راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

بانک‌تک

پیدا و پنهان سرقت اطلاعات کارت‌های بانکی/آیا توطئه در کار است؟

نویسنده: رسول قربانی 1

افشای اطلاعات کارت‌های بانکی از سوی مدیر نرم افزار شرکت وارد کننده دستگاه‌های پوز چقدر نگران کننده است؟ فرجام افشای این اطلاعات به نفع و زیان کیست؟

علیرضا خراسانی؛ مدیر نرم افزاری شرکت وارد کننده دستگاه‌های پایانه فروش (POS) (دستگاهی که هنگام خرید از فروشگاه یا مغازه، کارت بانکی روی آن کشیده شده و پول از کارت مشتری به حساب بانکی صاحب مغازه یا فروشگاه می‌رود) از ایران فرار می‌کند. این شرکت، عمده واردات و ساپورت نرم افزاری و سخت افزاری دستگاهای پایانه فروش در ایران را در اختیار دارد و رقیبی ندارد.

مدیر نرم افزار این شرکت، مدعی است با مدیران ارشد خود صحبت کرده که چرا برای بالا بردن سیستم امنیتی مبادلات پولی از طریق دستگاه‌های پوز، از ماژول سخت افزاری HSM استفاده نکرده‌اند و همین عامل باعث شده تا وی سعی کند تا نقشی شبیه رابین هود را ایفا کند.

مشکل بزرگ به گفته خسرو زارع فرید این است که دستگاهای HSM کمک می‌کند تا اطلاعات مشتریان روی ترمینال‌هایی که ممکن است مورد سوء استفاده هکر‌ها و دزدان قرار گیرد، ذخیره نشده و لو نرود و بانک مرکزی باید این ماژول سخت افزاری را از این شرکت می‌خریده؛ که هنگام بستن قرارداد و بعدا بر سر مشکلات مالی ناشی از فروش دستگاه‌ها اختلاف به وجود می‌آید.

همین مدیر نرم افزاری قهر کرده و از ایران فرار می‌کند و البته‌‌ همان اطلاعات و رمزهای بین بانکی هنگام تبادل مالی بین دستگاهای پایانه فروش و ترمینال شرکت انیاک و بانک مرکزی را در هفته آخری که فرار می‌کند را روی هارد خود ریخته و به خارج از کشور می‌برد.

 

اولین نکته و نتیجه این داستان: در عقب مانده‌ترین کشور جهان هم هیچ مدیر نرم افزاری حق ندارد دست به سرقت اطلاعات بزند. سرقت با هک کردن فرق دارد و دلسوزی شک بر انگیز مدیر نرم افزاری نیز نتیجه‌اش حداقل ۵ سال زندان در فرانسه یا آلمان است که وی بدانجا فرار کرده است. خیلی راحت پلیس ایران می‌تواند شکایت رسمی به اینترپل کرده و وی را به ایران بازگرداند. مقر اینترپل در فرانسه است و به راحتی می‌توان با ارسال مدارک سرقت صورت گرفته توسط آقای نرم افزار وی را بازداشت کرد.

 

برگردیم به داستان قبلی

اطلاعاتی که مدیر نرم افزار در هفته قبل از فرار خود، کپی کرده حاوی رمزهای بین بانکی و شماره کارت فردی است که با دستگاه پایانه فروش خرید و فروش کرده است. این اطلاعات در حال حاضر به گفته او حدود سه میلیون کاربر بانکی است که وی آنها را منتشر کرده است.

 

آیا انتشار این شماره‌ها خطر فوری دارد؟

تقریبا ۹۹ درصد جواب منفی است.

شماره‌ها از الگوریتم خاصی پیروی می‌کند که برای یافتن این الگوریتم باید ریاضی دانان جمع شده تا فرمول تولید شماره رمز از روی کارت هنگام ترانزاکشن را کشف کنند. پس نتیجه فوری آن چندان خطرآفرین نیست.

