صحبت‌های چند مدیر صنعت پرداخت در خصوص وضعیت فعلی صنعت پرداخت

نویسنده: راه پرداخت در تاریخ 20 مهر سال 1394 ساعت 12:56 0

هر روز شیوه‌ای جدید برای دسترسی به رمز کارت بانکی افراد توسط سارقان ابداع می‌شود. اگرچه بارها به مردم هشدار داده شده که نسبت به نگهداری رمز کارت بانکی خود محتاط و هوشیار باشند، اما انگار این قصه سرِ درازی دارد. چندی پیش پلیس فتا اعلام کرد که از حساب ٤١ شهروند مبلغ ٧٠٠‌میلیون تومان به سرقت رفته است. شگرد سارقان هم به این صورت بود که سیم دستگاه کارت‌خوان در فروشگاه را به عمد دستکاری و کوتاه کرده بودند تا افراد مجبور شوند برای استفاده از دستگاه کارت‌خوان، رمز خود را در اختیار آنها بگذارند. ضمن اینکه در کنار دستگاه کارت‌خوان، دستگاه دیگری کار گذاشته شده بود تا زمانی‌که کسی کارت می‌کشید، اطلاعات حساب فرد در آن دستگاه ذخیره شود. سپس نمونه همان کارت ساخته می‌شد تا در فرصتی مناسب به حساب‌ها دستبرد زده شود. پیش از اینها ناصر حکیمی، معاون فناوری اطلاعات بانک مرکزی نسبت به وجود دستگاه‌هایی برای خواندن کارت‌های بانکی و کپی داده‌های نوار مغناطیسی هشدار داده بود. پس از آن بانک مرکزی با صدور بخشنامه‌ای، سیستم بانکی کشور را موظف کرد که به‌منظور جلوگیری از کپی کارت‌های بانکی روی دستگاه‌های خودپرداز آنتی‌اسکیمر نصب کنند، اما معلوم نیست که تاکنون چه میزان شعب بانکی نسبت به این ابلاغیه بانک مرکزی احساس مسئولیت کرده‌اند تا بتوان مقیاس دقیقی برای امنیت عابر بانک‌ها در سطح شهر داشت. آن‌طور که پلیس فتا اعلام کرده است؛ علاوه بر عابربانک‌ها، دستگاه‌های کارت‌خوان یا پوز فروشگاهی نیز از مهم‌ترین درگاه‌های اسکیمرها برای سرقت اطلاعات بانکی افراد هستند و تقلب و دستکاری برای دسترسی به حساب افراد از طریق دستگاه‌های پوز، یک معضل رو به رشد است. هم‌اکنون سارقان با نصب قطعاتی بسیار پیشرفته و کوچک به نام اسکیمر آن هم کنار شکاف ورودی دستگاه پوز قادر به خواندن اطلاعات محرمانه داخل کارت عابر می‌شوند، به همین دلیل از مدت‌ها پیش رئیس مرکز تشخیص و پیشگیری پلیس فضای تولید و تبادل اطلاعات ناجا از بانک‌ها خواست تا در جهت جلوگیری از نصب قطعات اسکیمر بر دستگاه‌های کارت‌خوان روی آنها آنتی‌اسکیمر نصب کنند که باز هم معلوم نیست آیا چنین اخطاریه‌ای از سوی بانک‌ها جدی گرفته شده است یا خیر. خبر دستبرد ٧٠٠‌میلیونی به حساب ٤١ شهروند موجب شد امنیت پرداخت‌های الکترونیک در ایران بار دیگر مورد توجه قرار گیرد.

