کاربران و مشتریان فروشگاههای اینترنتی، اخیرا به دنبال روشهایی برای دور زدن و هک درگاه پرداخت هستند. برای این منظور راهکارهای مختلفی وجود دارد. به عبارت دیگر برخی از کاربران با قصد قبلی، تصمیم میگیرند در فرآیند خرید خود، از طریق این راهکارها، درگاه پرداخت را دور زده و بدون انجام عملیات واریز وجه، فرآیند خرید خود را تکمیل نمایند.
در چنین روشی، در فهرست فروش کسب و کارها، سفارشاتی به صورت تکمیل شده وجود دارد که در گزارش آنها، مشتری دانلودهای خودش را به طور کامل انجام داده است. اما تراکنش موفقی در درگاه پرداخت ثبت نشده است. در واقع این تراکنشها به صورت ناموفق در درگاه پرداخت ثبت میشوند. اما چهگونه میشود که تراکنشی موفق نبوده باشد اما کاربر توانسته باشد به وبسایت برگردد و سفارش خود را تکمیل نماید؟
آنچه در این مقاله میخوانید
راههای هک کردن درگاه پرداخت
اصولا تراکنشهای اینترنتی سازکار پیچیدهای دارند. برای دور زدن درگاه پرداخت در هنگام انجام تراکنش، کاربر باید به این سازکار پیچیده، اشراف کاملی داشته باشد. فقط در این صورت است که میتواند راهکاری برای خرید آنلاین، بدون پرداخت هزینه پیدا کند. در ادامه سه روش ممکن برای دور زدن درگاه پرداخت توسط کاربران شرح داده میشود.
تغییر قیمت محصول
سادهترین راه برای هک درگاه پرداخت در جریانِ یک خرید اینترنتی، دستکاری قیمت محصول مورد نظری است که توسط کاربر خریداری میشود. برای تغییر قیمت محصول مورد نظر، کافی است پیش از افزودن محصول به سبد خرید، آن را در قسمت فرم مخفی که در آن قیمت ذکر شده است، تغییر دهید. به این ترتیب هیچ گاه قیمت واقعی آن محصول به سبد خرید اضافه نمیشود و شما میتوانید محصول مورد نظرتان را کاملا رایگان خریداری کنید.
<input type=”hidden” name=”business” value=”abc@xyz.com”>
<input type=”hidden” name=”cmd” value=”_xclick”>
<input type=”hidden” name=”item_name” value=”Classmate_Notebook”>
<input type=”hidden” name=”amount” value=”550">
<input type=”hidden” name=”currency_code” value=”INR”>
این روش بسیار ساده است و برای هکرهای تازه کار قابل انجام هستش و به دلیل ساده بودن آن،بیشتر سایتهای فروشگاههای اینترنتی از آن اطلاع دارند و المانهای مخفی نخواهند داشت.
تغییر قیمت سبد خرید
دومین راهکار برای دور زدن درگاه پرداخت و خرید رایگان، دستکاری مقدار محصولی است که قصد خرید آنلاین آنرا دارید. با این روش نیز در نهایت قرار است شما قیمت کالای مورد نظرتان را به میزان دلخواه نزدیک کنید. در چنین فرآیندی، لزوماً باید از ابزار رهگیری مانند Burp Suite استفاده کنید.
در واقع فرض بر این این است که قیمت در قسمت پنهان در فرم قرار ندارد و بنابراین ما نمیتوانیم آن را مانند روش قبل تغییر دهیم و سپس محصول را به سبد خرید اضافه کنیم. بلکه اینبار در مرحلهی پرداخت به کمک درگاه بانکی، ابزار رهگیری مذکور را روشن میکنیم و سپس هزینهی کالای مورد نظرمان را به صورت دستی، در سبد خریدی که رهگیری کردهایم دستکاری میکنیم. آنگاه قیمت را به شکل دلخواه ویرایش مینماییم.
