راه پرداخت
رسانه فناوری‌های مالی ایران

آیا واقعاً امنیت کارت‌های بانکی زیر سؤال است؟

این روزها خبرهایی در رسانه‌ها منتشر می‌شود که با رویکرد مطلق‌انگاری، امنیت کلی بانکداری الکترونیک را مورد تشکیک قرار داده تا آن حد که تیتر اول یک روزنامه این مضمون را به ذهن خواننده متبادر می‌کند که بانکداری الکترونیک به‌واسطه ابزار اصلی آن یعنی «کارت‌بانکی پلاستیکی» اما و اگرهایی به همراه دارد. آیا این قبیل اخبار که هر از چندگاهی ضربه‌ای به پایه‌های نسبتاً جوان نظام نوین بانکی وارد می‌آورند، تلنگری‌هایی نیست که آرام‌آرام ذهن دارندگان این قطعه پلاستیک‌های نام و نشان‌دار باارزش را دچار تردید کرده و روش‌های فناورانه بانکی را در چشم آنان خطرناک و پرمخاطره جلوه می‌دهد؟ آیا این اخبار از صحت‌وسقم لازم برخوردارند؟ آیا مشتریان می‌توانند همچون گذشته به خدمات نوین بانکی اعتماد داشته و با خاطری آسوده از آن‌ها بهره‌مند گردند؟

خدمات بانکداری الکترونیک همچون خدمات سنتی و مرسوم که در شعب به مشتریان و مراجعه‌کنندگان ارائه می‌گردد، شامل نقطه آغازین مشترکی است که با شناسایی هویت مراجعه‌کننده و بسته به نوع خدمتی که موردنظر دارد با روش‌های متفاوتی انجام می‌گردد؛ یعنی ارائه خدمت بانکی به مشتری مجهول‌الهویه میسر نخواهد بود. در فضای مجازی نیز روال به همین منوال است.

آیا واقعاً امنیت کارت‌های بانکی زیر سؤال است؟
آیا واقعاً امنیت کارت‌های بانکی زیر سؤال است؟

در حال حاضر اصلی‌ترین ابزار شناسایی مشتری در فضای مجازی کارتی است پلاستیکی با یک نوار مشکی‌رنگ در پشت آن که به کارت‌بانکی معروف و مشهور شده است. این کارت انواعی دارد که متداول‌ترین آن، نوع نوار مغناطیسی یا مگنتی است؛ یعنی نوار سیاه‌رنگ پشت کارت همچون نوارهای کاست قدیمی حاوی داده‌هایی است که با روش‌های الکترونیکی بر روی آن نوشته شده و توسط دستگاه‌های بانکی قابل‌خواندن می‌باشند. بر روی این نوار مغناطیسی برخی از اطلاعات مشتری که موردنیاز برای شناسایی و اعتباربخشی اولیه به وی است ثبت شده است. مسلماً این اطلاعات شامل اقلام هویتی و شخصی فرد نیست و بیشتر به کدها و ارقامی همانند است که شناسه بانکی دارنده کارت را تعیین و به کارت‌خوان اعلام می‌نماید. این اطلاعات به‌خودی‌خود و به‌تنهایی در هیچ سامانه و دستگاهی قابل‌استفاده و بهره‌برداری نبوده و طبق اصول تعریف شده در نظام بانکی کشور، فقط با ترکیب شدن با دیگر اقلام اطلاعاتی، دارای اعتبار و هویت قابل استناد می‌شوند.

بخشی از اطلاعات موجود بر روی این نوار سیاه‌رنگ مغناطیسی، نسخه‌ای الکترونیکی از اطلاعات مندرج بر روی کارت همچون شماره کارت و کد اعتبارسنجی دوم است که دستگاه را قادر می‌سازد اطلاعات اولیه دارنده کارت را بدون پرسش از شخص به دست آورد. قدم بعدی برای کسب اطمینان از اینکه ارائه‌دهنده کارت در حقیقت دارنده اصلی آن است از وی پین کدی درخواست می‌شود که اساساً فقط و فقط دارنده اصلی کارت باید آن را بداند.

.

خدمات ارائه شده در بانکداری الکترونیکی به‌طورکلی به دو دسته تقسیم می‌شوند:

1- خدماتی که برای دریافت آن‌ها باید کارت‌بانکی ارائه شود و اصطلاحاً Card Present transactions یا CP گفته می‌شوند. در این قبیل خدمات که نمونه‌های آن استفاده از دستگاه‌های خودپرداز و یا پایانه‌های فروشگاهی است، دارنده کارت بایستی شخصاً مراجعه کرده و با ارائه و یا کشیدن کارت خود، فرایند درخواست خدمت را آغاز نماید.

2- خدماتی که طبق تعریف صادرکننده کارت (بانک‌ها) برای دریافت آن‌ها نیازی به مراجعه حضوری نیست و بدون ارائه اصل کارت می‌توان از آن خدمات بهره‌برداری نمود. این قبیل خدمات اصطلاحاً Card not Present transactions یا CNP نامیده می‌شوند. نمونه‌هایی از این قبیل خدمات شامل اینترنت بانک، تلفن‌بانک و همراه بانک است. در این دسته از خدمات بانکی، اطلاعاتی از مشتری دریافت می‌شود که با استفاده از آن‌ها فرایند شناسایی هویت دارنده کارت در قالب پذیرفته‌شده‌ای کامل می‌گردد. در ایران غالباً شماره کارت مهم‌ترین قلم اطلاعاتی مورد استفاده در این قبیل خدمات به شمار می‌آید.

