چرا باید فرهنگ بیان رمز کارت بانکی را تغییر داد

«اعتماد» اگرچه به یکی از عناصر گمشده جامعه ما تبدیل شده اما به شکل جالبی، جایی که باید به شدت از اطلاعات خود حفاظت کنیم به سادگی اعتماد کرده و دارایی‌مان را در اختیار دیگران قرار می‌دهیم. امروز به دلایل مختلف همچنان از کارت‌های پلاستیکی مغناطیسی بانکی استفاده می‌کنیم که اطلاعات حساب ما را در خود ذخیره کرده‌اند و تکنولوژی ساخت آنها به سال ۱۹۶۰ برمی‌گردد. طبیعتاً یکی از کاربرد‌های اصلی این کارت‌ها، خرید از فروشگاه‌هاست؛ خریدی که با بیان رمز از سوی خریدار به فروشنده همراه می‌شود.

همه بی‌شک چنین اشتباهی را مرتکب شده‌ایم اما با توجه به تبعات این موضوع می‌توان روند فعلی را تغییر داد چراکه وارد شدن رمز کارت بانکی توسط خریدار در فروشگاه‌ها، می‌تواند باعث کاهش قابل توجه حجم کلاهبرداری‌ها شود. در روزهای گذشته یک بار دیگر این اتفاق تکرار و در شبکه‌های اجتماعی خبرساز شد: شخصی در یکی از مجتمع‌های تجاری تهران با کارت بانکی خرید می‌کند و پس از مدت کوتاهی ده‌ها میلیون از حسابش کسر می‌شود.

این صرفاً یکی از آخرین موارد از این نوع کلاهبرداری است و با یک جستجوی ساده به انبوهی از موارد مشابه برخورد می‌کنید. این کلاهبرداری‌ها بیشتر زمانی رخ می‌دهد که فروشنده، کارت مشتری را خارج از دید او مورد استفاده قرار می‌دهد و معمولاً از روشی به نام «اسکیمینگ» استفاده می‌کند. اسکیمینگ روشی است که در آن اطلاعات کارت بانکی مشتری کپی و در یک کارت خام بازنویسی می‌شود؛ رمز را هم که خودتان به کلاهبردار داده‌اید.

سوال اینجاست که چگونه دستگاه‌های پوز برای اینکار دستکاری می‌شوند؟ «ایلیا وکیلی»، معاون فنی شرکت «فناپ پرداخت» که اولین تولیدکننده کارتخوان در داخل کشور بوده و اکنون تامین‌کننده کارتخوان برای بانک‌های پاسارگاد، صادرات و سپه است در پاسخ به این پرسش به دیجیاتو می‌گوید: «دستگاه‌های پوز از لحاظ امنیتی نسبت به دستکاری حساس هستند و بررسی‌های مختلفی هم روی آنها انجام می‌شود. در نتیجه احتمال کلاهبرداری از طریق خود دستگاه پوز منتفی است.»

در نتیجه به احتمال زیاد در بیشتر مواقع شخص کلاهبردار از دو دستگاه استفاده می‌کند که یکی از آنها مربوط به روش اسکیمینگ است و ظاهری مشابه با خود دستگاه کارتخوان دارد. کلاهبردار معمولاً بار اول روی همین دستگاه کارت را می‌کشد تا اطلاعات آن ذخیره شود و رمز را هم که خود مشتری در اختیارش قرار می‌دهد. پس از ناموفق بودن عملیات، روی دستگاه پوز واقعی کارت کشیده شده و مبلغ خرید کسر می‌شود. وکیلی می‌گوید: «کار اسکیمر صرفاً کپی کردن کارت است. هر کارت مگنتی به سادگی قابلیت کپی شدن دارد و بعداً این اطلاعات روی یک کارت خام توسط Card Writer قابل بازیابی و نوشته شدن است. ساده‌ترین راه حل برای جلوگیری از این مشکل، ندادن رمز به فروشنده است.»

