مهاجرت به کارت هوشمند بانکی، ضرورتی انکارناپذیر / چشم‌انداز اکوسیستم کارت و پرداخت در ایران (بخش اول)

هادی عباسی؛ مدیر پشتیبانی بین‌الملل شرکت توسن / چندی پیش خبری در رسانه‌ها منتشر شد که حاکی از این بود که سارقان حرفه‌ای با دست‌کاری دستگاه پایانه فروش و با شگرد کپی عابر بانک‌های مردم، در مدت‌زمانی محدود توانسته بودند مبالغ کلانی از سپرده‌های مالباختگان سرقت کنند. البته هر از چند گاهی اخباری در این خصوص در رسانه‌ها منتشر می‌شود، ولی این مورد اخیر، حاکی از آن است که می‌بایست یک واکاوی مجدد با لحاظ چشم‌انداز آینده این صنعت و اکوسیستم، از دیدگاه‌های مختلف مورد نقد و بررسی قرار بگیرد. لذا با توجه به تجربه‌ای که در این حوزه، بازیگران این صنعت تاکنون داشته‌اند، بر آن شدم که سلسله مباحثی در این خصوص به شکل تحلیلی و موشکافانه از ابعاد مختلف کلان و جزئی را مطرح کنم. معتقدم این سلسله نوشتارهایی که در حال حاضر و آینده مطرح خواهد شد، می‌تواند در چشم‌انداز کلی این صنعت، اثربخش، برای بازیگران این صحنه، سودآور و برای عامه مردم جامعه مفید واقع شود.

.

گزیده‌ای از اخبار منتشره در سال‌های اخیر در خصوص سرقت‌های کارتی

• سرپرست اداره پیشگیری از جرائم سایبری پلیس فتا، گفت: در آخرین شگرد مجرمان سایبری مشاهده شده که این افراد با جمع‌آوری مدارک موجود در پاکت‌ها که در سطل زباله دستگاه‌های خودپرداز یا بانک‌ها بوده از حساب مشتریان سرقت می‌کنند. (فرارو – ۲۵۲۴۶۸ – 20/8/94)
• از روی پیامکی که به گوشی تلفن همراهم آمد متوجه برداشت از حسابم شدم درحالی‌که کارت عابربانک در داخل جیبم بود (تسنیم – 358076 – 13/2/93).
• شگردهای سارقان روزبه‌روز تغییر کرده و آن‌ها با استفاده از بی‌دقتی قربانیان خود، ترفندهای جدیدی را مدنظر قرار می‌دهند. هشدارهای پلیس: در هنگام استفاده از کارت‌بانکی، مراقب کسانی که اطراف شما ایستاده‌اند باشید که شماره کارت شما را نبینند. ارسال مشخصات کارت می‌تواند خطرناک باشد، حتی برای آشنایان. (ایرنا – 81580536 – 2/2/94)
• پرسشی عجیب به نام رمزتون؟ … بانک‌ها میلیاردها تومان صرف هزینۀ تبلیغات خود می‌کنند ولی متأسفانه از فرهنگ‌سازی در این مورد چیزی در خاطرها نیست … اگر به هر دلیل چون کوتاه بودن سیم کارت‌خوان و یا عدم همکاری فروشنده، موفق به وارد کردن رمز خود نمی‌شویم از خرید منصرف شویم. (محمد مطهری، تابناک – ۵۴۵۱۸۵ – 15/8/94)
• 45 میلیون تومان سرقت از حساب بانکی توسط دو سارق با استفاده از اسکیمر و دوربین تلفن همراه در شهرهای تهران،‌شیراز، تبریز و کرمانشاه. بیش از ۳۰۰ پرونده از سایر استان‌های کشور از جمله تبریز، تهران،‌ فارس و استان‌های دیگر که سارقان اقدام به سرقت وجه نقد از حساب طعمه‌های خود با این روش کرده‌اند. (ممتازنیوز – 3/10/91)
• اسکیمرها سارقان ناپیدای اطلاعات عابربانک. مجرمان (Skimmers) با سرقت اطلاعات به‌دست‌آمده از کارت‌های عابر بانک افراد و بدون اطلاع دارنده کارت، از آن سوءاستفاده می‌کنند. (ایران هشدار – 1249 – 9/8/91)
• سارق 23 ساله‌ای با تحصیلات اول دبیرستان، موفق به خالی کردن 200 حساب عابربانک شد. او با استفاده از سوءاستفاده از نواقص کارت‌ها و به دست آوردن شماره رمز و شماره کارت مشتریان بانک، این اطلاعات را وارد کارت‌های جعلی کرده و از این طریق به حساب‌ها دستبرد زد. (عصر ارتباط – فروردین 94)
• 41 فقره سرقت و برداشت 700 میلیون تومان از حساب 41 شهروند با دست‌کاری دستگاه کارت‌خوان و کپی کارت. (عصر بانک – 65980 – 15/7/94)