.

با توجه به تعاریف بالا، امنیت خدمات در دو حوزه مختلف قابل‌بررسی است:

در دسته اول که خدمات CP را در بر می‌گیرد، حضور دارنده کارت (چه کسی است؟)، کارت پلاستیکی بانکی (چه چیزی دارد؟) و پین کد (چه می‌داند؟) سه عاملی هستند که امنیت تراکنش‌های مبتنی بر این روش را در حد قابل قبولی بالا نگه داشته است. نگاهی به آمارهای جهانی و آمارهای کشورمان مؤید این مطلب است که کلاه‌برداری‌های بانکی با سوءاستفاده از خدماتی که مبتنی بر ارائه کارت هستند در حداقل میزان ممکن بوده و برداشت‌های غیرمجاز و ناخواسته از حساب افراد با روش‌های مهندسی اجتماعی و کسب داشته‌های یک فرد (دو عامل از سه عامل یاد شده) صورت گرفته است. اگر دارندگان کارت‌های بانکی دقت نظر کافی و وافی در تخصیص و حفظ پین کد کارت خود مبذول نمایند، می‌توان مخاطرات این حوزه را در حد صفر در نظر گرفت. از نظر استاندارد کارت‌های پرداخت (PCI) که در وب‌سایت این سازمان درج گردیده است، حفظ اطلاعات کارت مسئولیت اصلی دارنده کارت است.

یعنی اگر دارنده کارت تلاش کافی برای حفاظت از کارت خود ننموده و کارت یا اطلاعات مرتبط با آن را در اختیار دیگران قرار دهد، حتی با تبدیل کارت‌های فعلی به کارت‌های هوشمند (پروژه‌هایی که این روزها با عناوین مهاجرت به EMV خبرساز هستند) نیز مشکل را برطرف نخواهد کرد، چراکه اگر یک فرد کارت و پین کد آن را در اختیار دیگری قرار دهد چه کارت مغناطیسی باشد چه هوشمند، خدمات مبتنی بر کارت یا همان CP به ارائه‌دهنده کارت (و نه الزاماً صاحب اصلی آن) داده می‌شود.

در دسته دوم که خدمات CNP یا غیرحضوری به دارنده کارت ارائه می‌شود شرایط نسبتاً متفاوت است. خدمات این دسته غالباً فاقد حضور فیزیکی فرد است و به همین علت نیز بیشتر کلاه‌برداری‌ها در دنیا از این طریق صورت می‌گیرد. چون در این دسته از خدمات نیازی به وجود کارت نیست، بنابراین نوع کارت (مغناطیسی یا هوشمند) تفاوتی در میزان و نرخ سوءاستفاده‌های احتمالی ایجاد نمی‌نماید. در کشورهایی که برای ارائه خدمات الکترونیکی از مشتریان کارمزد دریافت می‌نمایند، کارمزد خدمات CNP بیشتر از خدمات CP است چراکه مخاطرات در این قبیل خدمات از تعدد بالاتری برخوردار است. در این دسته از سرویس‌های بانکداری الکترونیک عموماً به یک عامل اکتفا می‌شود. آن عامل فقط دانسته‌های دارنده کارت است (شماره کارت، پین کد، تاریخ انقضاء و …) بنابراین نه نیاز به خود فرد است و نه به کارت‌بانکی او.

امن سازی این دسته از خدمات بانکداری الکترونیک با افزودن عوامل جدید مثل توکن، گواهی دیجیتال، رمز یک‌بارمصرف، ارسال پیامک تکمیلی، ارائه خدمت بر روی شماره تلفن خاص یا آدرس اینترنتی از پیش تعیین شده و یا کوچک نمودن سقف مبلغ تراکنش‌ها با هدف کمینه نمودن مخاطرات صورت می‌پذیرد؛ بنابراین تأکید می‌شود که نوع کارت و استفاده از کارت هوشمند در میزان امنیت این قبیل تراکنش‌ها تغییری به وجود نخواهد آورد و امنیت خدمات را بالا نخواهد برد.

نتیجه آنکه امنیت کارت‌های بانکی مورد استفاده در کشور زیر سؤال نبوده و مطابق با استانداردهای جهانی از سطح قابل پذیرشی برخوردار است. آنچه در نظام بانکداری الکترونیک در کشور زیر سؤال است نحوه و فرهنگ استفاده از این خدمات در بین اقشار مختلف جامعه است که باید همگان (مراکز آموزشی، رسانه‌ها، ارائه‌دهندگان خدمات و پذیرندگان) جهت ارتقا و بالا بردن دانش افراد تلاش مضاعفی به خرج دهند. بایستی به شکل مؤثری اهمیت حفظ پین کد (رمز کارت) به دارندگان کارت‌های بانکی یادآوری و فرهنگ‌سازی عدم درخواست این رمز توسط پذیرندگان در کلیه اصناف نهادینه شود. بیشترین خطرات در این حوزه متوجه سالمندان، کم و بی‌سوادان، ناآشنایان با فضای مجازی و نوجوانان است چراکه به دلایل متعدد من‌جمله آگاهی ناکافی، از بکار بستن تمهیدات امنیتی و حفظ اطلاعات شخصی خود کوتاهی می‌کنند.

مجید نوری؛ کارشناس فناوری‌های بانکی

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.