احتمال افزایش تعداد کارت‌خوان‌های جعلی در کشور / چه کسی بر استانداردهای امنیتی کارت‌خوان‌ها نظارت می‌کند؟

افزایش تبلیغات دستگاه‌های اسکیمر در فضای مجازی اخیراً باعث شده تا کارت‌خوان‌های جعلی و استانداردهای امنیتی به موضوع هشدارهای برخی کارشناسان درباره عملکرد رگولاتوری در نظارت بر ورود دستگاه‌های کارت‌خوان به بازار و نوآوری‌های شبکه پرداخت بدل شود. روش‌های کلاهبرداری نیز امروزه نوآورانه‌تر شده و پرسش‌هایی را در خصوص میزان پایبندی تولیدکنندگان و واردکنندگان دستگاه‌های کارت‌خوان به استانداردهای امنیتی ایجاد کرده است. آیا تنظیم‌گران شبکه پرداخت کشور نسبت به اجرای استانداردهای امنیتی قوانین سفت و محکمی دارند؟

به گزارش «راه پرداخت»، امروزه فناوری با سرعت زیادی در حال نفوذ به بطن زندگی ما در همه عرصه‌هاست و بدیهی است که نمی‌توان از سوءاستفاده از آن به کلی پیشگیری کرد و حوزه بانک و پرداخت نیز از این قضیه جدا نیست؛ بنابراین تلاش برای طراحی استانداردهای امنیتی و پایبندی همه‌جانبه به این استانداردها در هر حوزه‌ای از اهمیت بالایی برخوردار است.

---

دستگاه اسکیمر با شمایل کارت‌خوان

---

اسکیمینگ یکی از انواع کلاهبرداری‌هایی است که از زمان ظهور پرداخت کارتی برای کپی اطلاعات کارت افراد مورد استفاده کلاهبرداران قرار گرفت. پیش‌تر روش‌هایی برای شناسایی دستگاه‌‌های کارت‌خوان مجهز به اسکیمر وجود داشت؛ چراکه گفته می‌شد این دستگاه‌ها دارای شکستگی، چسب‌خوردگی یا قطعات اضافی هستند، اما امروزه دستگاه‌های کارت‌خوان بدون هیچ تفاوت ظاهری می‌‌توانند به قابلیت اسکیمینگ مجهز باشند.

به گفته یکی از مالباختگانی که با خرید از یک دستفروش در مترو از طریق اسکیمینگ مورد کلاهبرداری قرار گرفته، ظاهر دستگاه کارت‌خوان کاملاً طبیعی بوده و فروشنده بسیار بااحترام تمامی مراحل پرداخت را در حضور خود او انجام داده و هیچ‌گونه عمل عجیبی (مثلاً نگه داشتن بی‌مورد کارت یا…) انجام نداده است.

روز گذشته هنگام جست‌وجو در مورد اسکیمرها با یک کانال تلگرامی با بیش از 13 هزار عضو مواجه شدم که فروشنده با نام،‌ تصویر و آدرس خود در آن اسکیمر طرح کارت‌خوان می‌فروخت و آخرین پستی که در این خصوص منتشر کرده بود مربوط به می‌شد به چهار روز پیش که در آن به مخاطبان خود خبر داده بود موجودی این دستگاه‌ها رو به اتمام است.

در توضیحات این دستگاه در کانال تلگرامی مذکور ذکر شده بود: «این دستگاه دارای قابلیت ذخیره اطلاعات و رمز 20 هزار کارت است و قابلیت تراکنش ندارد. هنگام کشیدن کارت در دستگاه، اطلاعات کارت و رمز آن ذخیره می‌شود و اعلان تراکنش ناموفق می‌دهد. بعد از آن می‌توانید مبلغ خرید را به صورت نقدی از مشتری دریافت کنید.»

