أمن أجهزة الصراف الآلي

أمن أجهزة الصراف الآلي – دليل موجز للمهتمين و أصحاب القرار

155 مشاهدة
8 دقائق
أمن أجهزة الصراف الآلي

تعتبر أجهزة الصراف الآلي (ATM) هدفاً مفضلاً للجماعات الإجرامية التي تتطلع إلى تحقيق ربح سريع من خلال سرقة النقود الموجودة بداخلها. ونتيجة لذلك، يجب على البنوك ومصنعي هذه الأجهزة تعزيز أمن أجهزة الصراف الآلي باستمرار، وكذلك فحص مشكلات الأمان المحتملة وتحسين السلامة العامة للصرافات. ليس الهدف حماية الأجهزة فقط، ولكن أيضاً ضمان أمن العملاء عبر تقديم تجربة مصرفية آمنة. يشارك معكم روبودين فيما يلي هذا المقال الذي يتناول الأنواع الرئيسة لمشكلات أمن أجهزة ATM بالإضافة إلى نصائح لمنعها.

الهجمات المادية

تتخذ الهجمات المادية (Physical attacks) عدداً من الأشكال، بدءاً من الهجمات التقليدية بالسلاسل والآليات الثقيلة، إلى الهجمات بالمتفجرات وماشابه. بالإضافة إلى ذلك، في البيئات الأقل أماناً، مثل الفنادق أو محطات الوقود، يكون من الأسهل كثيراً على المجرمين اقتحام وسرقة أجهزة الـ ATM. نعرف جميعاً قصصاً عن مجرمين يستهدفون تلك الأجهزة في الكثير من المواقع والبيئات، علماً أن الغالبية العظمى من هذه السرقات تحدث في الليل.

شكل آخر من أشكال الهجوم المادي هو jackpotting لدفع الـ (ATM) لإخراج النقود. يتصل مجرمو الانترنت فعلياً بجهاز الصراف الآلي. يمكن أن يكون هذا الجهاز كمبيوتر محمولاً أو هاتفاً ذكياً أو جهاز كمبيوتر لوحي. كما يستخدمون البرامج الضارة لاستهداف موزع النقود في الجهاز.

إضافة لذلك، غالباً ما يستخدم المهاجمون الخداع لتقليل فرص اكتشافهم. قد يلبسون أزياء موظفي شركة الصيانة لتجنب اكتشافهم أثناء اختيار أهداف مثل أجهزة الصراف الآلي في مواقع معزولة أو غير محمية. من خلال الوصول المادي إلى الجهاز، يمكن سرقة احتياطيات النقود في الـ ATM، والتي لا ترتبط برصيد حساب مصرفي محدد. قد تنجح خطط اللصوص فيهربون بالأموال بعيداً قبل اكتشافهم.

وهنا، لا بد من الانتباه أن مفتاح الصندوق العلوي عادة ما يكون قياسياً لكل شبكة الصرافات في المؤسسة. وبالتالي، فإن فقد المفاتيح المادية أو سرقتها سيهدد أمن الصراف. كذلك، من السهل -نسبياً- فتح الصندوق العلوي بالقوة باستخدام مفك براغي. كما تشمل الهجمات المادية أكثر من مجرد الجهاز، بل تمتد أيضاً إلى عمال الصيانة. يمكن للجماعات الإجرامية تتبع عمال الصيانة للعبث بجهاز الصراف الآلي أو للضغط على عامل صيانة ومن ثم تنفيذ السرقة عندما يفتح جهاز الصراف الآلي. أو يمكن استهداف العملاء الأفراد، مثل احتجازهم تحت تهديد السلاح أثناء استخدام جهاز الـ (ATM).

أمن أجهزة الصراف الآلي – هجمات البرمجيات

بالطبع، يعد الـ jackpotting أحد أشكال هجوم برامج أجهزة الصراف الآلي، ولكن توجد أشكال أخرى أيضاً بما في ذلك هجمات الاحتيال (skimming) والبرامج الضارة. تعد أجهزة الاحتيال على البطاقات وقارئات أرقام التعريف الشخصية مشكلة كبيرة، خاصة مع الأجهزة المتقادمة.

