پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
یکی از ارزشمندترین داراییهای بانکها، اعتبار آنها نزد مشتریان است. در بسیاری موارد، وقوع حوادث، منجر به خدشهدار شدن این اعتبار و در نتیجه از دستدادن مشتریان خواهد شد. بانکها مانند هر موسسه اقتصادی دیگر، برای تأمین و ارتقای سطح امنیت، نیازمند مشارکت کارکنان خود هستند. از آنجا که کارکنان آموزشدیده و آگاه نقش موثری در رسیدن به این هدف دارند، آموزش امری ضروری و اجتنابناپذیر است.
نکته بسیار مهمی که در اینجا باید به آن اشاره شود این است که بر خلاف تصور عموم، خطرهایی که با آنها مواجه هستیم، محدود به خطرهای عمدی ناشی از سرقت نیست؛ بلکه عرصه گستردهتری شامل حوادث عمدی و غیر عمدی، انسانی یا محیطی را در بر میگیرد. همچنین لازم است بدانیم که در اکثر مواقع، حملات هجومی یا تهدیدکننده با استفاده از آسیبپذیریها و نقاط ضعف صورت میگیرد. بنابراین، هر آسیبپذیری، هر چند جزئی میتواند در وقوع حملات تهدیدکننده نقش بسزایی داشته باشد.
در جلد اول کتاب «آشنایی با موارد ایمنی در شعب بانکها» نوشته علیرضا جعفری موارد ایمنی که بانکها باید رعایت کنند توضیح داده شده است. روشهای برقراری امنیت فیزیکی و موارد ایمنی دستگاههای خودپرداز و کارتخوان از مواردی است که در این کتاب به آن پرداخته شده است.
ببینید: جای خالی امنیت در شبکه بانکها
روشهای برقراری امنیت فیزیکی در بانکها
امنیت فیزیکی به معنای حفاظت از کارکنان، اجزای سختافزاری، برنامهها، شبکههای دادهها و در برابر شرایط و رخدادهای فیزیکی مانند آتش و بلایای طبیعی، سرقت، خرابکاری و ترور است که میتواند باعث آسیب جدی به سازمان شود.
گاهی اهمیت امنیت فیزیکی دست کم گرفته میشود و در مقابل بیشتر به مباحث ایمنی فناوری اطلاعات و راههای ربایش یا تغییر آن نظیر ویروسها، تروجانها، بدافزارها و غیره پرداخته میشود.
سه روش اصلی در برقراری امنیت فیزیکی وجود دارد:
۱. موانع را میتوان در مقابل راه مهاجمان قرار داد.
۲. ایمنکردن تجهیزات در شعب میتواند آن را از بلایای طبیعی و تصادفات حفظ کند.
3. استفاده از قفلها، دیوارها، فنسکشی، تجهیزات ضد حریق و یا سیستم آبپاشی ضد حریق و غیره میتواند امنیت را افزایش دهد.
شناسایی و احراز هویت مراجعان شعبه
با توجه به اینکه مؤسسات مالی و بانکها همواره از ناحیه افراد خاطی در معرض تهدید و آسیب هستند، بهمنظور جلوگیری از چنین امری، ضرورت دارد نکات زیر بهطور دقیق رعایت شود.
ببینید: احراز هویت کاربر یکی از دغدغههای مهم سیستمهای پرداخت و بانکی است
۱. افتتاح حساب توسط افراد واجد صلاحیت و با رعایت موارد زیر صورت گیرد:
- رؤیت دقیق اصل مدارک افتتاح حساب توسط پایوران (کارکنان ارشد) شعبه
- استعلام و تأیید نشانی متقاضی به نحو مقتضی
- اخذ شماره تلفن ثابت از مشتری و استعلام آن (تماس با آن شماره)
- اخذ امضای معرف برای افتتاح حساب جاری
۲. به منظور احراز هویت مشتریانی که حسابهای آنان در سایر شعب مفتوح است و برای بهرهمندی از خدمات بانکی مانند دریافت با فعالسازی کارت بانکی، درخواست دستگاه رمزیاب (توکن)، اخذ رمز حساب و غیره به شعب بانک مراجعه میکنند، باید نسبت به تطابق اطلاعات اظهاری مراجعهکننده با اطلاعات موجود در سیستم همراه با اخذ مدارک شناسایی اقدام شود. شایان ذکر است که مطابقت امضای مراجعهکننده با امضای موجود در سیستم، ملاک احراز هویت افراد نیست. در هنگام احراز هویت مراجعان به شعب موارد زیر رعایت شود:
- مراجعان به بانک باید برای انجام کلیه امور بانکی در باجهها شناسایی و احراز هویت شوند.