.

موارد فوق بخشی از صدها خبری است که در طی سال‌های اخیر در حوزه بانکی و پرداخت در خصوص مشکلات امنیتی و سرقت از کارت‌های عابربانک مردم منتشر شده است که جملگی همه موارد ذکر شده در یک مفهوم مشترک‌اند، ضعف کارت‌بانکی مغناطیسی و کپی‌برداری از آن.

یک بار دیگر روی این عبارت‌های کوتاه مروری داشته باشیم:

• از حسابم سرقت شد، اما کارتم در جیبم بود؛
• هشدار پلیس در خصوص بی‌دقتی قربانیان. ارسال مشخصات کارت می‌تواند خطرناک باشد حتی برای آشنایان؛
• رمزتون؟ … عدم همکاری فروشنده … کوتاهی سیم کارت‌خوان (بهانه‌هایی برای پرسیدن رمز در فروشگاه از مشتری و جلوگیری از ورود رمز توسط مشتری)؛
• کپی کارت با اسکیمر و مشاهده رمز با دوربین موبایل؛
• دست‌کاری دستگاه کارت‌خوان و ضبط اطلاعات کارت و رمز.

.

ریشه تمامی مشکلات ذکر شده، ناشی از افشاء اطلاعات رمز بانکی و همچنین اطلاعات کارت‌بانکی افراد است که این دو عامل در کنار هم منجر به سوءاستفاده و کپی کردن کارت‌های بانکی و درنتیجه سرقت از سپرده‌های مالباختگان و اشخاص مختلف شده است. حال پرسش اصلی اینجاست که آیا این مسئله و مشکل به‌طور کامل ریشه در بی‌دقتی قربانیان، یا در دسترس نبودن کارت‌خوان در فروشگاه‌ها به دلیل کوتاهی سیم و یا عدم همکاری فروشندگان دارد؟

پاسخ این پرسش به‌طور کامل واضح است که تمامی این عوامل در کنار هم مسائلی است که باید حل شود. مسئله بی‌دقتی باید با اطلاع‌رسانی و آگاهی بخشی، مسئله دسترسی‌پذیری کارت‌خوان‌های فروشگاهی یا عدم همکاری فروشندگان با وضع قوانین و نظارت قابل‌حل است. ولی آیا با حل مسائل فوق در اکوسیستم پرداخت، مسائل حل خواهد شد؟ قطعاً پاسخ این پرسش منفی است. کاهش و افت ایمنی وسیله برداشت یا همان عابر بانک‌های موجود، به دلیل پیشرفت تکنولوژی، سهولت دسترسی به اسکیمرها، افزایش دانش و آگاهی سارقین حرفه‌ای و … در سال‌های اخیر عامل اصلی افزایش نرخ سرقت‌های این‌چنینی بوده است.

.