بازگردانی هش به مقدار اولیه
راهکار بعدی در قیاس با دو راهکار قبلی، بسیار دشوارتر است. اما نخستین چیزی که هکرها یاد میگیرند این است که زود تسلیم نشوند و در نهایت راه حلی را پیدا کنند. اکنون درگاههای پرداخت از سرویسهای امنیتی بسیار قوی برخوردارند و کار هکرها را دشوارتر کردهاند. اما در مقابل هکرها نیز بیکار نماندهاند و مثلا در مورد شناسه تراکنشها یا همان هش تحقیق فراوان کرده و سازکار آن را کشف کردهاند.
شاید بپرسید هش چیست؟ هش در واقع یک کد است که حاوی اطلاعات خاصی از هر معامله یا تراکنش میباشد. هر تراکنشی که در سیستم درگاه پرداخت انجام میشود، دارای یک شناسهی منحصر به فرد است. به این شناسه هش معامله یا Tx Hash گفته میشود. هش در واقع مجموعهای متوالی و تصادفی از اعداد، حروف و کاراکترهاست. برای اینکه صاحبان کسب و کارها، بتوانند وبسایت تجارت الکترونیک خود را به درگاه پرداخت مجهز کنند، باید نحوهی فرموله کردن هش و سایر جزئیات در این حوزه را بیاموزند. زیرا هکرها از طریق فرموله کردن هش میتوانند درگاه پرداخت با امنیت بالا را نیز دور بزنند.
اهمیت امنیت درگاه پراخت و آگاهی پذیرنده
تمام اشکالات امنیتی درگاه پرداخت، به دلیل عدم آگاهی صاحبان کسب و کارها، صورت میگیرد. اگر پذیرندگان درگاه بانکی بیشتر روی وجه امنیتی کالاها و محصولات تمرکز کنند و کدگذاری ایمن را در ذهن داشته باشند، بیش از 90٪ از خطاها را می توان بلافاصله حل کرد و هیچ خطر امنیتی نیز ایجاد نخواهد شد.
رمز پویا عامل مهمی در جلوگیری از کلاهبرداریهای اینترنتی
رمز دوم پویا یا یکبار مصرف رمزهایی هستند که در جریان پرداختهای اینترنتی و سایر پرداختهای بدون حضور کارت، به عنوان رمز مشتری وارد میشوند و مدت زمان اعتبار هر رمز ۶۰ ثانیه است که پس از آن فاقد اعتبار است و باید رمز جدیدی دریافت شود.
اجرای رمز دوم پویا یکی از طرحهای بانک مرکزی است که از ابتدای زمستان سال ۱۳۹۸ اجرا شد و طبق آن تمامی عملیات بانکی که پیش از این از طریق رمز دوم یا همان رمز اینترنتی انجام میشد، دیگر با رمز قبلی قابل انجام نیست و مشتریان بانکها برای استفاده از این خدمات باید از رمز دوم پویا یا یکبار مصرف استفاده کنند.
بر اساس آخذین تغییرات این سازکار، هر رمز دوم پویایی که برای شما پیامک میشود تنها برای یک تراکنش معتبر است و زمانی که یک تراکنش به پایان رسید اما همچنان از فرصت شما برای اعتبار رمز دوم پویا باقی مانده است، دیگر این رمز برای تراکنش دیگر معتبر نیست و باید یک رمز دوم دیگر دریافت کنید. به طور کلی اجرای طرح رمز پویا در جلوگیری از فرآیند فیشینگ و کلاهبرداریهای اینترنتی بسیار اثرگذاز بوده است.