كارشناس پرداخت الکترونیک: مي‌توان امنيت را بالا برد

فرشید اردوانی، کارشناس ارشد پرداخت الکترونیک در گفت‌وگویی با «شرق» ابتدا به مردم هشدار داد رمز کارت الکترونیکی خود را در اختیار دیگران نگذارند، ضمن اینکه باید توجه داشته باشند در برخی موارد متخلفان دوربین‌های مداربسته را به‌گونه‌ای تنظیم می‌کنند که روی صفحه کلید و کیبورد مسلط باشند؛ بنابراین باید در مقابل دوربین‌های مداربسته هم به گونه‌ای بایستند که قابلیت نمایش دکمه‌ها وجود نداشته نباشد. در برخی موارد هم متخلفان کارت بانکی افراد را در پایانه‌های تقلبی می‌کشند که این پایانه‌ها پیغام استانداردی نمی‌دهد، بنابراین در درجه اول مردم باید هوشیار باشند. وی افزود: راه دیگر برای مقابله با این خطرات آن است که مردم از کارت‌های خریدی استفاده کنند که متصل به حساب بانکی اصلی آنها نباشد؛ به‌طور مثال از کارت‌های خرید (بن کارت‌ها) الکترونیکی استفاده کنند که با انتقال کارت به کارت مبلغ به آنها عملا امکان دسترسی سارقان به حساب اصلی منتفی می‌شود.

این کارشناس ارشد پرداخت الکترونیک در توضیح امکان افزایش لایه‌های امنیتی این راهکار روی کارت‌های بانکی افراد گفت: با توجه به اینکه امکان آن وجود دارد که اطلاعات مغناطیسی پشت کارت‌های بانکی توسط دستگاه‌های کپی خوانده شود و هم‌اینک تنها رمز روی سوئیچ بانک قابلیت کنترل دارد، بنابراین می‌توان سطح لایه‌های امنیتی را به صورت استفاده از رمز ثابت و متغیر بالا برد.

وی ادامه داد: در این روش علاوه بر رمز اول، رمز دومی وجود خواهد داشت که پس از کشیدن کارت در دستگاه، توسط افراد روی موبایل آنها ارسال می‌شود. این رمز دوم متغیر و یک‌بار مصرف است و حتی اگر کارت فرد کپی‌شده باشد و رمز ثابت آن نیز لو رفته باشد، راه بر سارقان بسته می‌شود.

اردوانی در واکنش به این سؤال که چرا در ایران از این تکنیک در پرداخت‌های الکترونیک استفاده نمی‌شود، گفت: این روش اپلیکیشن مجزایی نیاز دارد؛ ضمن اینکه مهم‌تر از اپلیکیشن، آن است که شبکه شاپرک چنین استانداردی را تعریف کرده و زیرساخت‌های آن را فراهم کند.

به گفته وی، در کشورهای خارجی برای کارت مشتریان VIPو مشتریانی که در حساب بانکی خود مقادیر بالایی پول نگهداری می‌کنند، از این روش به‌صورت انتخابی (Optional) استفاده می‌شود، اما در ایران شبکه شاپرک ان‌شاءالله باید چنین استانداردی را پذیرا باشد که به دلیل هزینه‌بربودن و سختی‌های عملیاتی آن هنوز مقدور نشده است.

اردوانی ضمنا اشاره کرد که روش‌های نوین از جمله Mobile-NFC نیز از امنیت بالایی برخوردار است که در استفاده از آن عملا گوشی هوشمند همراه فرد با سطح امنیت بالا جایگزین کارت‌های الکترونیکی می‌شود. این روش هم‌اکنون خصوصا در آمریکا و اروپا مورد استفاده قرار می‌گیرد.

مدیرعامل شاپرک: سیستم پرداخت الکترونیک امن است

اما محسن قادری مدیرعامل شرکت شاپرک در گفت‌وگویی با «شرق» در مورد خبرِ دستبرد ٧٠٠‌میلیونی به حساب ٤١ شهروند اعلام کرد که هم‌اکنون این موضوع در حال بررسی است و هنوز بررسی‌های ما روی این موضوع کامل نشده است و تحقیقات ادامه دارد.

