راه پرداخت
رسانه فناوری‌های مالی ایران

ماجرای شبکه شتاب کلاهبرداری بود، نه هک

هکر شتاب دستگیر شد. خبر مهمی بود که اواسط هفته گذشته منتشر شد. خبری که اگر صحت داشت یک بحران ملی رخ‌داده بود. این خبر در پی سخنرانی سردار کمال هادیان‌فر، رئیس پلیس فتا در همایش بین‌المللی جرائم سایبری نشر پیدا کرد. هادیان‌فر در این نشست گفته بود: «در یکی از پرونده‌های مهم تشکیل‌شده در پلیس فتا، متوجه نفوذ فردی به یکی از بانک‌های کشور و به دنبال آن نفوذ وی به شبکه شتاب بین‌بانکی شدیم.» صحبت‌هایی که در آن عبارت «هک شبکه شتاب» یا «هکر شتاب» دیده نمی‌شود ‌اما نویسنده خبر از عبارت «نفوذ به شبکه شتاب» برداشت می‌کند که شبکه شتاب هک شده است و با انتشار چنین تیتری باعث ایجاد شبهه در فضای بانکی می‌شود.

قبلاً هم در سال‌های گذشته چندین بار شاهد انتشار اخباری با موضوع هک شبکه شتاب بودیم. نمونه معروفش هم ماجرای افشای اطلاعات کارت‌های بانکی توسط خسرو زارع فرید بود که سروصدای زیادی در فضای بانکی و جامعه ایجاد کرد به‌گونه‌ای که تعداد زیادی از مردم به دلیل هراس از دزدی از حساب‌هایشان به خودپردازها هجوم آوردند تا رمزهای خود را تغییر دهند.

این نوع اخبار هر بار توسط متخصصین امر تکذیب شد. اما پیش از اعلام نظر متخصصین و کارشناسان دیگر کار از کار گذشته بود و شبکه شتاب به دلیل هجوم بیش‌ازحد مردم ازکارافتاده یا کند شده بود. اشتباهی که رسانه‌ها به دلیل عدم شناخت و یا سواد کافی از این حوزه مرتکب می‌شوند علاوه بر پیامدهای آنی آن، پیامدهای طولانی‌مدت نیز دارد ازجمله ایجاد بی‌اعتمادی مردم نسبت به سیستم بانکداری الکترونیکی. اعتمادی که نتیجه سال‌ها تلاش و هزینه کرد بانک‌ها و شرکت‌های مختلف فعال در این حوزه است.

Security-Amniat-Index-way2pay-94-03-16

اشتباهی که رسانه‌ها درباره انتشار این نوع اخبار مرتکب می‌شوند در مفهوم هک کردن، نفوذ یا کلاه‌برداری است. نوش‌آفرین مؤمن واقفی، مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک دراین‌باره توضیح می‌دهد: «در ادبیات امنیت سیستم‎های کامپیوتری، واژه هک به نفوذ و گرفتن دسترسی غیرمجاز به اجزای سرویس اطلاق می‎شود که با استفاده از آسیب‌پذیری سامانه در لایه‌های مختلف نظیر شبکه، برنامه کاربردی، پایگاه داده و نظایر آن امکان‌پذیر می‌گردد. درصورتی‌که سرویسی هک شود، تهدیدات گوناگونی ازجمله افشای اطلاعات، تحریف اطلاعات و از دسترس خارج کردن سرویس می‌تواند به‌عنوان نتیجه نفوذ مطرح شود. نفوذ گران یا هکرها ممکن است انگیزه‏های مختلفی نظیر کسب درآمد، به چالش کشیدن سازمان‏‏‏‏‏ها و افراد، تفریح شخصی و یا شناسایی نقاط ضعف سیستم یا شبکه به‌منظور کمک به برطرف کردن آن‌ها داشته باشند.»