آشنایی با حملات فیشینگ
اکنون اغلب وبسایتها و فروشگاههای اینترنتی، مجهز به درگاه پرداخت الکترونیک میباشند. بنابراین کلاهبرداریهای اینترنتی در بسیاری موارد از طریق انواع درگاه پرداخت انجام میشود. حملهی فیشینگ یکی از انواع کلاهبرداریها پیرامون درگاه پرداخت است. اما فیشینگ چیست؟ فیشینگ در واقع روشی است که طی آن هکرها به اطلاعات کارت بانکی اشخاص دسترسی پیدا کرده و میتوانند از موجودی آنها پول برداشت کنند. این نکته را باید در نظر بگیرید که فیشینگ نیز انواع مختلفی دارد؛ مانند فیشینگ به کمک ایمیلهای فریبنده و یا فیشینگ تلفنی و امثال آن که برای مقابلهی موثر با آنها باید شناخت کافی داشته باشید.
اما در گام نخست صاحبان کسب و کارها و البته کاربران وبسایتهای فروشگاهی که از انواع درگاه پرداخت استفاده میکنند، بهتر است به نکاتی دربارهی امنیت درگاه پرداخت اینترنتی، توجه نمایند تا به این وسیله تا حد زیادی از حملات فیشینگ جلوگیری شود. برای شناخت بیشتر انواع حملات فیشینگ به موارد زیر توجه کنید.
ایمیلهای فریبنده: فیشرها وبسایتهای جعلی را از روی سایتهای معتبر کپی میکنند. در حقیقت فیشرها در این نوع کلاهبرداری، تعداد زیادی ایمیل با متنهای جذاب و ترغیب کننده که دارای لینک هستند برای افراد ارسال میکنند. در صورتی که فرد بر روی لینک کلیک کند، صفحهای باز خواهد شد که اطلاعات بانکی فرد از او خواسته شده است. بنابراین از این طریق هکرها به اطلاعات حساب بانکی افراد دسترسی پیدا میکنند.
فیشینگ تلفنی: این روش از سادهترین روشهای فیشینگ برای فیشرها است. در این روش، فیشرها نه به ایمیل نیازی دارند و نه نیازی به طراحی وبسایت جعلی. در واقع آنها در این روش خودشان را به عنوان فرد یا سازمان معتبری معرفی میکنند و از اشخاص مختلف طلب برخی اطلاعات حساب بانکی میکنند.
استفاده از تب هدایت کننده: روش فیشینگ بعدی یکی از جدیدترین روشها برای کلاهبرداری اینترنتی بهشمار میرود. در واقع وقتی چندین تب باز در مرورگر خود داشته باشید، تبها بسیار آرام و بدون جلب توجه خاصی، شما را به سمت صفحهی مخرب هدایت می کنند. آنجاست که فیشرها وارد عمل میشوند و به اطلاعات حساب بانکی شما دسترسی پیدا میکنند.
استفاده از درگاه پرداخت دیگران
یکی دیگر از مواردی که ممکن است که باعث سو استفاده از درگاه پرداخت شود، استفاده از درگاه پرداخت دیگران است که بیشتر با سرویس لینک پرداخت رخ میدهد. بدین معنی که، فرد هکر یا کلاهبردار، بصورت واسط بین خریدار و ارائه دهنده خدمات بدون اطلاع دیگران، قرار میگیرد. هکر درخواست خدمات از شرکت ارائه دهنده میدهد و لینک پرداخت برای واریز وجه را دریافت میکند، حال با استفاده از روشهای فریبنده مانند پیامک ثنا، فردی را فریب داده تا مبلغ مورد نظر را پرداخت نماید.
حال هزینه خدمات را توسط فردی دیگر پرداخت کرده است و این خدمات را به فرد دیگری که به آن نیاز دارد مجدد به فروش میرساند و هزینه خدمات را دریافت میکند و در جیب خود قرار میدهد. از این طریق حساب درگاه پرداخت و ارائه خدمات، دچار مشکل قانونی میشود که هم باید خدمات را ارائه دهد هم براساس شکایت شده مبلغ دریافتی به شخص واریز کننده بازگرداند.