معاون فنی فناپ پرداخت در رابطه با ضریب امنیت کارت‌های بانکی فعلی و همچنین راه تکنولوژیک برای جلوگیری از کپی شدن آن نیز می‌گوید:

«از لحاظ تکنولوژی، کارت‌هایی که چیپ دارند و طبق استاندارد EMV هستند امن‌ترند. اما برای استفاده از این نوع کارت‌ها باید زیرساخت پرداخت کشور تغییر کند؛ اتفاقی که امیدواریم به زودی رخ دهد اما فعلاً بعید است.»

اما واقعاً چقدر از چنین تغییری دور هستیم؟ «محمد مراد بیات»، مدیرعامل «فابا» (مرکز فرهنگسازی و آموزش بانکداری الکترونیک شبکه بانکی کشور) در گفتگو با دیجیاتو می‌گوید که این اتفاق در دستور کار بانک مرکزی و نظام بانکی است اما زمان پیاده سازی‌اش مشخص نیست:

«می‌دانم که به هر حال همسو با اتفاقاتی که در جهان می‌افتد، تلاش‌هایی دارد شکل می‌گیرد که ما نیز همچنان روی لبه تکنولوژی حرکت کنیم. قطعاً این موضوع در دستور کار بانک مرکزی، نظام بانکی و صادرکنندگان کارت است، اما اینکه دقیقاً چه زمانی این موضوع اجرا و پیاده سازی شود، جزییاتش را در جریان نیستم.»

بیات البته از یک مثال جالب هم استفاده می‌کند و می‌گوید حتی اگر از جدیدترین فناوری‌ها نیز استفاده شود، باید کاربران موارد امنیتی را رعایت کنند تا از وقوع کلاهبرداری جلوگیری شود:

«یکی از دغدغه‌های نظام بانکی این است که امنیت سیستم‌های پرداخت الکترونیکی را روز به روز بالا ببرد اما اینکه تصور کنیم با پیشرفت تکنولوژی، خطرات امنیتی به صفر می‌رسد، اشتباه است. تلاشی که نظام بانکی و مجموعه شرکت‌های فناوری برای بالا بردن ضریب امنیت می‌کنند روشن است. در کنار این مسئله، موضوع مهمی که می‌تواند مانع از کلاهبرداری و جعل شود، خود کاربرانی هستند که کارت‌ها در اختیارشان است. فرض کنید یک در ساخته شده که به هیچ شکل باز نمی‌شود اما وقتی بلد نباشیم از کلید آن درست محافظت کنیم، همین باعث ناامنی می‌شود. در اختیار نگذاشتن این کلید به کسی که می‌تواند برای ما نا امنی ایجاد کند موضوع مهمی است. امروزه میزان آشنایی با خدمات پرداخت الکترونیکی و شیوه‌های امن‌سازی، بسیار مهم‌تر از خود فناوری‌ و تکنولوژی‌های مورد استفاده است. عمده اتفاقات در حوزه ناامنی ها، محصول ناآگاهی کاربران از چگونگی استفاده از ظرفیت‌هاست.»

وضعیت از راه رسیدن کارت‌های جدید تراشه‌دار مشخص نیست و از طرفی کارت‌های مغناطیسی فعلی هم به سادگی قابل کپی شدن هستند. معاون فنی فناپ پرداخت دو راه برای جلوگیری از این نوع کلاهبرداری‌ها معرفی می‌کند که ندادن رمز به فروشنده و همچنین داشتن یک کارت بانکی و حساب جداگانه برای خرید‌های جزیی با مانده پایین است. وکیلی می‌گوید:‌ «پیشنهاد می‌کنم نهادهای نظارتی شماره تلفنی را جهت شکایت از فروشنده‌هایی که از مشتریان درخواست رمز دارند مشخص کنند.»