واقفی درباره مفهوم کلاه‌برداری می‌گوید: «در مقابل کلاه‌برداری بانکي به مفهوم هرگونه سوء‌استفاده به‌منظور کسب پول، دارايي و يا ديگر اموال متعلق به صاحبان اصلی اموال است. ممکن است در مواردی اطلاعاتی که از نفوذ به سیستم بدست آمده است در کلاه برداری مورد استفاده قرار گیرد ولی معمولاً در کلاه‌برداری (Fraud) بانکی، شخص با دسترسی به اطلاعات کارت با روش‎های گوناگون نظیر جعل درگاه پرداخت پایانه‎ فروش (POS)، استفاده از Skimmerها در دستگاه‎های خودپرداز (نوعی از ابزار که در دستگاه‎های خودپرداز قرار داده می‎شود و اطلاعات کارت از طریق این ابزار در اختیار نفوذگر قرار می‎گیرد)، جعل درگاه پرداخت اینترنتی یا ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی و استفاده از روش‎های اجتماعی، اطلاعات لازم برای انجام یک تراکنش جعلی را به دست می‎آورد. گاه حتی این تهدیدات از طریق شبکه‎ی پرداخت پذیرنده و یا از طریق بدافزارها می‎تواند صورت پذیرد، نظیر حمله‎ای که در سال 2014 از طریقه‎ی شبکه‎ی فروشگاه‎های Target در آمریکا، توسط یک بدافزار انجام شد و اطلاعات 40 میلیون کارت اعتباری به سرقت رفت.»

در مورد خبر دستگیری هکر شتاب با توجه به صحبت‌های سردار هادیان‌فر هم متوجه می‌شویم که در جملات از عبارت نفوذ در شبکه شتاب استفاده شده است که این شبهه را ایجاد می‌کند که شبکه شتاب هک شده است.

سرویس شتاب هیچ پایگاه داده‌ای برای نگهداری و ذخیره اطلاعات بانکی افراد ندارد و حتی برفرض هک و دسترسی غیرمجاز به سامانه مرکزی شتاب، ریسک افشای اطلاعات مشتری و سوءاستفاده وجود ندارد و علاوه بر بسیاری کنترل‌های فنی و امنیتی بر اساس استانداردهای بین‌المللی ازجمله PCI ، تمامی الزامات عدم ثبت و ذخیره اطلاعات حساس و محرمانه مشتریان در حین انتقال نیز رعایت می‌شود. این‌ها را مومن واقفی می‌گوید و اشاره می‌کند که بانک‌ها به‌عنوان اعضای شتاب ممکن است گاهی به دلیل سهل‌انگاری و عدم رعایت کنترل‌های امنیتی ضروری سرویس‌های بانکی را با ریسک‌هایی نظیر افشای اطلاعات حساس کارت مشتریان، انجام تراکنش جعلی و نظیر آن مواجه کنند. بنابراین بدیهی است با توجه به اینکه هر یک از بانک‌ها سیستم‌های پرداخت مستقل به خود و رویکرد متفاوتی در پذیرش ریسک‌های امنیتی دارند، مسئولیت هرگونه هک و کلاه‌برداری احتمالی به دلیل آسیب‌پذیری سامانه‌های بانک مستقیماً متوجه بانک خواهد بود.

حالا که به گفته مدیر ریسک و امنیت شرکت خدمات انفورماتیک تاکنون شبکه شتاب هک نشده است برگردیم به موضوع کلاه‌برداری که گویا موضوع جدی‌تری در بحث امنیت کارت‌های بانکی است. به گفته واقفی عمده کلاه‌برداری‌های مطرح در حوزه کارت‌های بانکی با سوءاستفاده از ضعف اطلاعات کاربران در استفاده و محافظت از کارت‌های بانکی انجام می‌پذیرد. با وجود اعلام مکرر بانک‌ها و اپراتورها مبنی بر اینکه، هرگونه پیامک‌ برنده شدن در مسابقات و درخواست دریافت اطلاعات کارت شما برای انتقال وجه کلاه‌برداری است، روزانه تعداد زیادی از مردم قربانی این نوع کلاه‌برداری‌ها می‌گردند و بدیهی است در این روش بانک نیز امکان پذیرش مسئولیت را ندارد.

شگردهای به‌کاررفته توسط کلاه‌برداران نیز از درخواست‌ ساده برای دریافت اطلاعات حساب مشتری، با تظاهر به هویت یک منبع معتبر تا استفاده از حملات بدافزاری پیچیده‌ (برای دستیابی به اطلاعات کارت) متغیر است. علاوه بر این کلاه‌برداران از شگردهایی مانند سرقت اطلاعات کارت، جعل کارت، دستیابی به رمز کارت و یا عدم تحویل پول نقد توسط دستگاه به دارنده کارت و سپس برداشت آن نیز استفاده می‌کنند. جعل درگاه پرداخت اینترنتی با ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی اصلی نیز از سایر مواردی است که می‌توان به آن اشاره کرد.

مومن واقفی برای جلوگیری از سوء‌استفاده کلاه‌برداران از کارت‌های بانکی رعایت موارد امنیتی را لازم می‌داند. برخی از این موارد عبارت‌اند از: تغییر کلمه عبور در بازه‌های زمانی، انتخاب کلمه عبور به‌گونه‌ای که به‌سادگی قابل حدس زدن نباشد، عدم افشای کلمه عبور برای دیگران، اقدام سریع در صورت کشف یا استفاده از کلمه عبور توسط دیگران، عدم یادداشت کلمه عبور خود درجایی، عدم نگهداری کارت و رمز عبور در یک جای یکسان، جلوگیری از دسترسی افراد غیرمجاز به کارت، حراست و مواظبت هنگام واردکردن رمز در کارت‌خوان یا خودپرداز، نگهداری سابقه تراکنش چاپ‌شده توسط دارنده کارت، عدم انتخاب گزینه Remember Password در صورت انجام انتقال وجه و عمليات اينترنتي، عدم انتقال کلمه عبور و دیگر اطلاعات حساس کارت از طریق تلفن یا پست الکترونیکی، استفاده از امکان Virtual Keyboard (صفحه‌کلید مجازی) در زمان واردکردن رمز به‌جای صفحه‌کلید فيزيکي رايانه، اطمینان از صحت آدرس سایتی که از طریق آن وارد سیستم بانکداری الکترونیکی شده‌اند، عدم خرید از وب‌سایت‌های ناشناس که از سرویس‌دهنده‌های بانکی معتبر استفاده نمی‌کنند، مشاهده گواهی امنیت سرویس‌دهنده ، به‌روزرسانی آنتی‌ویروس و Anti-Spyware رایانه و فعال نگاه‌داشتن firewall، عدم پاسخ به ایمیل‌هایی که درخواست اطلاعات کارت‌بانکی را می‌کنند و اطلاع به بانک در صورت دریافت چنین ایمیل‌هایی، خودداری از انجام تراکنش مالی آنلاین در صورت وجود برنامه‌هاي مخرب روي رايانه، توجه به مطالب نوشته‌شده در پنجره‌هايي که به‌صورت خودکار نمايش داده مي-شوند و عدم کلیک بلافاصله بر روي Ok يا Yes.

متأسفانه شاهد هستیم در برخی موارد رسانه نگاران ما درزمینه اطلاع‌رسانی دقت لازم را به کار نمی‌برند و با کاربرد کلمات اشتباه باعث ایجاد بی‌اعتمادی مردم نسبت به شبکه‌های بانکی می‌شوند. مدیر ریسک و امنیت خدمات انفورماتیک نیز ازاین‌گونه اخبار گله‌مند است و می‌گوید: «متأسفانه بارها به دلیل ضعف آشنایی با موارد فنی، برخی دوستان خبرنگار با انتشار اخبار ناصحیح در اعتماد عمومی نسبت به بانکداری الکترونیک خدشه جدی وارد نموده‌اند و می‌توان به مورد اخیر اشاره نمود که سوءاستفاده‌ای از درگاه پرداخت یک بانک خصوصی صورت گرفته بود که هیچ ارتباطی به‌شتاب نداشت، ولی متأسفانه به دلیل ضعف آشنایی با «شتاب» در جراید و صداوسیما خبر با تفسیر اشتباه «هک شبکه شتاب» مطرح شد! البته سوءبرداشت فوق چندان خالی از انتظار نیست؛ وقتی حتی عدم وجود پول در دستگاه خودپرداز به‌عنوان مشکل شتاب! مطرح می‌شود. به نظر می‌رسد این وظیفه رسانه‌هاست که در اطلاع‌رسانی دقت بیشتری داشته باشند.»

مینا والی

منبع: هفته نامه عصر ارتباط، شماره 709

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.