- به چهره مشتریان مستقیم نگریسته شود تا حس کنند که چهره آنها مورد شناسایی دقیق قرار میگیرد. این توجه کارکنان، احساس مراقبت کامل در محدوده بانک را به سارقان منتقل میکند.
- بر اساس بخشنامه بانک مرکزی از ابتدای سال ۱۳۸۶ انجام هرگونه خدمات بانکی برای اتباع ایرانی باید با کارت ملی صورت گیرد. از این رو، هرگونه پرداخت از حسابهای بانکی منوط به ارائه اصل کارت ملی و درج شماره ملی در ظهر اسناد پرداخت است.
- ارائه هرگونه خدمات غیرمالی بانکی منوط به ارائه درخواست کتبی و احراز هویت کامل با کارت ملی است (درخواست ترجیحاً در دسته برگه روزانه نگهداری شود) و شماره سریال شناسنامه باید با دقت بررسی و ثبت شود
- کد ملی پس از رؤیت، ثبت شود.
- عددهای موجود در شناسنامه و کد ملی مطابقت داده شود.
- شماره ثبت، تاریخ ثبت و محل ثبت شرکتها با دقت نوشته شود.
- شماره گذرنامه، تاریخ و محل صدور گذرنامه برای اتباع خارجی فراموش نشود.
- مهر ورود به کشور برای گذرنامه افراد غیر ایرانی دیده شود. چنانچه گذرنامههای فاقد این مهر باشد، جعلی و نشاندهنده ورود غیر قانونی دارنده آن است.
- هنگام پرداخت وجه چکهای متمرکز در سایر شعب، غیر از شعبه افتتاحکننده، از آورنده چک حتی اگر صاحب حساب باشد احراز هویت کامل به عمل آید.
- در صورت پرداخت وجه از حساب ماندههای مطالبهنشده بهویژه ماندههای مطالبهنشده متوفی، دقت لازم در احراز هویت ذینفع بهعمل آید و گردش بدهکار حساب مذکور نیز به طور مداوم بررسی شود.
- هنگام پرداخت وجه اسناد بانکی از قبیل چکهای بانکی و بین بانکی حوالهها و غیره حتماً مدارک شناسایی قابل قبول دریافت شود. بنابراین، پرداخت وجه اسناد موصوف به صرف ملاحظه تصویر اسناد سجلی به دلیل سرعت و شلوغی شعب یا هردلیل دیگر ممنوع است.
3. احراز هویت مراجعان متفرقه با مشتریان سایر بانکها مشابه بند 2 است و نمونه امضای مراجعهکننده در سیستم به بانک موجود نیست. پس لازم است با دقت بیشتری مشخصات کامل، نشانی، تلفن ثابت و تلفن همراه نسبت به احراز هویت آنها اقدام کرد.
4. هنگام ارائه هرگونه خدمات بانکی ضمن اطمینان از اصالت مدارک شناسایی، نسبت به مطابقت «چهره افراد» با «عکس الصاقی در مدارک» دقت لازم به عمل آید.
5. معمولاً اشخاصی که نیت سوء دارند با وضعی به واحدها مراجعه میکنند که بهراحتی شناخته نشوند. برای مثال با عینکهای تیره در باجه حضور مییابند یا از کلاه استفاده میکنند، تا چهره آنان به سهولت قابل تشخیص نباشد. از این رو در مواجهه با چنین مواردی اعمال دقت و هوشیاری بیشتر در احراز هویت افراد ضروری است.
6. در صورتی که معرف متقاضی حساب جاری، در سایر شعب بانک دارای حساب جاری است، باید از صحت امضای معرف و مهر شعبه اطمینان حاصل شود. در ضمن از قبول تأییدیه به صورت دستی توسط متقاضی حساب، اجتناب و استعلام بهصورت جداگانه از شعب ذیربط اخذ شود.