برای همین بانک مرکزی به هشدار دادن به مردم بسنده کرده و در ‌‌نهایت با مسدود کردن کارت بانکی لو رفته‌ها، جلوی سوء استفاده احتمالی را بگیرد. (برخی نیز با تماس با بانک مرکزی گفته‌اند حسابشان خالی شده که در برخی موارد انسان را یاد گم کنندگان چمدان در فرودگاه می‌اندازد که هنگام پر کردن فرم گمشده هر آیتمی را که دلشان می‌خواهد می‌نویسند و از آب گل آلود ماهی می‌گیرند.)

بانک‌ها نیز خودشان وارد عمل شده و با ارسال اس‌ام اس از مردم خواسته‌اند تا جهت جلوگیری از سوء استفاده احتمالی شماره رمز خود را عوض کنند. کار‌شناسان بانکی هم می‌دانند که فعلا کسی نمی‌تواند سوء استفاده کند اما برای اطمینان بیشتر از مشتریان خواسته‌اند این کار را انجام دهند.

اگر کسی این الگوریتم‌ها را کشف کند (که فعلا محال است) باید دسترسی به ترمینال شرکت وارد کننده دستگاه‌های پایانه فروش را هم داشته باشد تا بتواند دومین قدم از هک کارت‌ها را انجام دهد (که این امکان نیز در حال حاضر وجود ندارد) و از طرف دیگر سایر اطلاعات ریز دارنده کارت از جمله CVV را هم داشته باشد تا بتواند به سوی گام بعدی هک حرکت کند. (که آنرا هم ندارد). تازه بانک مرکزی باید سریعا جلوی نقل و انتقالات بالا را بگیرد تا امکان سوء استفاده را به صفر برساند.

 

اما حالا برگردیم به سایر نتایج.

در کوتاه مدت بازنده اصلی شرکت وارد کننده و خدمات دهنده دستگاه‌های پوز است که مدیر نرم افزاری وی به خارج رفته است.

نکته فنی قضیه متن مکالمه تلفنی مدیر فراری با رییس خودش است که در آن صد‌ها نکته و سوال دارد. اول از همه خنده و بعد تعجب، عصبانیت، آرامش و بی‌خیالی را در ذهن خواننده متبادر می‌سازد.

نتیجه درازمدت که‌‌ همان بی‌اعتماد شدن مردم به سیستم الکترونیک بانک‌ها است به ذهن نمی‌رسد که این نیز اما و اگر زیاد دارد. اینکه نهادهای مسئول چگونه خود را وارد این بازی کرده و چگونه می‌خواهند سر و ته این داستان را جمع کنند نیز به واکنش‌های بعدی شرکت وارد کننده پایانه فروش، برگشتن فراری و اعترافات او دارد.

اما تنها یک نکته می‌ماند و اینکه بانک مرکزی قرارداد جدید را با کدام شرکت یا نهاد امضا خواهد کرد؟ پاسخ به این پرسش می‌تواند بسیاری از سناریوهای بازی شده در این داستان لج ولجبازی (که به واقعیت تبدیل شد) را آشکار کند.

توپ در زمین چه کسی خواهد افتاد؟ مردم، شرکت واسط، شرکت جدید واسط و یا بانک مرکزی؟

منبع: خبر آنلاین

رسول قربانی

رسول قربانی هستم. دانش‌آموخته رشته زبان و ادبیات انگلیسی دانشگاه شهید بهشتی در مقطع کارشناسی و علوم ارتباطات دانشگاه سوره در مقطع کارشناسی ارشد. همکاری با مطبوعات را از تابستان ۱۳۸۸ با گروه مجلات همشهری شروع کردم و از نیمه دوم سال ۱۳۹۰ در کنار تیم راه پرداخت قرار گرفتم و اکنون به‌عنوان هم‌بنیان‌گذار کارخانه نوآوری رسانه راه‌کار، مسئولیت اصلی‌ام تمرکز بر فروش و امور مشتریان است.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.