اصولا تراکنشهای اینترنتی سازکار پیچیدهای دارند. برای دور زدن درگاه پرداخت در هنگام انجام تراکنش، کاربر باید به این سازکار پیچیده، اشراف کاملی داشته باشد. فقط در این صورت است که میتواند راهکاری برای خرید آنلاین، بدون پرداخت هزینه پیدا کند. در ادامه سه روش ممکن برای دور زدن درگاه پرداخت توسط کاربران شرح داده میشود.
سادهترین راه برای هک درگاه پرداخت در جریانِ یک خرید اینترنتی، دستکاری قیمت محصول مورد نظری است که توسط کاربر خریداری میشود. برای تغییر قیمت محصول مورد نظر، کافی است پیش از افزودن محصول به سبد خرید، آن را در قسمت فرم مخفی که در آن قیمت ذکر شده است، تغییر دهید. به این ترتیب هیچ گاه قیمت واقعی آن محصول به سبد خرید اضافه نمیشود و شما میتوانید محصول مورد نظرتان را کاملا رایگان خریداری کنید.
<input type=”hidden” name=”business” value=”abc@xyz.com”>
<input type=”hidden” name=”cmd” value=”_xclick”>
<input type=”hidden” name=”item_name” value=”Classmate_Notebook”>
<input type=”hidden” name=”amount” value=”550">
<input type=”hidden” name=”currency_code” value=”INR”>
این روش بسیار ساده است و برای هکرهای تازه کار قابل انجام هستش و به دلیل ساده بودن آن،بیشتر سایتهای فروشگاههای اینترنتی از آن اطلاع دارند و المانهای مخفی نخواهند داشت.
دومین راهکار برای دور زدن درگاه پرداخت و خرید رایگان، دستکاری مقدار محصولی است که قصد خرید آنلاین آنرا دارید. با این روش نیز در نهایت قرار است شما قیمت کالای مورد نظرتان را به میزان دلخواه نزدیک کنید. در چنین فرآیندی، لزوماً باید از ابزار رهگیری مانند Burp Suite استفاده کنید.
در واقع فرض بر این این است که قیمت در قسمت پنهان در فرم قرار ندارد و بنابراین ما نمیتوانیم آن را مانند روش قبل تغییر دهیم و سپس محصول را به سبد خرید اضافه کنیم. بلکه اینبار در مرحلهی پرداخت به کمک درگاه بانکی، ابزار رهگیری مذکور را روشن میکنیم و سپس هزینهی کالای مورد نظرمان را به صورت دستی، در سبد خریدی که رهگیری کردهایم دستکاری میکنیم. آنگاه قیمت را به شکل دلخواه ویرایش مینماییم.
راهکار بعدی در قیاس با دو راهکار قبلی، بسیار دشوارتر است. اما نخستین چیزی که هکرها یاد میگیرند این است که زود تسلیم نشوند و در نهایت راه حلی را پیدا کنند. اکنون درگاههای پرداخت از سرویسهای امنیتی بسیار قوی برخوردارند و کار هکرها را دشوارتر کردهاند. اما در مقابل هکرها نیز بیکار نماندهاند و مثلا در مورد شناسه تراکنشها یا همان هش تحقیق فراوان کرده و سازکار آن را کشف کردهاند.
شاید بپرسید هش چیست؟ هش در واقع یک کد است که حاوی اطلاعات خاصی از هر معامله یا تراکنش میباشد. هر تراکنشی که در سیستم درگاه پرداخت انجام میشود، دارای یک شناسهی منحصر به فرد است. به این شناسه هش معامله یا Tx Hash گفته میشود. هش در واقع مجموعهای متوالی و تصادفی از اعداد، حروف و کاراکترهاست. برای اینکه صاحبان کسب و کارها، بتوانند وبسایت تجارت الکترونیک خود را به درگاه پرداخت مجهز کنند، باید نحوهی فرموله کردن هش و سایر جزئیات در این حوزه را بیاموزند. زیرا هکرها از طریق فرموله کردن هش میتوانند درگاه پرداخت با امنیت بالا را نیز دور بزنند.
منبع : هک کردن درگاه پرداخت