فاکتورهای کلیدی امنیت و استحکام آن‌ها

به‌طورکلی اساس و بنیان امنیت در حوزه‌های فناوری اطلاعات و پرداخت در سیستم‌های بانکی، بر مبنای سه فاکتور کلیدی است: آنچه می‌دانیم (رمز عبور یا رمز کارت‌بانکی)، آنچه داریم (برای مثال کارت‌بانکی) و آنچه هستیم (برای مثال اثرانگشت). این سه فاکتور کلیدی به‌منظور احراز هویت و تأیید اصالت در سیستم‌های پرداخت مبتنی بر کارت به کار گرفته می‌شوند که به‌منظور تأمین ایمنی در تراکنش‌های بانکی، توصیه می‌گردد که از دو فاکتور در کنار هم بهره برد، البته به شرطی که مصادیق فاکتورهای استفاده شده در نظام پرداخت از ایمنی و دقت کافی برخوردار باشند.

نکته‌ای که در خصوص ایمنی فاکتورهای کلیدی نباید غافل شویم این است که اگر یکی از فاکتورهای ایمنی فوق از استحکام کافی برخوردار باشد یا مثلاً طبق شرایط محیطی بتوان امکان سوءاستفاده را کاهش داد، امکان بهره‌برداری از یکی از فاکتورها به‌تنهایی وجود خواهد داشت، برای مثال در خصوص دسترسی به اینترنت بانک به‌طورمعمول از نام کاربری و کلمه عبور در کنار هم استفاده می‌شود که به دلیل پیچیدگی در ترکیب و تعداد ارقام و حروف، امکان سوءاستفاده را به‌شدت کاهش می‌دهد. البته نباید از این نکته غافل شد که استفاده از ابزارهای رمز یکبار مصرف به‌عنوان فاکتور کلیدی دوم در کنار کلمه عبور به‌شدت توصیه می‌گردد.

.

شرایط فعلی کارت‌های مغناطیسی بانکی (کارت‌های عابربانک رایج در ایران)

طبق قوانین موجود، هرگونه عملیات برداشت از سپرده بانکی می‌بایست توسط دو عامل احراز هویت و تصدیق اصالت در شعبه و یا بستر تراکنش‌های الکترونیکی صورت بگیرد. این دو عامل در شعبه به‌وسیله حضور شخص صاحب سپرده و ارائه کارت ملی و ثبت امضا، مورد استناد قرار گرفته و جواز عملیات برداشت از سپرده صادر می‌گردد. حال اگر صاحب سپرده بخواهد از بستر سیستم‌های پرداخت خارج از شعبه بخواهد عملیات برداشت پول نقد یا مثلاً خرید در فروشگاه را انجام دهد، به‌وسیله ای نیاز دارد که علاوه بر کارآمدی و سهولت، از امنیت کافی جهت احراز هویت و تأیید اصالت شخص صاحب سپرده نیاز دارد.

یکی از این وسایل برداشت در سیستم‌های پرداخت همان کارت‌های عابربانکی است که در حال حاضر در ایران استفاده می‌شود و از تکنولوژی نوار مغناطیسی یا Magnetic Stripe برخوردار است که در کنار رمز بانکی چهار رقمی سبب می‌شود که دو عامل احراز هویت و تأیید اصالت در کنار هم در سیستم بانکی صورت بگیرد.

همان‌طور که در بخش‌های قبل توضیح داده شد، نکته‌ای که نباید از آن دچار غفلت بشویم، سهولت استفاده، اثربخشی، هزینه و ایمنی می‌بایست در این نوع وسیله برداشت مورد بررسی و واکاوی قرار بگیرد. یک بار دیگر دو فاکتور رمز کارت و فناوری کارت مغناطیسی را از منظر سهولت، اثربخشی، هزینه و ایمنی مورد بازنگری قرار می‌دهیم:

رمز کارت، 4 رقم که فقط می‌تواند عددی باشد:

1. سهولت: بسیار آسان جهت حفظ کردن برای اقشار مختلف؛
2. اثربخشی: بدون رمز کارت نمی‌توان تراکنش بانکی انجام داد؛
3. هزینه: در حال حاضر در تمامی نظام‌های پرداخت و سیستم‌های بانکی به لحاظ سخت‌افزاری و نرم‌افزاری قابل‌استفاده است؛
4. ایمنی: به دلیل کوتاه بودن (چهار رقمی) و محدودیت استفاده از اعداد، از استحکام کافی برخوردار نیست.

.