تُعرِّف أجهزة التجسس (skimmers) بأنها قارئ بطاقات يمكن إخفاؤه ليبدو وكأنه جزء من ماكينة الصراف . يجمع هذا الحهاز أرقام البطاقات ورموز التعريف الشخصية، والتي يتم نسخها بعد ذلك إلى بطاقات مزيفة. التجسس هو نوع من الاحتيال يحدث عندما يتم اختراق ماكينة الصراف الآلي بواسطة أجهزة الـ (skimmers). عندما تدخل بطاقتك في ماكينة الصراف الآلي المزروع فيها جهاز تجسس، فإنك تمررها دون قصد عبر القارئ المزيف، والذي سيسمح ويخزن جميع معلوماتك من الشريط المغناطيسي بالإضافة إلى التقاط رقم التعريف الشخصي الخاص بك من لوحة المفاتيح.

ومما يجعل برامج التجسس خطيرة بشكل خاص ،مقارنة بأشكال أخرى من اختراق البطاقات، أن بيانات البطاقة المجمعة يمكن استخدامها لسحب النقود من أجهزة الـ ATM. بالإضافة إلى برامج التجسس، تعد البرمجيات الخبيثة مفيدة بشكل خاص للمجرمين الذين يتطلعون إلى استغلال برامج أجهزة الصراف الآلي. ومن بين أدوات البرمجيات الخبيثة تلك، ما يتم وضعه على مبدلة الدفع (payment switch)، وهو وسيط بين أجهزة الصراف النظام المصرفي. يتلاعب ذلك البرنامج الخبيث برسائل المعاملات المالية ليقول أن النظام يرفض عمليات السحب بسبب عدم كفاية الأموال. في كثير من الحالات، يكون تقادم البرامج هو المسؤول عن هذه الثغرات الأمنية.

إن أحد المجالات التي تعرض المؤسسات المالية لخطر المجرمين هو تقادم برامج أجهزة الصراف الآلي. من المهم للمؤسسات المالية أن تضمن تحديث برامج أجهزة الصرافات، لكن ذلك لا يحدث دائماً. وفي حين أن مشكلة تقادم الأصول المعلوماتية (End of life) ليست حصرية بالقطاع المالي، لكنه أكثر القطاعات تضرراً وخصوصاً إن تكلفة وتعقيد إدارة مجموعة الأجهزة المتقادمة يعرض المؤسسات المالية وعملائها للخطر. ومع أخذ هذه الأمور بعين الاعتبار، لنلقي نظرة على مكافحة مشكلات أمن أجهزة الصراف الآلي .

استراتيجية أمن أجهزة الصراف الآلي

الاكتشاف (Detection)

يعد الاكتشاف جزءاً جوهرياً من استراتيجية أمن أجهزة الصراف الآلي. ويمكن أن يتخذ أشكالاً خارجية وداخلية. على سبيل المثال، كاميرات المراقبة الموجودة خارج ماكينة الصراف الآلي مفيدة، ولكنها فائدتها تظهر بشكل أساسي بعد وقوع الحادث لتعقب المهاجمين. أما باستخدام أدوات الكشف الداخلية، فيمكن للمشغلين إيقاف المجرمين أثناء عملية تسللهم أو إبلاغ الأجهزة الأمنية بمجرد سرقة ماكينة الصراف الآلي. ومن الأمثلة القليلة لأدوات الكشف:

  • أجهزة الإنذار الداخلية التي تنطلق عندما تكتشف الماكينة أي تلاعب. يمكن أن تتخذ شكل بوق أو إنذار ضوئي أو بعض الميزات الأخرى.
  • الدخان الأمني.
  • تتبع ماكينة الصراف الآلي وصناديق النقود عبر نظام تحديد المواقع العالمي (GPS)

أمن أجهزة الصراف الآلي – تحييد النقود (Cash neutralization)

إحدى الأدوات الرائعة لمنع هجمات ماكينة الصراف الآلي هي جعل النقود ببساطة غير صالحة للاستخدام من خلال نظام تحييد النقود الذكي (Cash neutralization)، والذي يلطخ العملة بالحبر. تختلف أنظمة التحييد فيما تفعله في هذا المجال، حيث ينشر بعضها محلول حبر، قد يحاول المجرمون غسله، بينما يستخدم البعض الآخر الغراء للصق النقود معاً في كتلة واحدة، مما يجعل من المستحيل على المجرمين فصل الأوراق النقدية الفردية دون تمزيقها إلى قطع.

