پین کارت آن اندازه که ما گمان می کنیم امن نیستند!

در آمریکا، استفاده از پین کارت ها و دستگاه های ثبت آن ها روز به روز گسترده تر می شود. بر خلاف نوارهای مغناطیسی (همان نواری که روی کارت بانک خود می بینید) پین کارت ها یک شناسه ثابت ندارند و در هر تراکنش یک کلید جدید تولید می کنند. این قطعات پلاستیکی، کلید دیجیتالی را بر اساس یک استاندارد منتشر شده توسط یوروپِی، مسترکارت و ویزا تولید می کنند. در ظاهر این روند باید امن تر باشد، چرا که هر کلید تنها برای 60 ثانیه معتبر است. اما گزارشات جدید نشان داده در همان یک دقیقه اتفاقات زیادی ممکن است بیفتد.
هفته گذشته در جریان کنفرانس Def Con security، نشان داده شد که یک دستگاه خودپرداز یا یک POS می تواند اطلاعات مورد نظر از جمله همان کلید یک دقیقه ای را شنود نموده و به یک دستگاه دیگر بفرستد. دستگاه دیگر نیز بر همان اساس می تواند یک تراکنش دیگر انجام دهد. البته این کار چندان هم راحت نیست چرا که در این فرآیند دو دستگاه باید هک شوند. در واقع یک قطعه باید در دستگاه اول نصب بشود تا اطلاعات تراکنش را شنود کند (مشابه این کار برای نوار مغناطیسی هم ممکن است). سپس دستگاه دوم نیز باید هک بشود تا بتوان از آن برای انجام تراکنش جعلی استفاده کرد.

هکرها برای انجام مراحل فوق، یک دست روبات ساخته اند که اطلاعات شنود شده را در خودپرداز وارد می کند تا از حساب قربانی پول دریافت کند. البته یک دست روبات روی دستگاه خودپرداز شک برانگیز است، مگر این که یک علامت "در دست سرویس" روی خودپرداز باشد تا نگاه ها سمت آن نرود. وضعیت حمله وقتی فجیع می شود که تعداد زیادی اطلاعات به یک خودپرداز که با این روش هک شده فرستاده شود، تا دزدها بتوانند پول ها را یکجا دریافت کنند.

به گفته هکرهای مبدع این روش، احتمالاً تا سال 2018 این نوع حملات انجام نخواهد شد. با این حال، اگر وقفه 60 ثانیه ای پین کارت ها برداشته نشده یا به نوعی سیستم امن تر نشود، خطرات در کمین کاربران این سیستم ها خواهد بود.