پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
ماجرای شبکه شتاب کلاهبرداری بود، نه هک
هکر شتاب دستگیر شد. خبر مهمی بود که اواسط هفته گذشته منتشر شد. خبری که اگر صحت داشت یک بحران ملی رخداده بود. این خبر در پی سخنرانی سردار کمال هادیانفر، رئیس پلیس فتا در همایش بینالمللی جرائم سایبری نشر پیدا کرد. هادیانفر در این نشست گفته بود: «در یکی از پروندههای مهم تشکیلشده در پلیس فتا، متوجه نفوذ فردی به یکی از بانکهای کشور و به دنبال آن نفوذ وی به شبکه شتاب بینبانکی شدیم.» صحبتهایی که در آن عبارت «هک شبکه شتاب» یا «هکر شتاب» دیده نمیشود اما نویسنده خبر از عبارت «نفوذ به شبکه شتاب» برداشت میکند که شبکه شتاب هک شده است و با انتشار چنین تیتری باعث ایجاد شبهه در فضای بانکی میشود.
قبلاً هم در سالهای گذشته چندین بار شاهد انتشار اخباری با موضوع هک شبکه شتاب بودیم. نمونه معروفش هم ماجرای افشای اطلاعات کارتهای بانکی توسط خسرو زارع فرید بود که سروصدای زیادی در فضای بانکی و جامعه ایجاد کرد بهگونهای که تعداد زیادی از مردم به دلیل هراس از دزدی از حسابهایشان به خودپردازها هجوم آوردند تا رمزهای خود را تغییر دهند.
این نوع اخبار هر بار توسط متخصصین امر تکذیب شد. اما پیش از اعلام نظر متخصصین و کارشناسان دیگر کار از کار گذشته بود و شبکه شتاب به دلیل هجوم بیشازحد مردم ازکارافتاده یا کند شده بود. اشتباهی که رسانهها به دلیل عدم شناخت و یا سواد کافی از این حوزه مرتکب میشوند علاوه بر پیامدهای آنی آن، پیامدهای طولانیمدت نیز دارد ازجمله ایجاد بیاعتمادی مردم نسبت به سیستم بانکداری الکترونیکی. اعتمادی که نتیجه سالها تلاش و هزینه کرد بانکها و شرکتهای مختلف فعال در این حوزه است.
اشتباهی که رسانهها درباره انتشار این نوع اخبار مرتکب میشوند در مفهوم هک کردن، نفوذ یا کلاهبرداری است. نوشآفرین مؤمن واقفی، مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک دراینباره توضیح میدهد: «در ادبیات امنیت سیستمهای کامپیوتری، واژه هک به نفوذ و گرفتن دسترسی غیرمجاز به اجزای سرویس اطلاق میشود که با استفاده از آسیبپذیری سامانه در لایههای مختلف نظیر شبکه، برنامه کاربردی، پایگاه داده و نظایر آن امکانپذیر میگردد. درصورتیکه سرویسی هک شود، تهدیدات گوناگونی ازجمله افشای اطلاعات، تحریف اطلاعات و از دسترس خارج کردن سرویس میتواند بهعنوان نتیجه نفوذ مطرح شود. نفوذ گران یا هکرها ممکن است انگیزههای مختلفی نظیر کسب درآمد، به چالش کشیدن سازمانها و افراد، تفریح شخصی و یا شناسایی نقاط ضعف سیستم یا شبکه بهمنظور کمک به برطرف کردن آنها داشته باشند.»