او گمانه‌زنی‌هایی را مبنی بر آنکه امنیت شبکه پرداخت الکترونیک با چنین شگردهایی به‌شدت در خطر است و زیر سؤال رفته، رد کرد و پاسخ داد: اصلا این‌طور نیست؛ سیستم پرداخت الکترونیک در امن‌ترین حالت ممکن است. وی با طرح این سؤال که وقتی از یک خانه در یک شهر سرقت می‌شود، باید بگوییم که آن شهر ناامن است، اضافه کرد: بهتر است به این مسائل دامن نزنیم و مردم را نترسانیم چون امنیت شبکه پرداخت الکترونیک کشور در بالاترین سطح ممکن است.

مدیر امنیت اطلاعات شاپرک: در چارچوب استانداردهای دنیا حرکت کردیم

سیامک آزادی‌ابد، مدیر امنیت اطلاعات شبکه شاپرک، در گفت‌وگویی با «شرق»، گفت: اگر رمز کارت فرد در اختیار متخلفان قرار نگرفته بود قاعدتا امکان برداشت پول هم وجود داشت؛ متأسفانه این ٤١ نفر که در این پرونده متضرر شدند، در فرایندی، کارت بانکی خود را همراه با رمز در اختیار متخلفان گذاشتند. وی تأکید کرد: به هیچ‌عنوان نمی‌توان این‌طور استنباط کرد شبکه پرداخت الکترونیک کشور ناامن است و لازم بود تمهیدات فنی خاصی اتخاذ شود تا چنین اتفاقی رخ ندهد.

مدیر امنیت اطلاعات شاپرک درباره طراحی و ساخت دستگاهی برای کپی اطلاعات کارت افراد نیز گفت: ساخت این دستگاه پیچیده نیست و این دستگاه کپی، قابل خریدوفروش است و در همه‌جا وجود دارد، ضمن اینکه نمی‌توان محدودیت برای استفاده از این دستگاه کپی برای نهادها قائل شد و مردم باید دقت کافی داشته باشند و رمز خود را در اختیار دیگران نگذارند و سهل‌انگاری نکنند. وی اضافه کرد: از دستگاه کپی‌کارت، صرفا در حوزه پرداخت و بانکداری استفاده نمی‌شود و به همین دلیل بانک مرکزی به عنوان مقام ناظر به‌تنهایی نمی‌تواند با صدور بخش‌نامه‌ای نسبت به محدودیت برای استفاده از این دستگاه اقدام کند.

وی در مورد استانداردهای جهانی برای امنیت کارت‌های بانکی در مقابل چنین خطراتی، گفت: ما در چارچوب استانداردهای معمول دنیا حرکت کردیم. حتی می‌توان گفت در پرداخت‌های غیرحضوری مانند پرداخت اینترنتی و موبایلی، سخت‌گیری‌های بیشتری نسبت به استانداردهای معمول در دنیا اعمال کردیم که تا حدودی موجب دشواری برای کاربران شده است اما نمی‌توان مقدار پیچیدگی‌های امنیتی را افزایش داد و فراتر از استانداردها حرکت کرد؛ چون پیچیدگی بیشتر، کاربری کمتری دارد، درحالی‌که ما می‌خواهیم مردم از چنین تکنولوژی‌هایی استفاده کنند.

به گفته وی، مانند پرونده‌های دیگر در حوزه جرایم رایانه‌ای، هم‌اینک دادسرای جرایم رایانه‌ای و پلیس فتا به صورت تخصصی در حال بررسی اين پرونده هستند. همچنین در این راستا، شاپرک و بانک مرکزی در حال همکاری کامل با نهادهای مربوطه است تا ان‌شاءالله جبران ضرر افراد زیان‌دیده انجام پذیرد.

مدیر امنیت اطلاعات شاپرک عنوان کرد: متأسفانه این‌طور مسائل نشان می‌دهد ما هنوز به آموزش‌های اولیه ازجمله اینکه «رمز کارت خود را در اختیار دیگران قرار ندهید»، نیاز داریم.

منبع: شرق