از طرفی یکی دیگر از روش‌های افزایش امنیت دستگاه‌های کارتخوان، بهره‌گیری فروشگاه‌ها از «پین‌ پد» است؛ یک صفحه‌کلید جداگانه که به دستگاه کارتخوان متصل شده و به خریدار اجازه می‌دهد تا شخصاً رمزش را وارد کند. با این حال این روزها در کمتر فروشگاهی چنین دستگاه‌هایی را مشاهده می‌کنیم. وکیلی درباره علت فراگیر نشدن پین‌پدها می‌گوید: «به نظر من بیشتر بحث هزینه مطرح است. امروز در هر فروشگاه پنج دستگاه پوز وجود دارد که بابت هر کدام از آنها هزینه زیادی شده. کسی الزام امنیتی این موضوع را درک نمی‌کند.»

مطالب مرتبط

حمله باج افزاری گسترده علیه کانن؛ ۱۰ ترابایت دیتا به سرقت رفت

شرکت کانن اعلام کرده که هدف دو حمله باج افزاری بزرگ قرار گرفته است و دسترسی به ۱۰ ترابایت دیتای ارزشمند آن حالا منوط به پرداخت مبلغی نامشخص باج به عاملان این حملات است.البته این شرکت جزئیات زیادی در مورد نوع دیتای سرقت شده خود ارائه نکرده و مشخص نیست چه تعداد از کاربران آن... ادامه مطلب

رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی روی دست شرکت‌ها خرج می‌گذارد

بر اساس جدیدترین پژوهش صورت گرفته، هزینه هر رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی و برابر ۶.۵۲ میلیون دلار است.این تحقیق که توسط «IBM Security» و «Ponemon Institute» صورت گرفته، هزینه رخنه اطلاعاتی در ۱۷ کشور جهان در سال ۲۰۲۰ را مورد تحلیل قرار داده است. طبق این گزارش، میانگین هزینه هر رخنه... ادامه مطلب

هکرها رمز عبور بیش از ۹۰۰ VPN سرور سازمانی را منتشر کردند

هکرها لینک دانلود لیستی حاوی نام کاربری، رمز عبور و آدرس‌های IP بیش از ۹۰۰ سرور سازمانی Pulse Secure VPN را در یک فروم هک منتشر کردند.سایت ZDNet به نسخه‌ای از این لیست دسترسی پیدا کرده و می‌گوید شامل اطلاعات زیر می‌شود: آدرس‌های IP سرورهای Pulse Secure VPN نسخه فریم ور سرور Pulse Secure VPN... ادامه مطلب

هکرهای منتسب به ایران برای اولین بار در یک حمله سایبری از DoH استفاده کردند

یک گروه هک منتسب به ایران موسوم به Oilrig به اولین گروه هک شناخته شده‌ای تبدیل شد که از پروتکل DNS-over-HTTPS یا DoH در حملاتش استفاده می‌کند.«Vincente Diaz»، از تحلیلگران بدافزار برای آنتی ویروس کسپرسکی می‌گوید گروه هک Oilrig ماه می سال جاری میلادی ابزار جدیدی را به مجموعه ابزارهای خود اضافه کرده است. به... ادامه مطلب

جریمه ۲۵۰ میلیون دلاری توییتر به خاطر نقض حریم خصوصی کاربران

کمیسیون فدرال تجارت ایالات متحده مجموعه تحقیقاتی گسترده را پیرامون استفاده از شماره موبایل و آدرس ایمیل کاربران جهت تبلیغات هدفمند از سوی توییتر را در دست بررسی دارد و طبق پیش بینی‌ها جریمه‌ای ۲۵۰ میلیون دلاری انتظار این شبکه اجتماعی را می‌کشد.مجموعه تحقیقات کمیسیون فدرال تجارت از اکتبر سال گذشته شروع شده و به... ادامه مطلب

چرا حملات باج افزاری همچنان قربانی می‌گیرند؟

باج افزارها بیش از سه دهه است که مورد استفاده قرار می‌گیرند و برخی محققان از آنها به عنوان بزرگترین کابوس امنیت آنلاین یاد می‌کنند. با این وجود هنوز هم شرکت‌های بزرگ و کوچک توسط حملات باج افزاری غافلگیر شده و در یک دو راهی سخت قرار می‌گیرند: چشم پوشی از فایل‌های رمزگذاری شده یا... ادامه مطلب

ویجیاتو

نظرات ۶

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