واقفی درباره مفهوم کلاهبرداری میگوید: «در مقابل کلاهبرداری بانکي به مفهوم هرگونه سوءاستفاده بهمنظور کسب پول، دارايي و يا ديگر اموال متعلق به صاحبان اصلی اموال است. ممکن است در مواردی اطلاعاتی که از نفوذ به سیستم بدست آمده است در کلاه برداری مورد استفاده قرار گیرد ولی معمولاً در کلاهبرداری (Fraud) بانکی، شخص با دسترسی به اطلاعات کارت با روشهای گوناگون نظیر جعل درگاه پرداخت پایانه فروش (POS)، استفاده از Skimmerها در دستگاههای خودپرداز (نوعی از ابزار که در دستگاههای خودپرداز قرار داده میشود و اطلاعات کارت از طریق این ابزار در اختیار نفوذگر قرار میگیرد)، جعل درگاه پرداخت اینترنتی یا ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی و استفاده از روشهای اجتماعی، اطلاعات لازم برای انجام یک تراکنش جعلی را به دست میآورد. گاه حتی این تهدیدات از طریق شبکهی پرداخت پذیرنده و یا از طریق بدافزارها میتواند صورت پذیرد، نظیر حملهای که در سال 2014 از طریقهی شبکهی فروشگاههای Target در آمریکا، توسط یک بدافزار انجام شد و اطلاعات 40 میلیون کارت اعتباری به سرقت رفت.»
در مورد خبر دستگیری هکر شتاب با توجه به صحبتهای سردار هادیانفر هم متوجه میشویم که در جملات از عبارت نفوذ در شبکه شتاب استفاده شده است که این شبهه را ایجاد میکند که شبکه شتاب هک شده است.
سرویس شتاب هیچ پایگاه دادهای برای نگهداری و ذخیره اطلاعات بانکی افراد ندارد و حتی برفرض هک و دسترسی غیرمجاز به سامانه مرکزی شتاب، ریسک افشای اطلاعات مشتری و سوءاستفاده وجود ندارد و علاوه بر بسیاری کنترلهای فنی و امنیتی بر اساس استانداردهای بینالمللی ازجمله PCI ، تمامی الزامات عدم ثبت و ذخیره اطلاعات حساس و محرمانه مشتریان در حین انتقال نیز رعایت میشود. اینها را مومن واقفی میگوید و اشاره میکند که بانکها بهعنوان اعضای شتاب ممکن است گاهی به دلیل سهلانگاری و عدم رعایت کنترلهای امنیتی ضروری سرویسهای بانکی را با ریسکهایی نظیر افشای اطلاعات حساس کارت مشتریان، انجام تراکنش جعلی و نظیر آن مواجه کنند. بنابراین بدیهی است با توجه به اینکه هر یک از بانکها سیستمهای پرداخت مستقل به خود و رویکرد متفاوتی در پذیرش ریسکهای امنیتی دارند، مسئولیت هرگونه هک و کلاهبرداری احتمالی به دلیل آسیبپذیری سامانههای بانک مستقیماً متوجه بانک خواهد بود.
حالا که به گفته مدیر ریسک و امنیت شرکت خدمات انفورماتیک تاکنون شبکه شتاب هک نشده است برگردیم به موضوع کلاهبرداری که گویا موضوع جدیتری در بحث امنیت کارتهای بانکی است. به گفته واقفی عمده کلاهبرداریهای مطرح در حوزه کارتهای بانکی با سوءاستفاده از ضعف اطلاعات کاربران در استفاده و محافظت از کارتهای بانکی انجام میپذیرد. با وجود اعلام مکرر بانکها و اپراتورها مبنی بر اینکه، هرگونه پیامک برنده شدن در مسابقات و درخواست دریافت اطلاعات کارت شما برای انتقال وجه کلاهبرداری است، روزانه تعداد زیادی از مردم قربانی این نوع کلاهبرداریها میگردند و بدیهی است در این روش بانک نیز امکان پذیرش مسئولیت را ندارد.
شگردهای بهکاررفته توسط کلاهبرداران نیز از درخواست ساده برای دریافت اطلاعات حساب مشتری، با تظاهر به هویت یک منبع معتبر تا استفاده از حملات بدافزاری پیچیده (برای دستیابی به اطلاعات کارت) متغیر است. علاوه بر این کلاهبرداران از شگردهایی مانند سرقت اطلاعات کارت، جعل کارت، دستیابی به رمز کارت و یا عدم تحویل پول نقد توسط دستگاه به دارنده کارت و سپس برداشت آن نیز استفاده میکنند. جعل درگاه پرداخت اینترنتی با ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی اصلی نیز از سایر مواردی است که میتوان به آن اشاره کرد.
مومن واقفی برای جلوگیری از سوءاستفاده کلاهبرداران از کارتهای بانکی رعایت موارد امنیتی را لازم میداند. برخی از این موارد عبارتاند از: تغییر کلمه عبور در بازههای زمانی، انتخاب کلمه عبور بهگونهای که بهسادگی قابل حدس زدن نباشد، عدم افشای کلمه عبور برای دیگران، اقدام سریع در صورت کشف یا استفاده از کلمه عبور توسط دیگران، عدم یادداشت کلمه عبور خود درجایی، عدم نگهداری کارت و رمز عبور در یک جای یکسان، جلوگیری از دسترسی افراد غیرمجاز به کارت، حراست و مواظبت هنگام واردکردن رمز در کارتخوان یا خودپرداز، نگهداری سابقه تراکنش چاپشده توسط دارنده کارت، عدم انتخاب گزینه Remember Password در صورت انجام انتقال وجه و عمليات اينترنتي، عدم انتقال کلمه عبور و دیگر اطلاعات حساس کارت از طریق تلفن یا پست الکترونیکی، استفاده از امکان Virtual Keyboard (صفحهکلید مجازی) در زمان واردکردن رمز بهجای صفحهکلید فيزيکي رايانه، اطمینان از صحت آدرس سایتی که از طریق آن وارد سیستم بانکداری الکترونیکی شدهاند، عدم خرید از وبسایتهای ناشناس که از سرویسدهندههای بانکی معتبر استفاده نمیکنند، مشاهده گواهی امنیت سرویسدهنده ، بهروزرسانی آنتیویروس و Anti-Spyware رایانه و فعال نگاهداشتن firewall، عدم پاسخ به ایمیلهایی که درخواست اطلاعات کارتبانکی را میکنند و اطلاع به بانک در صورت دریافت چنین ایمیلهایی، خودداری از انجام تراکنش مالی آنلاین در صورت وجود برنامههاي مخرب روي رايانه، توجه به مطالب نوشتهشده در پنجرههايي که بهصورت خودکار نمايش داده مي-شوند و عدم کلیک بلافاصله بر روي Ok يا Yes.
متأسفانه شاهد هستیم در برخی موارد رسانه نگاران ما درزمینه اطلاعرسانی دقت لازم را به کار نمیبرند و با کاربرد کلمات اشتباه باعث ایجاد بیاعتمادی مردم نسبت به شبکههای بانکی میشوند. مدیر ریسک و امنیت خدمات انفورماتیک نیز ازاینگونه اخبار گلهمند است و میگوید: «متأسفانه بارها به دلیل ضعف آشنایی با موارد فنی، برخی دوستان خبرنگار با انتشار اخبار ناصحیح در اعتماد عمومی نسبت به بانکداری الکترونیک خدشه جدی وارد نمودهاند و میتوان به مورد اخیر اشاره نمود که سوءاستفادهای از درگاه پرداخت یک بانک خصوصی صورت گرفته بود که هیچ ارتباطی بهشتاب نداشت، ولی متأسفانه به دلیل ضعف آشنایی با «شتاب» در جراید و صداوسیما خبر با تفسیر اشتباه «هک شبکه شتاب» مطرح شد! البته سوءبرداشت فوق چندان خالی از انتظار نیست؛ وقتی حتی عدم وجود پول در دستگاه خودپرداز بهعنوان مشکل شتاب! مطرح میشود. به نظر میرسد این وظیفه رسانههاست که در اطلاعرسانی دقت بیشتری داشته باشند.»
مینا والی