کارت مغناطیسی (عابربانک):

1. سهولت: به‌صورت انبوه یا صدور کارت در شعبه در دسترس عموم مردم هست؛
2. اثربخشی: بدون حضور کارت از طریق خودپردازها یا پایانه‌های فروش، امکان انجام تراکنش مقدور نیست؛
3. هزینه: هزینه ساخت و صدور کارت بسیار پایین است و در حال حاضر تمامی در تمامی بانک‌ها پشتیبانی می‌شود؛
4. ایمنی: به دلیل قابلیت کپی‌برداری از استحکام کافی در حال حاضر برخوردار نیست.

.

حال دو عامل کلیدی احراز هویت و تأیید اصالت در تراکنش‌های پرداخت سیستم‌های بانکی، به دلیل افزایش آگاهی و سطح دانش سارقان حرفه‌ای و کلاه‌برداران و به‌کارگیری ابزارها و تکنولوژی‌های جدید نظیر دوربین تلفن همراه و اسکیمر، به‌طور همزمان دچار افت ایمنی شده و لازم است برای رفع این مشکل چاره‌ای اندیشیده شود.

دو راه‌حل به‌طور جداگانه یا همزمان می‌بایست برای رفع این مشکل به‌منظور جلوگیری از تهدید سپرده‌های مردم از سرقت سارقان حرفه‌ای به ذهن می‌رسد: افزایش ایمنی رمز بانکی یا وسیله برداشت. این دو راه‌حل می‌بایست مجدد از دیدگاه سهولت، اثربخشی و هزینه مورد بررسی قرار بگیرد که بتوان به راهکار نهایی دست یافت.

.

افزایش ایمنی رمز کارت: راهکار افزایش از چهار رقم به تعداد ارقام بالاتر مثلاً هشت رقم یا دوازده رقم

1. سهولت: کاهش شدید سهولت استفاده و افزایش مسئله فراموشی رمز کارت و پیچیدگی آن برای برخی اقشار غیرممکن است؛
2. اثربخشی: افزایش ارقام در کنترل جلوگیری سرقت از طریق کشف با استفاده از دوربین سارقین اثربخشی ندارد؛
3. هزینه: احتمالاً نیاز به تغییرات در سیستم‌های سخت‌افزاری/نرم‌افزاری در کل بانک‌ها و پذیرنده‌ها در سطوح مختلف دارد.

.

افزایش ایمنی وسیله برداشت کارت: راهکار استفاده از کارت هوشمند مبتنی بر تراشه

1. سهولت: از منظر مشتری، تفاوتی در سهولت استفاده از کارت مغناطیسی و کارت هوشمند وجود ندارد؛
2. اثربخشی: به دلیل استفاده از تراشه و فناوری امضای دیجیتال در فرایند تصدیق اصالت در آن، از اثربخشی لازم برخوردار است و خطر کپی کردن تقریباً صفر است؛
3. هزینه: نیاز به تغییرات در سیستم‌های نرم‌افزاری و بعضاً سخت‌افزاری بانک‌ها و پذیرنده‌ها و همچنین شتاب و شاپرک دارد.

.

ارائه راهکار ایمن‌تر در کنار ابزارهای موجود

در مجموع با بررسی نتایج این تغییرات، می‌توان به این مهم دست یافت که مهاجرت به کارت‌های بانکی هوشمند (مبتنی بر تراشه) و ارائه راهکاری ایمن‌تر در کنار ابزارهای موجود پرداخت، روشی معقول‌تر و مطمئن‌تر و ضرورتی انکارناپذیر است که در اکوسیستم کارت و پرداخت بانکی می‌بایست از سوی نهادهای حاکمیتی جهت وضع قوانین و مقررات این حوزه و همچنین تدوین زمان‌بندی برای این مهاجرت، در دستور کار قرار گیرد. مسئله‌ای که عقیده نگارنده تاکنون به دلایل مختلف اعم از انتظار جهت ورود تکنولوژی‌های جدید در این صنعت و یا مسائل کسب‌وکاری در این حوزه تاکنون مغفول و عقب نگاه داشته شده است.

این نوشتار ادامه دارد …