7. چنانچه صاحبان حساب سپرده قرضالحسنه جاری میخواهند معرف سایر اشخاص باشند، باید کارت نمونه امضا را در حضور مسئولان شعبه امضا کنند. تأیید امضای این مشتریان، قبل از اطمینان از صحت امضا ممنوع است.
موارد ایمنی دستگاههای خودپرداز و کارتخوان
1. در زمان پولگذاری در دستگاه خودپرداز ضمن حفاظت از جعبههای پول دقت شود تا مشتریان از چگونگی پولگذاری و راهاندازی دستگاه اطلاع نیابند.
۲. حد مجاز نقدینگی دستگاههای خودپرداز و عدم نگهداری وجوه مازاد خارج از کاستهای مربوطه و غیره رعایت شود.
۳. از افراد غیرمسئول برای پول گذاشتن در دستگاههای خودپرداز استفاده نشود.
۴. در هنگام پولگذاری دستگاههای خودپرداز سالنی که در خارج از شعب در سالن سازمانهای طرف قرارداد شعبه نصب شدهاند، لازم است ضمن هماهنگی قبلی با انتظامات سازمان مربوطه، حداقل دو نفر از کارکنان حضور داشته باشند. یکی از آنان مراقبت کند و فرد دوم اقدام به پولگذاری دستگاه کند.
۵. با توجه به تخریب دستگاههای خودپرداز در سرقتهای انجام شده خصوصاً دستگاههایی که در خارج از شعبه و در داخل سازمانهای دیگر نصب است، از فعال بودن دوربینهای سازمان ذی ربط، تأمین درستی دستگاهها و حتیالمقدور غیر قابل دسترس بودن در دستگاه برای مراجعان اطمینان یابند.
6. دستگاه خودپرداز باید در محلی نصب شود که فعالیتهایی که در اطراف آن اتفاق می افتد، قابل رؤیت باشد.
7. دستگاههای خودپرداز شعبه باید مجهز به قفلهای ضدسرقت و همچنین سیستم هشدار در زمان جابهجایی و سرقت، سختافزار آنتی اسکیمر، دوربین و سیستم ضبط تصاویر باشند.
8. دستگاه خودپرداز باید به گونهای باشد که امکان حفظ حریم خصوصی مشتری در حین استفاده از آن را فراهم سازد. بدین معنا که افرادی که در کنار خودپرداز یا در صف انتظار ایستادهاند. بهراحتی نتوانند اطلاعات مشتری در حال استفاده از دستگاه را ببینند.
9. برای مراقبت و بررسی اعمال مجرمانه و خلافکارانه احتمالی که با دستگاه خودپرداز صورت میگیرد، باید دوربینهای مداربسته در اطراف آن نصب شود.
۱۰. دستگاه خودپرداز شعبه باید مرتباً بررسی شود و مشاهده هرگونه تغییر در آن (تغییر در کارتخوان، تغییر صفحه کلید یا دوربین نصبشده مشکوک روی دستگاه) مراتب بلافاصله مسئولان مربوطه اعلام شود.
تخلفات رایج در دستگاههای خودپرداز و کارتخوان
انواع تخلفات در دستگاههای خود پرداز (ATM Fraud)
تخلفات و کلاهبرداریهای مربوط به دستگاههای خودپرداز از طریق Skimming: Shoulder surfing، Phishing، جاسازی سیستمهای کشف اطلاعات (Trapping Devices) یا دوربینهای مینیاتوری به منظور به دست آوردن کلمه عبور (Pin Code) و در نهایت از طریق کارتهای تقلبی صورت میگیرد.
ببینید: افزایش ۲۷ درصدی حملات فیزیکی به دستگاههای خودپرداز در سال ۲۰۱۸
برخی از روشهای شناخته شده سوءاستفاده از دستگاههای خودپرداز به شرح زیر است:
روش اسکیمینگ (Skimming)
کپی کردن اطلاعات نوار مغناطیسی کارت اعتباری مشتری از طریق کشیدن کارت از میان کارتخوان و استفاده از اطلاعات برای ساخت کارت تقلبی را اسکیمینگ (Skimming) گویند. اسکیمر قطعهای سخت افزاری برای کپی اطلاعات کارتهای بانکی است که چند سالی است وارد ایران شده و تاکنون تعداد زیادی از مشتریان را نقره داغ کرده است. در این روش سارقان با نصب اسکیمر روی دستگاه خودپرداز بانکها تمام اطلاعات کارت بانکی که درون دستگاه وارد میشود را کپی میکنند و سپس با کپی آن روی یک کارت خام بدون اطلاع مشتری حساب بانکی او را خالی میکنند. با نصب آنتیملبور بر روی خودپرداز از این شیوه کلاهبرداری جلوگیری میشود. نمونههایی از اسکیمر در تصاویر بالا به نمایش گذاشته شده است.
