحبان کسب و کارها و البته کاربران وب‌سایت‌های فروشگاهی که از انواع درگاه پرداخت استفاده می‌کنند، بهتر است به نکاتی درباره‌ی امنیت درگاه پرداخت اینترنتی، توجه نمایند تا به این وسیله تا حد زیادی از حملات فیشینگ جلوگیری شود.  برای شناخت بیش‌تر انواع حملات فیشینگ به موارد زیر توجه کنید.

ایمیل‌های فریبنده: فیشرها وب‌سایت‌های جعلی را از روی سایت‌های معتبر کپی می‌کنند. در حقیقت فیشرها در این نوع کلاهبرداری، تعداد زیادی ایمیل با متن‌های جذاب و ترغیب کننده که دارای لینک هستند برای افراد ارسال می‌کنند. در صورتی که فرد بر روی لینک کلیک کند، صفحه‌ای باز خواهد شد که اطلاعات بانکی فرد از او خواسته شده است. بنابراین از این طریق هکرها به اطلاعات حساب بانکی افراد دسترسی پیدا می‌کنند.

فیشینگ تلفنی: این روش از ساده‌ترین روش‌های فیشینگ برای فیشرها است. در این روش، فیشرها نه به ایمیل نیازی دارند و نه نیازی به طراحی وب‌سایت جعلی. در واقع آن‌ها در این روش خودشان را به عنوان فرد یا سازمان معتبری معرفی می‌کنند و از اشخاص مختلف طلب برخی اطلاعات حساب بانکی می‌کنند.

استفاده از تب هدایت کننده: روش فیشینگ بعدی یکی از جدیدترین روش‌ها برای کلاهبرداری اینترنتی به‌شمار می‌رود. در واقع وقتی چندین تب باز در مرورگر خود داشته باشید، تب‌ها بسیار آرام و بدون جلب توجه خاصی، شما را به سمت صفحه‌ی مخرب هدایت می کنند. آن‌جاست که فیشرها وارد عمل می‌شوند و به اطلاعات حساب بانکی شما دسترسی پیدا می‌کنند.

استفاده از درگاه پرداخت دیگران

یکی دیگر از مواردی که ممکن است که باعث سو استفاده از درگاه پرداخت شود، استفاده از درگاه پرداخت دیگران است که بیشتر با سرویس لینک پرداخت رخ می‌دهد. بدین معنی که، فرد هکر یا کلاهبردار، بصورت واسط بین خریدار و ارائه دهنده خدمات بدون اطلاع دیگران، قرار می‌گیرد. هکر درخواست خدمات از شرکت ارائه دهنده می‌دهد و لینک پرداخت برای واریز وجه را دریافت می‌کند، حال با استفاده از روش‌های فریبنده مانند پیامک ثنا، فردی را فریب داده تا مبلغ مورد نظر را پرداخت نماید.

حال هزینه خدمات را توسط فردی دیگر پرداخت کرده است و این خدمات را به فرد دیگری که به آن نیاز دارد مجدد به فروش میرساند و هزینه خدمات را دریافت می‌کند و در جیب خود قرار می‌دهد. از این طریق حساب درگاه پرداخت و ارائه خدمات، دچار مشکل قانونی می‌شود که هم باید خدمات را ارائه دهد هم براساس شکایت شده مبلغ دریافتی به شخص واریز کننده بازگرداند.

بررسی امنیت درگاه پرداخت

در این بخش ابتدا بهتر است اندکی با روش کار فیشرها آشنا شوید. فیشرها با همان کلاهبرداران اینترنتی، با کپی رابط گرافیکی یک وب‌گاه معتبر و طراحی صفحات درگاه پرداخت جعلی اقدام به سرقت اطلاعات بانکی کاربران می‌نمایند. در واقع فیشرها از این طریق به شماره‌ی کارت، رمز دوم و Cvv2 کارت شما دسترسی پیدا می‌کنند و می‌توانند از حساب‌تان پول برداشت کنند. با این وصف شما در گام نخست مقابله با حمله‌ی فیشینگ، باید بتوانید درگاه جعلی را تشخیص بدهید. برای تشخیص درگاه‌های جعلی راهکارهایی وجود دارد که به اختصار به آن‌ها اشاره خواهیم کرد. اما پیش از آن به طور کلی بهتر است توصیه‌های زیر را به کار ببندید تا مورد حملات فیشینگ قرار نگیرید:

  • از پاسخ دادن به ایمیل‌های مشکوک یا ایمیل‌هایی که حاوی لینک هستند خودداری کنید.
  • از ارسال نمودن اطلاعات بانکی خودتان، در پاسخ به ایمیل‌های مشکوک خودداری کنید.
  • از کلیک نمودن بر روی ابرلینک‌هایی که عموما در ایمیل‌های مشکوک دیده می‌شود پرهیز کنید.
  • برای مراقبت از اطلاعات خود همواره روش‌های آپدیت شده‌ی امنیت اطلاعات را یاد بگیرید و کار ببندید و همواره برای مقابله کردن با خسارت‌های بزرگ، معلومات خود را بالا ببرید.

بررسی ارتباط ایمن:

  • پروتکل : توجه کنید که در کنار نوار آدرس اینترنتی صفحه‌ی پرداخت بانک، علامت قفل یا عبارت https:// وجود داشته باشد، در غیر این صورت درگاه جعلی است.
  • بررسی آدرس صفحه‌ی پرداخت: در این‌جا باید بررسی کنید که آدرس Url سایت دقیقا با آدرس اصلی درگاه اینترنتی یکسان باشد و کوچک‌ترین تفاوتی نداشته باشد.
  • روش ورود اطلاعات نادرست: یک روش متدوال برای تشخیص جعلی بودن درگاه پرداخت، این است که شما اطلاعات کارت بانکی خود را برای مرتبه‌ی اول نادرست وارد کنید، اگر کد خطا دریافت نکردید، یقیناً درگاه جعلی است.
  • افزونه‌ی ضدفیشینگ نصب کنید: روش ساده‌‌‌ی نصب افزونه‌ی ضدفیشینگ نیز در این زمینه چاره‌ساز است؛ شما می‌توانید بر روی مرورگر خود یک افزونه‌ی ضدفیشینگ نصب کرده تا در صورت جعلی بودن درگاه، پیامی برای شما نمایش داده شود.
  • روش رفرش کردن: روش دیگری که در این زمینه کاربرد دارد، این است که هنگام استفاده از صفحه کلید امن درگاه، یک مرتبه سیستم را رفرش کنید، چنان‌چه شماره‌های صفحه کلید امن درگاه تغییر نکرد، یقیناً درگاه جعلی است.

برای اطلاعات بیشتر از اینکه چگونه درگاه پرداخت جعلی را تشخیص دهید به مقاله ” نحوه تشخیص معتبر و امن بودن درگاه پرداخت ” مراجعه نمایید.

مهم ترین گام در ایمن سازی یک سایت و درگاه پرداخت شناخت نقاط آسیب پذیری و راه های نفوذ به آن است. از این رو هدف از نگارش این مقاله آشنایی با تکنیک‌های دور زدن و هک درگاه پرداخت برای افزایش امنیت وب سایت‌ها و شناسایی راه های نفوذ به آن‌ها ودر نهایت از بین بردن این نقاط آسیب پذیری است. از اینرو هرگونه سوء استفاده از این مطلب پیگرد قانونی دارد و رایان پی هیچ مسئولیتی در قبال استفاده نادرست از این مقاله ندارد.

منبع : Let’s break into Payment Gateways

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا