كشفت أبحاث جديدة عن ثغرات أمنية في المحافظ الرقمية الشهيرة

تم نشر ورقة بحثية اليوم من جامعة ماساتشوستس أمهيرست تكشف عن ثغرات أمنية كبيرة في المحافظ الرقمية الشهيرة مثل Apple Pay، وGoogle Pay، و PayPal. تسلط الدراسة الضوء على كيفية أن هذه التقنيات، التي من المتوقع أن تستخدمها أكثر من 5.3 مليار شخص بحلول عام 2026، يمكن أن تكون معرضة للخطر بسبب طرق التوثيق القديمة التي تضع الراحة قبل الأمان.

كما يوضح إعلان الجامعة أن الباحثين تمكنوا من تحديد خطأ في كيفية تعامل البنوك مع البطاقات المسروقة. تقوم البنوك عادة بحظر البطاقة المادية ولكنها تفشل في التعامل مع المعاملات من خلال المحافظ الرقمية، حيث أن نظام الرموز لا يتطلب إعادة التوثيق بعد استبدال البطاقة.

ونتيجة لذلك، يمكن للمهاجمين ما زالوا يستخدمون تفاصيل البطاقة المسروقة للشراء حتى بعد أن يتلقى الضحية بطاقة جديدة. هذا يكشف عن فجوة أمنية حرجة تحتاج إلى التصدي لها للحماية من المعاملات الاحتيالية.

يقول تاقي رازا، أحد مؤلفي الورقة، في الإعلان: “أي شخص ضار يعرف رقم البطاقة [الفعلي] يمكنه التظاهر بأنه حامل البطاقة، […] المحفظة الرقمية ليست لديها آلية كافية للتحقق مما إذا كان مستخدم البطاقة هو حامل البطاقة أم لا”.

علاوة على ذلك، تكشف الدراسة أن المهاجمين يمكنهم استغلال هذه المحافظ الرقمية من خلال وسائل مختلفة. أولاً، يمكنهم إضافة بطاقة مصرفية للضحية إلى محفظتهم الخاصة عن طريق تجاوز اتفاقية التوثيق بين المحفظة والبنك.

ثانياً، يستغلون الثقة الكامنة بين المحفظة والبنك لتجاوز تأكيد الدفع. ثالثاً، يمكن للمهاجمين التلاعب بأنواع الدفع لتجاوز سياسات التحكم في الوصول، مما يسمح لهم بإجراء عمليات شراء غير مصرح بها رغم الإبلاغ عن البطاقة على أنها مسروقة.

درست الدراسة ثغرات في البنوك الأمريكية الرئيسية وتطبيقات المحفظة الرقمية، مكشفة أن هذه المشكلات لا تزال مستمرة حتى بعد إبلاغ البنوك. وجد الباحثون أن تفاصيل البطاقة الجديدة مرتبطة بالرمز الظاهري القديم دون إعادة التوثيق، مما يتيح استمرار النشاط الاحتيالي.

لمعالجة هذه المشكلات، تقترح الدراسة عدة تدابير مضادة. إحدى التوصيات الرئيسية هي استبدال أنظمة كلمة المرور المرة الواحدة (OTP) القديمة بأساليب التوثيق متعدد العوامل (MFA) الأكثر أمانا.

بالإضافة إلى ذلك، تقترح الدراسة تطبيق التحقق المستمر من الهوية لإدارة الرموز لتعزيز الأمان. حالياً، تظل الرموز الدفع صالحة إلى ما لا نهاية بعد التحقق الأولي من الهوية. التوصية هي للبنوك بأن تستخدم إعادة التحقق من الهوية بشكل دوري وتجديد الرموز، خاصة بعد الأحداث الحرجة مثل فقدان البطاقة.

وأخيراً، توصي البحث بتحسين تفويض المعاملات من خلال تحليل بيانات المعاملات الفوقية، مثل الوقت والتكرار، للتمييز بين المعاملات الفردية والمتكررة. هذا سيساعد في منع سوء استخدام تسميات المعاملات وضمان مطابقة المعاملات لأنواعها ومبالغها المقصودة.