راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

پی‌تک

ابعاد و روش‌های سوءاستفاده از کارت‌های اعتباری و خودپرداز در بانکداری الکترونیکی

نویسنده: رسول قربانی 0

مژگان سبحاني- پريا جوكار. شركت خدمات انفورماتيك؛

دنیای امروز دنیای ارتباطات و گرایش به سمت الکترونیکی شدن امور مختلف است و تجارت و تبادلات مالی نیز از این قاعده مستثنا نیستند. به گونه‌ای که ارائه و دریافت خدمات بانکداری الکترونیکی رفته رفته به یک ضرورت اجتناب‌ناپذیر تبدیل می‌شود. استفاده موثر از خدمات بانکداری الکترونیکی و پذیرش آن از سوی افراد جامعه، منوط به برقراری امنیت و قابلیت اعتماد این خدمات است و برقراری امنیت خود تحت تاثیر دو عامل تکنولوژی و آموزش عمومی قرار دارد. در ادامه برخی روش‌های متداول سوءاستفاده از کارت‌های خودپرداز معرفی شده‌اند و نقش عوامل فوق در امنیت کارت‌های اعتباری و خودپرداز مورد بررسی قرار گرفته است.

تجهیزاتی که به کمک دزدان می آیند

به دست آوردن حساب (Account Takeover) این نوع کلاهبرداری یکی از انواع رایج جعل عنوان [1][1] است، به طوری که شیاد پس از به دست آوردن اطلاعات شخصی، شماره حساب و تغییر آدرس ایمیل رسمی طعمه خود و با ارسال ایمیلی به بانک مبنی بر گم شدن یا دزدیده شدن کارت، تقاضای کارت جدیدی می‌کند. کارت جدید و صورتحساب برای آدرس جدید ارسال و تا مدتی حساب در اختیار شیاد خواهد بود. این نوع شیادی بیشتر در ارتباط با کارت‌های اعتباری است.

 

Phishing: فرآیندی است که متخلف را قادر می‌سازد با جلب اعتماد کاربر اطلاعات شخصی، کلمه عبور و همچنین اطلاعات مالی محرمانه را در اختیار فرد شیاد قرار دهد. در این فرآیند اطلاعات در قالب فرم‌ها و با عناوین مختلف از جمله بانک، موسسات وابسته به دولت و… برای طعمه ارسال می‌شود و طعمه بدون اطلاع از اینکه فرم دریافتی جعلی و فقط شبیه فرم اصلی است، ناآگاهانه اطلاعات محرمانه مورد نظر را در آن وارد و برای شیاد ارسال می‌کند.

Pharming: حمله نفوذگر (Hacker) به منظور تغییر ترافیک وب‌سایت به یک وب‌سایت جعلی دیگر است. در این بخش از شیادی، با دستکاری سرویس‌دهنده [2][2]DNS توسط فرد شیاد که در اصطلاح فنی به «سمی» (poisoned) شدن سرویس‌دهنده DNS کاربر معروف است، منجر می‌شود. کاربر به تصور اینکه وارد سایت اصلی بانک می‌شود، وارد سایت جعلی فرد شیاد شده و اطلاعات محرمانه بانکی اعم از شماره‌حساب، شماره کارت و کلمه عبور را وارد می‌کند و آنگاه فرد شیاد به راحتی می‌تواند نسبت به سوءاستفاده اقدام کند.

تخلفات در دستگاه‌های خودپرداز: (ATM Fraud)

تخلف و شیادی در دستگاه های خودپرداز از طریقShoulder surfing ،Phishing ،Skimming، جاسازی سیستم‌های کشف اطلاعات (Trapping devices) و یا دوربین‌های مینیاتوری به منظور به دست آوردن کلمه عبور ( PIN CODE) و در نهایت از طریق ایجاد کارت‌های تقلبی صورت خواهد گرفت.

Skimming: فرآیند کپی کردن اطلاعات نوار مغناطیسی کارت اعتباری مشتری از طریق کشیدن کارت از میان کارتخوان و استفاده از اطلاعات جهت ساخت کارت تقلبی توسط فرد شیاد را skimming گویند.

Shoulder surfing: دزیدن کلمه عبور دارنده کارت هنگام استفاده از دستگاه خودپرداز یا پایانه فروش از طریق مشاهده کاراکترهای واردشده توسط کاربر را شامل می‌شود.

