عاجل | أسعار الذهب في مصر اليوم الثلاثاء 7 أكتوبر.. أرقام قياسية يحققها المعدن الأصفر    أسعار الخضروات والفاكهة في سوق العبور اليوم الثلاثاء 7 أكتوبر 2025    بعد ليلة دامية، القوات السورية والفصائل الكردية تتوصل إلى اتفاق في حلب    مشيرة إسماعيل: عشت أجواء حرب أكتوبر وسط الجنود على الجبهة وحضرت كل المعارك من تاني يوم (فيديو)    ماجد الكدواني: شخصيتي في «فيها إيه يعني» تشبهني.. إنسان عاوز يرضي الكل    نائب رئيس حزب المؤتمر: الشراكة المصرية السعودية ركيزة استقرار الشرق الأوسط    استطلاعات رأي: غالبية الفرنسيين يؤيدون استقالة ماكرون من منصبه    بعثة منتخب مصر تصل إلى المغرب لمواجهة جيبوتي في تصفيات كأس العالم (صور)    «بعد 3 ماتشات في الدوري».. إبراهيم سعيد: الغرور أصاب الزمالك واحتفلوا بالدوري مبكرا    أبو ريدة يصل المغرب ويستقبل بعثة منتخب مصر استعدادًا لمواجهة جيبوتي    بلاغ كاذب.. حقيقة احتجاز طفل داخل ماسورة غاز بناهيا | صور    تحميل التقييمات الأسبوعية 2025-2026 لجميع المراحل الدراسية (PDF).. رابط مباشر    بعد تغيير أسعار الفائدة.. أعلى عائد على شهادات الادخار المتاحة حاليًا بالبنوك (تفاصيل)    وزيرة التخطيط: هدفنا تحسين جودة حياة المواطن.. وسقف الاستثمارات الحكومية رفع مساهمة القطاع الخاص ل57%    "القاهرة الدولي للمونودراما" يكرّم رياض الخولي ورافايل بينيتو.. ويعلن جوائز الدورة الثامنة    «وهم».. عرض جديد يضيء خشبة المعهد العالي للفنون المسرحية ضمن مهرجان نقابة المهن التمثيلية    غادة عادل: شخصيتي في «فيها إيه يعني» هدية من ربنا لايمكن أرفضها    جريمة في قلب التاريخ.. سرقة لوحة أثرية من سقارة بطريقة غامضة    قرار جديد بشأن البلوجر دونا محمد بتهمة نشر فيديوهات خادشة    تحرك أمني عاجل بعد بلاغ وجود أطفال داخل ماسورة غاز في الجيزة (صور)    توتر متجدد بين موسكو وواشنطن بعد تصريحات ترامب حول تسليح أوكرانيا    النيابة الإدارية تُهنئ الرئيس السيسي بذكرى انتصارات أكتوبر    منسيات 6 أكتوبر .. الاحتفاء بالفريق "الشاذلي" يُنسب إلى "مرسي" و"المزرعة الصينية" تفتقد القائد "عبد رب النبي حافظ"    التموين: صادرات السكر البني إلى دول الكوميسا بلغت 40 ألف طن العام الماضي    البيت الأبيض يرفض تأكيد أو نفي إرسال قوات أمريكية إلى فنزويلا    ترامب يُعلن عن مفاوضات مع الديمقراطيين لإنهاء الإغلاق الحكومي في البلاد    أيمن عاشور: خالد العناني أول عربي يفوز بمنصب المدير العام لليونسكو بتصويت غير مسبوق منذ 80 عاماً    الأهلي يكافئ الشحات بعقده الجديد    اشتغالة تطوير الإعلام!    