راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

بحران در پرداخت با کارت‌های ویزا و پیامدهایش

حمیدرضا نورصالحی؛ مشاور و طراح سیستم‌های پیشرفته علم و فن‌آوری / روز ۲ دسامبر ۲۰۱۶ میلادی، خبر هشدار بانک مرکزی روسیه درباره وقوع یک حمله برنامه‌ریزی‌شده به شبکه بانکی این کشور در روز ۵ دسامبر ۲۰۱۶ (۳ روز بعد)، ذهن کنجکاو یک متخصص امنیت را نمی‌تواند محدود به متن گزارش کند، بنابراین او را وادار به طراحی انواع سناریوهای احتمالی حمله می‌کند.

لذا در همین ارتباط یک شهروند الکترونیک را در آستانه سال ۲۰۱۷ میلادی تجسم کنید که به تمامی نکات امنیتی در ارتباط با کارت بانکی Visa خود آگاه بوده و آن‌ها را رعایت می‌کرده است، همچنین از سوی دیگر شرکت معتبری همچون Visa (که یکی از ۳ بازیگر اصلی استاندارد پرداخت EMV به‌عنوان مدعی ارائه خدمات پرداخت بر اساس آخرین یافته‌ها – best practices – باشد) را در نظر بگیرید که ناگهان در آستانه سال نو میلادی و در اوج خریدهای پایان سال، متوجه می‌شود که از حساب او و ۹۰۰۰ نفر دیگر از مشتریان بانکی که در آن حساب دارد (Tesco Bank) دزدی در حد ۲.۵ میلیون پوند آن هم در چند دقیقه صورت گرفته است و حتی بانک شما هم تا پیش از اعتراض مشتریان متوجه نشده است! در این لحظه شما از خود می‌پرسید، پس در نهایت کی امنیت بانکداری و پرداخت الکترونیکی قرار است در سطح قابل قبولی تأمین شود؟

ماجرا از این قرار است که ماه گذشته مشتریان Visa Card بانک Tesco در انگلستان موردحمله گسترده موفقی در حد ۲.۵ میلیون پوند قرار گرفتند و مبالغ دزدیده شده به حساب‌هایی در برزیل و اسپانیا منتقل شده و درجا مصرف شده است.

اولین بررسی‌ها نشان داده که این سرقت مصادف با کنار گذاشتن توکن‌های تولید رمز عبور توسط بانک مذکور بوده، ولی پس از بررسی‌های جامع‌تر یک تیم پژوهشی در دانشگاه نیوکسل، شبیه‌سازی این حملات به‌صورت موفق روی انواع دیگر کارت‌های ویزا صورت گرفته و در نهایت مشخص شده که سیستم ویزا (بر خلاف سیستم مستر کارت) در برابر حملاتی که از جنس brute force است (distributed guessing attack) مقاومت نمی‌کند و در کمتر از ۶ ثانیه امکان حدس زدن پارامترهای امنیتی کارت شما را برای مجرم سایبری فراهم می‌کند. چاپ نتیجه این تحقیق در IEEE با عنوان زیر صورت گرفته است:

 ?Does The Online Card Payment Landscape Unwittingly Facilitate Fraud

و ظاهراً هشدارهایی که از سوی شبکه بانکی روسیه منتشر می‌شود نیز بی ارتباط با این حمله نیست. شبکه‌های بانکی کشورهای مختلف با اعتماد به استانداردهایی همچون EMV سعی در اقتباس از روی آن می‌کنند که در چنین مواقعی که یک حفره امنیتی در جایی کشف می‌شود به سرعت به سایر سیستم‌های مشابه سرایت کرده و در نتیجه خبرگزاری رویترز گزارش می‌دهد در هفته گذشته از بانک مرکزی روسیه نیزسرقت موفق سایبری به میزان ۲ میلیارد روبل معادل ۳۱ میلیون دلار انجام شده است و ظاهراً این تازه آغاز بحران‌های جدی از این دست در سطح سیستم‌های پرداخت الکترونیکی باشد.

البته امیدواریم که مدیران تصمیم گیرنده شبکه بانکی کشور در کنار بررسی دقیق این حملات و توجه به این نکته بسیار حساس در امنیت سایبری که برای تأمین بهترین شکل از امنیت، بهتر است در برخی نقاط از سیستم‌های امنیتی غیر استاندارد منتشر نشده (ولی اصولی) استفاده گردد، نیم نگاهی هم به خطر دیگری که از ناحیه بی‌توجهی به اهمیت رشد نوآوری‌های مالی (فین‌تک) در کشور صورت می‌گیرد داشته باشیم؛ خصوصاً درحالی‌که شاهد سرمایه‌گزاری‌های گسترده (۱۰۰ میلیارد دلاری) کشور عربستان در حوزه فن‌آوری‌های پیشرفته و قرار دادهای شرکت معظمی همچون آرامکو با ۳ بانک معتبر ژاپنی برای رشد کسب‌وکارهای نوپای فین‌تکی باشیم. قطعاً خطر بی‌توجهی به مقوله توسعه کسب‌وکارهای نوپای فین‌تک، کمتر از اوج‌گیری بحران‌های ناشی از حملات سایبری موفق به سیستم‌های پیشرفته مالی و پرداختی نیست.

منابع:

  • دانشگاه نیوکسل انگلستان
  • Financial Times
  • Independence
  • Russia Today
  • Reuters
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.