روش شولدر سرفینگ (Shoulder surfing)
روش شولدر سرفینگ عبارت است از دزدن کلمه عبور دارنده کارت هنگام استفاده از دستگاه خودپرداز یا پایانه فروش از طریق مشاهده کاراکترهای وارده توسط کاربر.
روش فیشینگ (Phishing)
برخی از شیادان (Scammer) در روزهای تعطیل یا اوقات کم تردد با نصب قطعاتی شبیه قطعات دستگاه خودپرداز (ATM) یا دستگاه پایانه فروش (POS) روی دستگاه اصلی، اطلاعات شخصی سپردهگذار را دریافت میکنند. همچنین با در اختیار داشتن تجهیزات بیسیم نسبت به سرقت شماره کارت و کلمه عبور اقدام میکنند.
روش نصب دوربین بیسیم
روش دیگر شیادان، نصب دوربین بیسیم در اشیای جانبی نزدیک دستگاههای خودپرداز مانند جای بروشور یا مکان ریختن رسیدهای مشتریان با اشیای دیگر است، به نحوی که امکان تصویربرداری از صفحه کلید و صفحه نمایش دستگاه خودپرداز وجود داشته باشد. اطلاعات دریافت شده (کلمه عبور و شماره کارت به صورت بیسیم برای رایانه شیادان که در فاصله چند صد متری قرار میگیرند ارسال میشود و آنها قادر خواهند بود با کپی کردن کارت مشتریان، به حساب آنان دسترسی پیدا کنند.
روش کلک لبنانی (Lebanese loop)
در این روش شیادان با قرار دادن قطعهای در مدخل ورودی کارتخوان و قرار گرفتن در پشت سر مشتری برای سرقت کارت و دیدن کلمه عبور اقدام میکنند. لایه بیرونی این قطعه مشابه دستگاه است و در آن نواری گذاشته شده که مانع از ورود کارت به قسمتهای درونی دستگاه میشود. با کشیدن لایه بیرونی، کارت نیز با آن بیرون میاید. در این روش پس از گیر کردن کارت مشتری درون کارتخوان و انجام نشدن عملیات، زمانی که مشتری مستأصل میشود به پیشنهاد سارق برای رفع مشکل، دوباره کلمه عبور توسط مشتری وارد میشود؛ و کلمه عبور کارت سرقت میشود.
به پیشنهاد سارق، مشتری برای اطلاع موضوع به شعبه بانک، از محل خودپرداز دور میشود و در این هنگام سارق، قطعه و کارت را خارج میسازد و از دستگاه خودپرداز دیگری حساب مشتری را خالی میکند.
ببینید: عواملی که امنیت دستگاههای خودپرداز را تهدید میکنند
تخلفات در دستگاههای کارتخوان (POS Fraud)
نصب دستگاههای تقلبی برای دزدی اطلاعات و وجوه، تنها به دستگاههای خودپرداز محدود نمیشود. امروزه از طریق دستگاههای کارتخوان یا پوزهای فروشگاهی نیز امکان سرقت وجود دارد.
در این روش سارقان از طریق نصب مدارهای مغناطیسی روی دستگاههای کارتخوان، اطلاعات کارت مشتریان را در حافظه مدار ذخیره و با استفاده از دستگاه، آن را دریافت میکنند.
سپس با استفاده از کارت جعلی اقدام به برداشت وجه و خرید اینترنتی میکنند. برخی از کارتخوانها تقلبی است و تنها اطلاعات مورد نیاز کارتها را کپی میکند و یک صورتحساب مبنی بر خطای تراکنش به مشتری میدهد. از این رو، لازم است به مشتریان بانک تاکید شود که علاوه بر این که باید از فروشگاههای معتبر خرید کنند، کشیدن کارت و ورود رمز نیز توسط دارنده کارت انجام شود.