تسليم التابلت لطلاب أولى ثانوي 2025-2026.. تعرف على رسوم التأمين وخطوات الاستلام    محافظ الفيوم يشهد احتفالية الذكرى ال52 لانتصارات أكتوبر المجيدة    حزب "المصريين": كلمة السيسي في ذكرى نصر أكتوبر اتسمت بقوة التأثير وعمق الرسالة    «عيدك في الجنة يا نور عيني».. الناجية من«جريمة نبروه» تحيي ذكرى ميلاد ابنة زوجها برسالة مؤثرة    هدد خطيبته بنشر صورها على الواتساب.. السجن عامين مع الغرامة لشاب في قنا    بالصور.. إزالة 500 حالة إشغال بشارعي اللبيني والمريوطية فيصل    شواطئ مطروح ليلة اكتمال القمر وطقس معتدل    أسعار الحديد في أسيوط اليوم الثلاثاء 7102025    وثائقي أمريكي يكشف أسرار حرب أكتوبر: تفاصيل نجاح استراتيجية السادات في خداع إسرائيل وانهيار أسطورة «الجيش الذي لا يُقهر»    روسيا: إسقاط 8 مسيّرات وصواريخ أوكرانية في هجمات ليلية    عيار 21 الآن يسجل رقمًا قياسيًا جديدًا.. سعر الذهب اليوم الثلاثاء 7-10-2025 في الصاغة    سعر الأرز والسكر والسلع الأساسية في الأسواق اليوم الثلاثاء 7 أكتوبر 2025    تعرف على موعد بدء تدريبات المعلمين الجدد ضمن مسابقة 30 الف معلم بقنا    «أكتوبر صوت النصر».. الجيزة تحتفل بذكرى الانتصار ال52 بروح وطنية في مراكز الشباب    بعض الأخبار سيئة.. حظ برج الدلو اليوم 7 أكتوبر    نائب وزير الصحة يحيل الطاقم الإداري بمستشفى كفر الشيخ للتحقيق    «هيفضل طازة ومش هيسود طول السنة».. أفضل طريقة لتخزين الرمان    ميثاق حقوق طفل السكر.. وعن سلامة صحة الأطفال    بمكونات في المنزل.. خطوات فعالة لتنظيف شباك المطبخ    ميدو: صلاح يتعرض لحملة شرسة لتشويه صورته    منتخب مصر المشارك في كأس العرب يخوض مرانه الأول بالمغرب    الصباحي يوضح قانونية تغيير مسدد ركلة الجزاء بعد قرار الإعادة    مواقيت الصلاه غدا الثلاثاء 7 اكتوبر 2025فى المنيا.....تعرف عليها بدقه    للمرأة الحامل، أطعمة مهدئة للمعدة تناوليها بعد التقيؤ    هل الزواج العُرفي يكون شرعيًا حال اكتمال جميع الشروط؟.. نقيب المأذونين يوضح    أمين الفتوى: وحدة الصف والوعي بقيمة الوطن هما سر النصر في أكتوبر المجيد    هاني تمام: حب الوطن من الإيمان وحسن التخطيط والثقة بالله سر النصر في أكتوبر    هل يحق للزوج الحصول على أموال زوجته؟.. أمين الفتوى يجيب    حوار| من الطائرة الانتحارية إلى صيحات النصر.. بطل الصاعقة يكشف كواليس حرب الاستنزاف    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



خبراء يكشفون أسرار تمكن القراصنة من اختراق أجهزة الصراف الآلي
مروة رزق نشر في محيط يوم 28 - 04 - 2016

إن أي جهاز صراف آلي في العالم تقريباً من الممكن أن يكون معرضاً لحالات أمنية تشمل على سبيل المثال الاستخدام غير المشروع أو الاختراق بمساعدة أو من غير مساعدة أي برمجية خبيثة.
واستناداً لنتائج بحث أجراه خبراء كاسبرسكي لاب، فإن هذا يعود إلى الاستخدام واسع النطاق للبرامج التي عفا عليها الزمن وغير الآمنة وكذلك إلى الأخطاء في تعريف الشبكة وانعدام الحماية الأمنية الضرورية للأجزاء الحيوية من أجهزة الصراف الآلي.
وكان التهديد الأكبر و لسنوات عديدة بالنسبة للعملاء ومالكي أجهزة الصراف الآلي يتمثل في وسائل التجسس المعروفة باسم (Skimmers) - وهي أجهزة خاصة يتم لصقها في أجهزة الصراف الآلي لسرقة البيانات من الشريط المغناطيسي للبطاقات المصرفية. إلا أنه، ومع تطور أساليب وتقنيات البرمجيات الخبيثة، أصبحت أجهزة الصراف الآلي معرضة لمزيد من المخاطر.