Phishing: در دستگاه‌های خودپرداز (ATM) و همچنین دستگاه پایانه فروش (POS) با نصب قطعه‌هایی شبیه دستگاه خودپرداز روی دستگاه عملا ذهن صاحب کارت را منحرف می‌کنند که عملیات وی با دستگاه مجاز صورت می‌گیرد. در این حالت نیز سرقت اطلاعات شخصی سپرده گذار و ساخت کارت امکان‌پذیر است. برخی از شیادان (scammer) با نصب تجهیزاتی در دستگاه‌های خودپرداز در روزهای تعطیل یا زمانه‌ای کم‌تردد (به طوریکه این تجهیزات از سوی مشتریان کاملا طبیعی به نظر می‌رسند) و از طرفی با در اختیار داشتن تجهیزات بیسیم نسبت به سرقت شماره کارت و کلمه عبور اقدام می‌کنند. روش دیگر شیادان نصب دوربین بی‌سیم در اشیاء جانبی نصب شده در نزدیک دستگاه‌های خودپرداز مانند جای بروشور یا مکان ریختن رسیدهای مشتریان یا اشیای دیگر است به نحوی که امکان تصویربرداری از صفحه‌کلید و صفحه‌نمایش دستگاه خودپرداز وجود داشته باشد. اطلاعات دریافت شده (کلمه عبور و شماره کارت) به‌صورت بی‌سیم برای رایانه شیادان که در فاصله چندصد متری قرار می‌گیرند ارسال شده و آنها قادر خواهند بود با کپی کردن کارت مشتریان، وجوه موجود در حساب مشتریان را سرقت کنند. بر اساس برآورد TOWER GROUP به طور متوسط از هر 15 هزار و 600 تراکنش انجام شده از طریق دستگاه‌های خودپرداز و پایانه‌های فروش (POS) یکی از آنها مظنون به کلاهبرداری است.

حجم تراکنش‌های سالانه (2004 ) از طریق دستگاه‌های خودپرداز و پایانه‌های فروش (POS) در ایالات متحده آمریکا معادل 17 میلیارد تراکنش است که در حدود 1/1 میلیون تراکنش برداشت آن کلاهبرداری بوده است.

Lebanese Loop: شیاد با قرار دادن یک قطعه در مدخل ورودی کارتخوان و قرار گرفتن پشت سر مشتری نسبت به سرقت کارت و کلمه عبور اقدام می‌کند. لایه بیرونی این قطعه مشابه دستگاه است و در آن نواری تعبیه شده که اجازه نمی‌دهد کارت داخل قسمت‌های درونی دستگاه وارد شود و با کشیدن لایه بیرونی، کارت نیز با آن بیرون می‌آید. در این روش پس از گیر کردن کارت مشتری درون کارتخوان و عدم انجام عملیات، مشتری کلیدهای مختلفی را فشار داده و زمانی که مشتری مستاصل می‌شود به پیشنهاد شیاد دوباره کلمه عبور توسط مشتری به منظور رفع مشکل وارد می‌شود که کلمه عبور کارت در این شرایط سرقت می‌شود.

مشتری بنا بر پیشنهاد مجدد فرد شیاد به منظور اطلاع متصدیان امور بانکی از محل خودپرداز دور می‌شود که فرد شیاد نسبت به خروج قطعه به همراه کارت اقدام و از دستگاه خودپرداز دیگر وجوه موجود از حساب مشتری را سرقت می‌کند.

آنچه در این مقاله آورده شد، بخشی از روش‌هایی است که امنیت استفاده از کارت‌های خودپرداز را در معرض تهدید قرار می‌دهد.

به حداقل رساندن این تهدیدات، از یک سو مستلزم اطلاع‌رسانی مناسب و آگاه کردن مردم نسبت به طریقه استفاده درست و رعایت نکات امنیتی و از سوی دیگر مستلزم استفاده از زیرساخت امن و تکنولوژی بهروز است.

منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91

رسول قربانی

رسول قربانی هستم. دانش‌آموخته رشته زبان و ادبیات انگلیسی دانشگاه شهید بهشتی در مقطع کارشناسی و علوم ارتباطات دانشگاه سوره در مقطع کارشناسی ارشد. همکاری با مطبوعات را از تابستان ۱۳۸۸ با گروه مجلات همشهری شروع کردم و از نیمه دوم سال ۱۳۹۰ در کنار تیم راه پرداخت قرار گرفتم و اکنون به‌عنوان هم‌بنیان‌گذار کارخانه نوآوری رسانه راه‌کار، مسئولیت اصلی‌ام تمرکز بر فروش و امور مشتریان است.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.