كاسبرسكى تكشف النقاب عن التهديدات المرتقبة للصراف الآلى

أجرى خبراء كاسبرسكى لاب دراسة بحثية حول كيفية قيام مجرمى الإنترنت باستغلال الثغرات الأمنية الكامنة فى تكنولوجيات المصادقة الخاصة بأجهزة الصراف الآلى الجديدة المصممة من قبل البنوك. وفى حين تعتبر العديد من المؤسسات المالية بأن حلول البيومترية  التى تحدد هوية الأفراد بناء على سماتهم البيولوجية ستكون من إحدى الإضافات المهمة إلى الطرق الحالية المتبعة للتعريف والمصادقة، إن لم تكن البديل الكلى لها، يرى مجرمو الإنترنت فى بيانات التعريف البيومترية فرصة جديدة للسطو على المعلومات المهمة والحساسة.
لا تزال أجهزة الصراف الآلى ولسنوات عديدة محط أنظار المحتالين الذين يسعون وراء السطو على بيانات بطاقات الائتمان. وقد بدأت جميع تلك الهجمات باستخدام أجهزة التجسس (Skimmer)، وهى أجهزة مصنّعة محليا يتم زرعها فى جهاز الصراف الآلى ولديها القدرة على سرقة المعلومات المخزنة على الشريط المغناطيسى للبطاقة وكذلك رمز التعريف الشخصى للبطاقة عن طريق الاستعانة بلوحة أرقام وهمية لجهاز الصراف الآلى تستخدم لإدخال رمز التعريف الشخصى أو بواسطة كاميرا الويب. ومع مرور الوقت، تطور تصميم هذه الأجهزة للتقليل من سبل اكتشافها وجعلها أقل وضوحا. وفى موازاة تطبيق تقنية بطاقات الدفع ذات الرقاقة الذكية ورموز التعريف الأكثر تعقيدا التى يُعدّ اختراقها أكثر صعوبة ولكن ليس مستحيلا، تطورت تلك الأجهزة إلى ما يعرف بـ(shimmers): وهى شبيهة بتلك الأجهزة إلى حد بعيد، ولكنها قادرة على جمع معلومات من الرقاقة الذكية المثبتة على البطاقة، الأمر الذى يوفر معلومات كافية لشن هجمات مرحلية متتابعة (relay attacks) على الإنترنت.وفى إطار التصدى لتلك الهجمات، تعمل الأطراف المعنية فى قطاع الخدمات المصرفية على توفير حلول تعريفية جديدة، بعضها يعتمد على خاصية التحقق من معلومات التعريف البيومترية.
ووفقا لنتائج تحقيق كاسبرسكى لاب فى جرائم إنترنت السوق السوداء، هناك ما لا يقل عن اثنى عشر تاجرا يبيعون أجهزة تجسس قادرة على سرقة بصمات الضحايا. ويقوم ما لا يقل عن ثلاثة تجار فى السوق السوداء بالفعل بعمل أبحاث لابتكار أجهزة قادرة على جمع بيانات، بالطرق غير المشروعة، من الأنظمة المصممة للتعرف على الأشخاص عن طريق بصمة راحة الكف وبصمة قزحية العين.
وقد تم رصد الموجة الأولى من أجهزة التجسس القائمة على بيانات التعريف البيومترية فى «اختبار ما قبل البيع» فى سبتمبر 2015. وتشير الأدلة المجمّعة من قبل باحثى شركة كاسبرسكى لاب إلى أنه أثناء إجراء الاختبارات الأولية، اكتشف المطورون من القراصنة العديد من الأخطاء البرمجية. ومع ذلك، فإن المشكلة الرئيسية كانت فى استخدام أنماط النظام العالمى للاتصالات النقالة لنقل بيانات التعريف البيومترية، حيث كانوا بطيئين جدا فى نقل الكم الهائل من البيانات التى تم الاستيلاء عليها. نتيجة لذلك، من المتوقع أن يتم تصميم إصدارات جديدة من أجهزة التجسس (simmers) هذه، بحيث تستخدم تكنولوجيات أخرى أكثر سرعة لنقل البيانات.