ففي عام 1420، اكتشف باحثو كاسبرسكي لاب عصابة Tyupkin وهي من إحدى الأمثلة عن البرمجيات الخبيثة التي استهدفت أجهزة الصراف الآلي المعروفة والمنتشرة على نطاق واسع، وفي العام 2015 اكتشف خبراء الشركة عصابة Carbanak، التي كانت قادرة على شن هجمات قرصنة على أجهزة الصراف الآلي عن طريق استغلال ثغرات أمنية في البنية التحتية المصرفية. وقد تمكنت تلك العصابتان الخبيثتان من تحقيق النجاج في شن هجماتها نتيجة لاستغلال العديد من الثغرات الأمنية المشتركة في تكنولوجيا أجهزة الصراف الآلي وفي البنية التحتية التي تدعمها. وهذا ليس إلا مثال بسيط لعمليات أكثر تعقيداً.
وفي محاولة لحصر كافة القضايا الأمنية ذات الصلة بأجهزة الصراف الآلي، قام متخصصو اختبارات الاختراق في كاسبرسكي لاب باجراء دراسة بحثية على أساس التحقيق في هجمات حقيقية، وعلى نتائج تقييم الإجراءات الأمنية لأجهزة الصراف الآلي في عدد من البنوك الدولية.
واستناداً إلى نتائج هذه الدراسة، أثبت الخبراء بأن هجمات البرمجيات الخبيثة المستهدفة لأجهزة الصراف الآلي ممكنة نتيجة لأمور أمنية عديدة. أولها هو أن جميع أجهزة الصراف الآلي وأجهزة الكمبيوتر تعمل بواسطة أنظمة تشغيل ذات إصدارات قديمة جدا مثل Windows XP. وهذا يجعلها عرضة للإصابة بالبرمجيات الخبيثة المستهدفة لأجهزة الكمبيوتر الثابت والهجمات عن طريق استغلال الثغرات الأمنية غير المكتشفة.
وفي أغلب تلك الحالات، تكون البرامج المحددة التي تسمح لجهاز الكمبيوتر المتصل بجهاز الصراف الآلي بالتفاعل والتواصل مع البنية التحتية المصرفية ووحدات أجهزة تكنولوجيا المعلومات المسؤولة عن إنجاز المعاملات النقدية وبطاقات الإئتمان، معتمدة على معيار XFS. وهي مواصفات تكنولوجية قديمة وغير آمنة نوعاً ما وأنشئت في الأساس من أجل توحيد برامج تشغيل أجهزة الصراف الآلي، بحيث يمكن تشغيلها على أي جهاز بغض النظر عن الشركة المصنعة. وبعد أن تتمكن البرمجية الخبيثة من التغلغل في أجهزة الصراف الآلي بنجاح، سرعان ما تكتسب قدرات لا محدودة من حيث التحكم بجهاز الصراف الآلي: مثال ذلك أن بإمكانها تحويل لوحة إدخال رمز التعريف الشخصي (PIN) وقارئ البطاقة إلى وسيلة تجسس Skimmer أصلية في الجهاز، أو سحب كل الأموال الموجودة في أجهزة الصراف الآلي فور تلقي الأمر من القراصنة.
في كثير من الحالات التي لاحظها باحثو كاسبرسكي لاب، تبيّن أن الأمر لم يتطلب من المجرمين استخدام البرمجيات الخبيثة لإصابة أجهزة الصراف الآلي أو شبكة البنك المرتبطة بها. وكان ذلك ممكنا بسبب انعدام الحماية الأمنية لأجهزة الصراف الآلي ذاتها، وهي مسألة شائعة جداً لهذه الأجهزة. وفي أغلب الأحيان أيضاً يتم تصميم وتركيب أجهزة الصراف الآلي بطريقة تتيح لأي طرف ثالث الوصول إلى جهاز الكمبيوتر المثبت داخل أجهزة الصراف الآلي بسهولة، أو إلى كابل الشبكة الذي يربط الجهاز بالإنترنت. ومن خلال الوصول المادي الجزئي إلى أجهزة الصراف الآلي، يتمكن القراصنة من القيام بالآتي:
- تثبيت أجهزة حاسوب صغيرة مبرمجة وفق أغراض محددة (تعرف باسم Black Box) داخل أجهزة الصراف الآلي، والتي ستتيح بدورها للقراصنة إمكانية التحكم عن بعد بأجهزة الصراف الآلي.
- إعادة توصيل أجهزة الصراف الآلي إلى مركز المعالجة المزيف التابع للقراصنة.