بررسی امنیت درگاه پرداخت
در این بخش ابتدا بهتر است اندکی با روش کار فیشرها آشنا شوید. فیشرها با همان کلاهبرداران اینترنتی، با کپی رابط گرافیکی یک وبگاه معتبر و طراحی صفحات درگاه پرداخت جعلی اقدام به سرقت اطلاعات بانکی کاربران مینمایند. در واقع فیشرها از این طریق به شمارهی کارت، رمز دوم و Cvv2 کارت شما دسترسی پیدا میکنند و میتوانند از حسابتان پول برداشت کنند. با این وصف شما در گام نخست مقابله با حملهی فیشینگ، باید بتوانید درگاه جعلی را تشخیص بدهید. برای تشخیص درگاههای جعلی راهکارهایی وجود دارد که به اختصار به آنها اشاره خواهیم کرد. اما پیش از آن به طور کلی بهتر است توصیههای زیر را به کار ببندید تا مورد حملات فیشینگ قرار نگیرید:
- از پاسخ دادن به ایمیلهای مشکوک یا ایمیلهایی که حاوی لینک هستند خودداری کنید.
- از ارسال نمودن اطلاعات بانکی خودتان، در پاسخ به ایمیلهای مشکوک خودداری کنید.
- از کلیک نمودن بر روی ابرلینکهایی که عموما در ایمیلهای مشکوک دیده میشود پرهیز کنید.
- برای مراقبت از اطلاعات خود همواره روشهای آپدیت شدهی امنیت اطلاعات را یاد بگیرید و کار ببندید و همواره برای مقابله کردن با خسارتهای بزرگ، معلومات خود را بالا ببرید.
بررسی ارتباط ایمن:
- پروتکل : توجه کنید که در کنار نوار آدرس اینترنتی صفحهی پرداخت بانک، علامت قفل یا عبارت https:// وجود داشته باشد، در غیر این صورت درگاه جعلی است.
- بررسی آدرس صفحهی پرداخت: در اینجا باید بررسی کنید که آدرس Url سایت دقیقا با آدرس اصلی درگاه اینترنتی یکسان باشد و کوچکترین تفاوتی نداشته باشد.
- روش ورود اطلاعات نادرست: یک روش متدوال برای تشخیص جعلی بودن درگاه پرداخت، این است که شما اطلاعات کارت بانکی خود را برای مرتبهی اول نادرست وارد کنید، اگر کد خطا دریافت نکردید، یقیناً درگاه جعلی است.
- افزونهی ضدفیشینگ نصب کنید: روش سادهی نصب افزونهی ضدفیشینگ نیز در این زمینه چارهساز است؛ شما میتوانید بر روی مرورگر خود یک افزونهی ضدفیشینگ نصب کرده تا در صورت جعلی بودن درگاه، پیامی برای شما نمایش داده شود.
- روش رفرش کردن: روش دیگری که در این زمینه کاربرد دارد، این است که هنگام استفاده از صفحه کلید امن درگاه، یک مرتبه سیستم را رفرش کنید، چنانچه شمارههای صفحه کلید امن درگاه تغییر نکرد، یقیناً درگاه جعلی است.
برای اطلاعات بیشتر از اینکه چگونه درگاه پرداخت جعلی را تشخیص دهید به مقاله ” نحوه تشخیص معتبر و امن بودن درگاه پرداخت ” مراجعه نمایید.
مهم ترین گام در ایمن سازی یک سایت و درگاه پرداخت شناخت نقاط آسیب پذیری و راه های نفوذ به آن است. از این رو هدف از نگارش این مقاله آشنایی با تکنیکهای دور زدن و هک درگاه پرداخت برای افزایش امنیت وب سایتها و شناسایی راه های نفوذ به آنها ودر نهایت از بین بردن این نقاط آسیب پذیری است. از اینرو هرگونه سوء استفاده از این مطلب پیگرد قانونی دارد و رایان پی هیچ مسئولیتی در قبال استفاده نادرست از این مقاله ندارد.