فروش دستگاه‌های کارت‌خوانی که به شاپرک متصل نیستند هم موضوع دیگری است که کارشناسان درباره آن هشدار می‌دهند. این دستگاه‌های کارت‌خوان وجه مشتریان را تجمیع کرده و به صورت یکجا به حساب فروشنده واریز می‌کنند.

به اعتقاد کارشناسان، پدیده کارت‌خوان جعلی دارای سه خطر اصلی است:

• کپی کردن اطلاعات کارت بانکی
• تجمیع در شبکه‌های حلقه بسته زیرزمینی (Closed Loop)
• امکان وقوع انواع حملات تکرار یا بازپخش (Replay attack) به سایر فناوری‌های پرداخت

---

درباره استانداردهای امنیتی دستگا‌ه‌های کارت‌خوان چه می‌دانیم؟

---

این موضوع محدود به ایران نیست و در کشورهای دیگر نیز اتفاق می‌افتد. به‌عنوان مثال در حالی که با ورود کارت‌های تراشه‌دار،‌ انواع گمانه‌زنی‌ها درباره حذف تهدید‌های مربوط به برداشت غیرمجاز از کارت‌های بانکی در ایالات متحده مطرح می‌شد اما آمار منتشرشده از اوج گرفتن 700درصدی حملات در سال 2022 حکایت دارد. ویژگی منحصر به فرد موج جدید حملات اسکیمینگ در ایالات متحده،‌ بهره‌برداری کلاهبرداران از فناوری اینترنت اشیا (IOT) است.

بنابراین اسکیمینگ پدیده‌ای با رواج بین‌المللی است؛ اما آنچه کارشناسان امنیت سایبری در مورد آن هشدار می‌دهند و عملکرد رگولاتوری کشور را در خصوص آن نقد می‌کنند اجرای دقیق استانداردهای PCI در کشور است.

پیروی از استاندارد PCI امنیت داده‌های صنعت کارت اعتباری یا The Payment Card Industry Data Security Standard (PCI DSS) یک امر مهم به منظور اطمینان از آن است که تمام دستگاه‌های کارت‌خوان اطلاعات کارت اعتباری را در محیطی امن پردازش و ذخیره می‌کنند یا انتقال می‌دهند.

این استاندارد در تاریخ ۷ سپتامبر ۲۰۰۶ توسط شورای استانداردهای امنیت معرفی شد تا موارد امنیتی را مدیریت کند و امنیت حساب کاربری را در طول فرآیند معاملات بهبود بخشد. شورای استانداردهای امنیت PCI (PCI SSC)، یک نهاد مستقل به شمار می‌رود که توسط شرکت‌های ویزا، مسترکارت، امریکن اکسپرس، دیسکاور و جی‌سی‌بی ایجاد شده است.

به اعتقاد برخی کارشناسان، دستگاه‌های کارت‌خوان وارداتی به کشور قابلیت حذف افزونه‌های PCI ازجمله عدم تمپرشدن هنگام ورود اسکیمر به دستگاه را دارند.

از طرفی، آنچه امروزه به چشم می‌خورد راه‌اندازی خط تولید دستگاه کارت‌خوان توسط بیشتر شرکت‌های پی‌اس‌پی است و به نظر می‌رسد خط تولید جداگانه کارت‌خوان به یکی از پیش‌نیازهای کسب مجوز پی‌اس‌پی تبدیل شده و هر شرکتی بعد از پی‌اس‌پی شدن، خط تولید اختصاصی خود را افتتاح می‌کند. بنابراین آنچه در بحبوحه تلاش شرکت‌ها برای تولید بیشتر،‌ ممکن است مورد غفلت واقع شود کیفیت دستگاه‌ها و چشم‌پوشی از استانداردهای امنیتی نظیر PCI است. به همین دلیل این سؤال اساسی مطرح می‌شود که چه نظارتی بر تولیدکنندگان و واردکنندگان دستگاه‌های کارت‌خوان و به طور کل کارت‌خوان‌های واردشده بازار وجود دارد؟