ومركز المعالجة الوهمي (Fake Processing Center) هو برنامج يقوم بمعالجة بيانات الدفع، وهو مطابق جداً لبرامج البنك على الرغم من أنه ليس من أملاك البنك. وبمجرد توصيل جهاز الصراف الآلي بمركز المعالجة الوهمي، يتمكن المهاجمون من إصدار أي أمر يريدونه، ومن ثم تقوم أجهزة الصراف الآلي بتنفيذ تلك الأوامر.
من الممكن حماية الاتصال بين أجهزة الصراف الآلي ومركز المعالجة بطرق مختلفة، مثل استخدام أجهزة أو برمجيات التشفير من نوع VPN أو SSL/TLS أو جدار الحماية أو نظام التفويض MAC-authentication المطبق في بروتوكولات xDC. إلا أنه وفي معظم الأحيان لا يتم تطبيق مثل هذه التدابير الأمنية، وفي حال تم تطبيقها، غالباً ما يتم تعريفها بشكل خاطئ أو تكون عرضة للاختراق الأمني، وهي حالات لا تكتشف إلا خلال مرحلة التقييم الأمني لأجهزة الصراف الآلي. نتيجة لذلك، و لا يستدعي الأمر من القراصنة أن يقوموا بتغيير إعدادات الجهاز، بل فقط من خلال تمكنهم من استغلال أي ثغرة أمنية غير مكتشفة في اتصالات الشبكة التي تربط جهاز الصراف الآلي بالبنية التحتية المصرفية.
كيفية منع هجمات القرصنة
يقول أولجا كوتشيتوفا، الخبير الأمني في قسم اختبار الاختراق، لشركة كاسبرسكي لاب، "تدل نتائج أبحاثنا أنه على الرغم من الجهود التي يبذلها الموردون حالياً لتطوير أجهزة صراف آلي مدعومة بمزايا أمان قوية، نجد أن هناك العديد من البنوك التي لا تزال تستخدم نماذج قديمة وغير آمنة بالقدر الكافي، وهذا يجعلها غير مستعدة كلياً لمنع هجمات القراصنة الناشطين في مجال تحدي كافة احتياطات الأمان المثبتة على هذه الأجهزة. وهذا هو الواقع اليوم الذي يتسبب في إلحاق خسائر مالية فادحة بالبنوك وعملائها.
ومن وجهة نظرنا، هذا الأمر ناتج عن مفهوم خاطئ ظل سائداً لوقت طويل، وهو أن مجرمي الإنترنت لا يهتمون إلا بشن الهجمات إلكترونية ضد القنوات المصرفية عبر الإنترنت. إنهم كذلك بالفعل، ولكنهم أيضاً يركزون اهتمامهم بشكل متزايد على استغلال الثغرات الأمنية غير المكتشفة في أجهزة الصراف الآلي، نظراً لأن الهجمات المباشرة ضد هذه الأجهزة هي بالنسبة لهم أقصر طريق للسطو على الأموال الحقيقية."
على الرغم من أن القضايا الأمنية المذكورة أعلاه لها على الأرجح آثار خطيرة على الكثير من أجهزة الصراف الآلي في جميع أنحاء العالم، ولكن هذا لا يعني أنه يتعذر إيجاد حلول لمثل هذه الحالات. بإمكان مصنعي أجهزة الصراف الآلي التقليل من مخاطر الهجمات المستهدفة لأجهزة الصراف عن طريق تطبيق الإجراءات التالية:
- أولاً، لا بد من إعادة النظر في معيار XFS مع التركيز على السلامة، وإدخال اثنين من عوامل التفويض بين الأجهزة والبرامج النظامية. وهذا يساعد في التقليل من مخاطر سحب الأموال بشكل احتيالي عن طريق استخدام برمجيات Trojan الخبيثة وتمكين القراصنة من امتلاك زمام التحكم بوحدات أجهزة الصراف الآلي.
- ثانياً، من الضروري تطبيق مطلب "authenticated dispensing" وذلك بهدف استبعاد احتمال وقوع هجمات عن طريق مراكز المعالجة وهمية.
- ثالثاً، من الضروري تطبيق مطلب حماية التشفير والتحكم بسلامة البيانات المرسلة بين جميع الوحدات وأجهزة الحاسوب المثبتة داخل جهاز صراف آلي.

انقر هنا لقراءة الخبر من مصدره.