راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

مجرمان از طریق کارت‌های پرداخت چگونه به داده‌ها دسترسی پیدا می‌کنند؟

سال‌هاست که افراد استفاده کمتری از پول نقد دارند و به جای آن در خریدهای فیزیکی یا آنلاین خود از کارت بانکی استفاده می‌کنند؛ اما تا به حال، هنگام استفاده از کارت آیا به سازوکار آن فکر کرده‌ایم؟ زمانی که خریدی انجام می‌دهیم و به عبارتی از طریق دستگاه کارت‌خوان برای پرداخت خود استفاده می‌کنیم چه فرآیندی طی می‌شود؟ آیا می‌دانیم مجرمان از چه راه و روش‌هایی به اطلاعات کارتی‌مان دست پیدا می‌کنند؟

در بخش اول کتاب «صنعت کارت و پرداخت؛ مفاهیم، روش‌ها و امنیت»، درباره چگونگی فعالیت و عملکرد کارت، تراکنش و پرداخت توضیح داده شده است. همچنین در این بخش جزییات کارت‌مان که فقط برای لزوم تعدادی از اعداد آن را حفظ می‌کردیم توضیحاتی داده شده که متوجه خواهیم شد حتی برخی اعداد تا چه حد در ذخیره داده‌ها مؤثر هستند.


عناصر کارت‌های پرداخت


همه کارت‌های پرداخت ممکن است رنگ‌ها و لوگوهای متفاوتی داشته باشند اما عناصر داده مشابهی دارند و در اغلب کارت‌ها محل قرار گرفتن عناصر یکسان است. در قسمتی از بخش اول کتاب به تمامی جزییات کارت پرداخته شده که به طور خلاصه به آن اشاره می‌کنیم. اگر به کارت‌های خودمان هم توجه کنیم در قسمت بالای کارت همیشه نام صادرکننده کارت که معمولاً یک بانک یا یک اسکیمای کارت (Card scheme) است نوشته می‌شود.

برخی کارت‌ها هم نمادی همچون موج دارند که نشان‌دهنده این است قابل‌استفاده برای تراکنش‌های غیر تماسی است. همچنین کارت‌های امروزی که شامل تراشه EMV هوشمند هستند باعث افزایش امنیت تراکنش‌ها می‌شوند. در قسمت میانی کارت، شماره کارت ۱۵ یا ۱۶ رقمی است که در صنعت پرداخت با نام شماره‌حساب اصلی یا PAN شناخته می‌شود. ۶ رقم اول شماره‌حساب اصلی برای هر بانک منحصربه‌فرد است و با نام شماره شناسایی بانک یا همان BIN شناخته می‌شوند. تمامی کارت‌ها شامل تاریخ انقضا هستند و در برخی هم عبارات «دارای اعتبار از» یا «تاریخ صدور» حک می‌شود.

اگر بخواهیم نگاهی به پشت کارتمان داشته باشیم خواهیم دید اطلاعات کمتری نسبت به بخش رویی دارد. نوار مغناطیسی که روی کارت‌ها وجود دارد شامل تمامی داده‌های روی کارت است. در واقع این نوار داده‌های بیشتری را در خود جای داده است که تمامی داده‌ها به شکل دیجیتالی هستند. دلیل وجود نوار مغناطیسی این است که وقتی دارنده کارت رسیدی را امضا می‌کند، مرچنت (کسب‌وکارهایی که کارت‌های پرداخت را می‌پذیرند) بتواند امضای روی رسید را با امضایی که روی کارت وجود دارد مقایسه کند.


سوءاستفاده مجرمان از داده کارت‌های پرداخت


پس از مطالعه موضوعاتی همچون: نهادهای دست‌اندرکار در اعطای اجازه قانونی به یک تراکنش پرداخت با کارت، دریافت پول؛ تصفیه و تسویه، تراکنش‌های تجارت الکترونیکی و ارائه‌دهندگان خدمات پرداخت، بازگردانی یک تراکنش؛ بازپرداخت و استرداد وجه، دریافت پول نقد از دستگاه خودپرداز، در بخش دوم به استانداردهای صنعت کارت و پرداخت اشاره شده است. در این بخش به خوبی می‌توانیم درک کنیم مجرمان از چه روش‌هایی از اطلاعات کارتی‌مان استفاده می‌کنند. با خواندن این کتاب در خصوص موضوع مهم سرقت اطلاعات متوجه می‌شویم که مجرمان از دو طریق داده‌های کارت را به پول تبدیل می‌کنند.

در روش اول از طریق سرقت داده صاحب کارت، کارت‌های کپی شده می‌سازند که با همین کارت‌ها می‌توانند از خودپردازها پول دریافت کنند. در روش دوم مجرمان با کارتی که کپی کرده‌اند از فروشگاه‌ها خرید و اقلام خریداری‌شده را در ازای پول نقد می‌فروشند یا با به‌کارگیری داده‌های سرقتی کارت، اقدام به خرید آنلاین کرده و اجناس خریداری شده را به فروش می‌رسانند. زمانی که داده کارت به پول تبدیل می‌شود در اغلب موارد دست کم چهار مجرم نقش دارند.

اما مجرمان از کجا می‌توانند داده‌های مورد نیازشان را پیدا کنند؟ برای انجام تراکنش حضوری در زمان تأیید هویت، اطلاعات کل نوار مغناطیسی کارت به بانک صادرکننده فرستاده می‌شود اما در صورتی که مجرم بتواند یک نسخه از این داده را از مرچنت به سرقت برده و روی یک کارت خالی وارد کند، کارت کپی تولید می‌شود که در نتیجه بانک صادرکننده تفاوت بین کارت واقعی و کارت کپی را شناسایی نخواهد کرد و هنگام انجام تراکنش مجوز هر دو کارت را صادر می‌کند.

اما مجرمان در صورت عدم دسترسی به تولید کارت کپی برای سوءاستفاده، به سراغ داده‌های لازم برای انجام تجارت الکترونیکی می‌روند که این داده‌ها شامل مواردی چون شماره‌حساب اصلی، تاریخ انقضا و CVV2 کارت است که از طریق داده‌های تجارت الکترونیکی می‌توانند از طریق فروشگاه‌های الکترونیکی خرید خود را انجام دهد.


استانداردهای صنعت کارت و پرداخت


با بررسی کتاب با پنج استاندارد اصلی صنعت کارت و پرداخت آشنا می‌شویم. استانداردهایی که از به سرقت رفتن کارت‌ها، پین‌ها و داده‌های کارت‌ توسط مجرمان جلوگیری می‌کنند. این استانداردها در یک نگاه شامل:

  • استاندارد امنیت داده یا PCIDSS
  • استاندارد امنیت داده برنامه‌های کاربردی پرداخت PCIPA-DSS
  • خانواده‌ای سه عضوی از استانداردهای تراکنش پین (استاندارد پین، استاندارد ماژول امنیتی سخت‌افزار و استاندارد نقطه تعامل)
  • استاندارد رمزگذاری نقطه‌به‌نقطه با نام P2PE
  • استانداردها تولید کارت یعنی استانداردهای مربوط به الزام امنیت منطقی و فیزیکی تولید کارت
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.