تحديثات البرامج والتحقق منها

يستمر مجرمو الانترنت الإجرامية في تطوير البرامج الضارة لخداع أجهزة الصراف الآلي وحملها على صرف النقود، كما ذكرنا أعلاه، ولكن هناك جماعات أخرى تستهدف واجهة برمجة تطبيقات XFS التي تتحكم بشكل مباشر في واجهة نظام التشغيل لأجهزة الصراف الآلي مثل قارئ البطاقات وموزع النقود. ولمكافحة هذا الاتجاه، يجب على مشغلي أجهزة الصراف الآلي التحقق بانتظام من بروتوكولات أمن برامج أجهزة الصراف الآلي الخاصة بهم. كذلك فالمطلوب أن تحدث البرامج بأحدث الترقيات والتصحيحات وان تتبع خطة الصيانة. هذه واحدة من أكثر ممارسات أمن البرامج فعالية لإحباط الهجمات الشائعة وتجنب نقاط الضعف المرتبطة بالبرامج القديمة أو غير المحدثة. ويساعد هذا الإجراء في تأمين البرنامج وكذلك جهاز الصراف الآلي. ويمكن لمشغلي أجهزة الصراف تطبيق ضوابط واستخدام أدوات مثل الثقة الصفرية (Zero Trust) لقطع الطرق المحتملة للهجوم، مثل السماح فقط بإجراء تغييرات على برامج وأجهزة الصراف الآلي خلال فترات زمنية مصرح بها.

تأخير المهاجمين – أمن أجهزة الصراف الآلي

لن يتمكن المشغلون والمؤسسات المالية من منع كل هجوم، لكنهم يستطيعون جعل الوصول إلى أجهزة الصراف الآلي أمراً أكثر صعوبة بالنسبة للمجرمين. على سبيل المثال، فإن اختيار جهاز صراف آلي بدون فتحات يمكن الوصول إليها في الخزنة، يمكن أن يؤدي إلى إحباط المجرمين لفترة كافية لإعطاء الوقت لرجال الأمن للوصول إلى مكان الحادث. يمكن لأدوات أخرى مثل الحواجز المادية والبوابات تأخير المجرمين لفترة كافية لترك المكان دون سرقة الجهاز. يسابق المجرمون الوقت لسرقة الأجهزة، لذا فإن إضاعة وقت المهاجمين سيكون مفيداً حكماً للمدافعين.

كلمة أخيرة

إن أمن أجهزة الصراف الآلي قضية متعددة الأوجه تتطلب مشاركة جميع الأطراف المعنية. كما تتطلب اليقظة المستمرة تطبيق التحديثات الأمنية. تعمل الجماعات الإجرامية باستمرار على الابتكار والعمل معاً، وبالتالي، يجب أن يتعاون المدافعون أيضاً لحماية منظومة أمن أجهزة الصراف الآلي.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن قواعد البيانات
أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
أمن انترنت الاشياء
أمن انترنت الأشياء IOT الاسباب والحلول
تقييم المخاطر
كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
مبادئ أمن المعلومات
مبادئ أمن المعلومات – العناصر الخمسة في AAA
الهجمات على الشبكات اللاسلكية
التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
هجوم حقن قواعد البيانات SQL
هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
مراقبة الشبكة و تحليل البيانات
مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال
تقدير مخاطر الأمن السيبراني
نهج عملي لإدارة المخاطر والمرونة الإلكترونية