रैम स्क्रैपिंग अटैक क्या है
रैम स्क्रैपिंग अटैक एक प्रकार का डिजिटल अटैक है, जो उपभोक्ता क्रेडिट कार्ड की जानकारी को चुराने के लिए प्वाइंट-ऑफ-सेल (पीओएस) टर्मिनल में मैलवेयर का आरोप लगाता है।
ब्रेकिंग रैम रैम रैपिंग अटैक
अक्टूबर 2008 में वीज़ा द्वारा जारी अलर्ट में रैम स्क्रैपिंग हमलों को पहली बार सुरक्षा शोधकर्ताओं द्वारा पहचाना गया था। वीज़ा ने देखा कि साइबर क्रिमिनल्स ने पॉइंट-ऑफ-सेल (पीओएस) मशीनों में घुसपैठ की थी और अस्थिर यादृच्छिक एक्सेस मेमोरी (रैम) से अनएन्क्रिप्टेड ग्राहक जानकारी तक पहुंच प्राप्त की थी। उन टर्मिनलों के भीतर प्रणाली। उन शुरुआती स्क्रेपर्स के लक्ष्य आतिथ्य और खुदरा उद्योगों में होते थे। ये उद्योग समान रूप से बड़ी संख्या में स्थानों पर क्रेडिट कार्ड लेनदेन की बड़ी मात्रा में प्रक्रिया करते हैं। जांचकर्ताओं ने 2011 और 2013 के बीच नए मैलवेयर बगों की शुरूआत में तेजी देखी लेकिन 2013 और 2014 में BlackPOS के उदय तक POS के हमलों ने व्यापक रूप से ध्यान नहीं दिया। हैकर्स ने इस कार्यक्रम का इस्तेमाल टारगेट और होम डिपो रिटेल चेन के नेटवर्क में घुसपैठ करने के लिए किया। टारगेट और होम डिपो हमले पीओएस मालवेयर वेरिएंट के एक और गुणा के साथ हुए। हाल के वर्षों में, रैम स्क्रेपर्स को लगातार अधिक परिष्कृत मैलवेयर तत्वों जैसे कि स्क्रीन ग्रैबर्स और कीस्ट्रोक लॉगर द्वारा बदल दिया गया है।
राम स्क्रैपर्स कैसे काम करते हैं
प्लास्टिक क्रेडिट कार्ड जो हम सभी ले जाते हैं उसमें सूचना के दो सेट होते हैं। पहला चुंबकीय पट्टी के भीतर निहित है और मानव पर्यवेक्षक के लिए अदृश्य है। पट्टी के भीतर इलेक्ट्रॉनिक जानकारी के दो ट्रैक हैं जो कार्ड खाते और खाता धारक की पहचान करता है। ट्रैक 1 में अंतर्राष्ट्रीय वायु परिवहन संघ (IATA) द्वारा विकसित मानक के आधार पर एक अल्फ़ान्यूमेरिक अनुक्रम शामिल है। इस अनुक्रम में सभी पीओएस मशीनों द्वारा पहचाने जाने वाले अनुक्रम में खाता संख्या, कार्डधारक का नाम, समाप्ति तिथि और अन्य डेटा शामिल हैं। ट्रैक 2 अमेरिकन बैंकर्स एसोसिएशन (ABA) द्वारा विकसित एक छोटे लेकिन अनुरूप अनुक्रम का उपयोग करता है। एक तीसरा ट्रैक लगभग पूरी तरह से अप्रयुक्त है।
क्रेडिट कार्ड पर दूसरा पहचानकर्ता कार्ड के पीछे स्थित तीन या चार अंकों का कोड होता है, जिसे कार्ड सत्यापन संख्या (CVN) या कार्ड सुरक्षा कोड (CSC) के रूप में जाना जाता है। यह संख्या सुरक्षा की एक अतिरिक्त परत जोड़ सकती है यदि यह चुंबकीय पट्टी में निहित इलेक्ट्रॉनिक डेटा में शामिल नहीं है। एक पीओएस टर्मिनल जो ट्रैक 1 और ट्रैक 2 से इकट्ठा करता है, कभी-कभी ट्रैक 1 में सीवीएन या सीएससी सहित, उस पीओएस मशीन की स्मृति में आयोजित किया जाता है जब तक कि यह समय-समय पर शुद्ध नहीं होता है।
भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) में विस्तृत 12 सुरक्षा आवश्यकताओं के लिए क्रेडिट कार्ड लेन-देन श्रृंखला के सभी दलों को देखा जाता है, लेकिन हैकर्स ने इस ढांचे में अंतराल का लाभ उठाया है। रैम स्क्रेपर्स के लिए सीधे तौर पर कमजोर पड़ने वाला अंतर एक बिक्री का लेन-देन करने के बाद पीओएस मशीनों के सॉफ़्टवेयर में संग्रहीत बड़ी मात्रा में बरकरार क्रेडिट कार्ड डेटा का अस्थायी भंडारण है। छोटे व्यापारी साइबर अपराधियों के लिए अपेक्षाकृत आसान लक्ष्य होते हैं, लेकिन बड़े खुदरा विक्रेताओं जैसे टारगेट और होम डिपो किसी भी समय बनाए रखने वाले डेटा की भारी मात्रा के कारण अधिक आकर्षक होते हैं। अब तक, हैकर्स को उन बड़ी कंपनियों की व्यापक सुरक्षा प्रणालियों पर हमला करने के लिए समय लेने के लिए पुरस्कृत किया गया है।
