آیا فناوری قدیمی کارت‌های بانکی امکان تقلب بیشتر را فراهم می‌کند؟

مجید نوری؛ ماهنامه عصر تراکنش / بانک‌ها و مؤسسه‌های مالی همواره برای افزایش امنیت کارت‌های بانکی راه‌حل‌هایی را ارائه داده‌اند. بااین‌حال هنوز هم حتی در کشورهای پیشرو سوءاستفاده از کارت‌های بانکی از بین نرفته است. مجید نوری، کارشناس امنیت پرداخت الکترونیکی درباره سازوکارهای امنیتی کارت‌ها نوشته است.

کارت‌های بانکی به‌عنوان اصلی‌ترین عامل شناسایی صاحب حساب تا چه اندازه قابل‌اطمینان هستند؟ آیا اخباری که هرازچندگاه در مورد دسترسی غیرمجاز به‌حساب افراد از طریق ابزارهای الکترونیکی منتشر می‌شود، به دلیل ضعف در امنیت این کارت‌هاست؟ «کارت‌بانکی» یا در اصطلاح بین‌المللی «کارت پلاستیکی» از چه درجه‌ای از امنیت برخوردار است؟ آیا ذهن دارندگان این کارت‌های پلاستیکی دارای نام و ارزش، باید دچار تشکیک شود و از روش‌های فناورانه بانکی با تردید استفاده کنند؟ آیا مقصر اولیه تمام سوءاستفاده‌های صورت‌گرفته، فناوری نامناسب و قدیمی مورد استفاده در کارت‌های بانکی است؟

در این نوشتار سعی بر آن است که با پاسخ به پرسش‌های مطرح‌شده، دیدگاه دارنده کارت‌بانکی به واقعیت موجود نزدیک و نحوه استفاده ایمن از خدمات الکترونیک بانکی بازنگری شود.

 

قدم اول: احراز هویت

خدمات بانکداری الکترونیک همچون خدمات سنتی و مرسومی که در شعب بانک‌ها به مشتریان و مراجعه‌کنندگان ارائه می‌شود، شامل نقطه شروع مشترکی است که عبارت است از شناسایی هویت مراجعه‌کننده که البته بسته به نوع خدمتی که موردنظر اوست، بر اساس روش‌های متفاوتی انجام می‌شود؛ یعنی ارائه خدمت بانکی به مشتری ناشناس و فاقد مدرک احراز هویتی همچون کارت ملی، میسر نیست. این روالی است که سال‌هاست در بانک‌ها به اجرا گذاشته می‌شود و پشتوانه دستوری بانک مرکزی را نیز داراست. در فضای مجازی نیز منطقی است تا روال به همین منوال باشد؛ یعنی ابتدا مشتری شناسایی شود و سپس مجوز استفاده از خدمات را کسب کند.

در حال حاضر اصلی‌ترین ابزار شناسایی مشتری در فضای مجازی، کارتی است پلاستیکی با یک نوار مشکی‌رنگ در پشت آن که به «کارت‌بانکی» یا در میان مردم به «کارت عابر بانک» مشهور شده است. این کارت انواعی دارد که متداول‌ترین آن، نوع نوار مغناطیسی یا مگنتی است؛ یعنی نوار سیاه‌رنگ پشت کارت همچون نوارهای کاست قدیمی حاوی داده‌هایی است که با روش‌های الکترونیکی روی آن ثبت شده و توسط پایانه‌های بانکی قابل‌خواندن است. روی این نوار مغناطیسی برخی از اطلاعات مشتری که مورد نیاز برای شناسایی و اعتباربخشی اولیه به اوست، ثبت شده است. مسلماً این اطلاعات شامل اقلام هویتی و شخصی فرد نیست و بیشتر به کدها و ارقامی همانند است که شناسه بانکی دارنده کارت را تعیین و به کارت‌خوان اعلام می‌کند. این اطلاعات به‌خودی‌خود و به‌تنهایی در هیچ سامانه و دستگاهی قابل‌استفاده و بهره‌برداری نیست و طبق اصول تعریف‌شده در نظام بانکی کشور، فقط با ترکیب شدن با دیگر اقلام اطلاعاتی، دارای اعتبار و هویت قابل استناد می‌شود.

بخشی از اطلاعات موجود روی این نوار سیاه‌رنگ مغناطیسی، نسخه‌ای الکترونیکی از اطلاعات مندرج روی کارت همچون شماره کارت و کد اعتبارسنجی دوم است که دستگاه را قادر می‌سازد اطلاعات اولیه دارنده کارت را بدون پرسش از شخص به دست آورد. قدم بعدی برای کسب اطمینان از این‌که ارائه‌دهنده کارت در حقیقت دارنده اصلی آن است، درخواست «رمز» یا «پین کدی» است که اساساً فقط و فقط دارنده اصلی کارت باید آن را بداند. این رمز تکمیل‌کننده اطلاعات کارت است و بدون آن از کارت هیچ استفاده‌ای نمی‌توان کرد.

انجام تراکنش با یا بدون کارت پلاستیکی؟

خدمات ارائه‌شده در بانکداری الکترونیکی به‌طورکلی به دو دسته تقسیم می‌شوند:

1. خدماتی که برای دریافت آن‌ها باید کارت‌بانکی ارائه شود و اصطلاحاً Card Present transactions یا CP نامیده می‌شوند. در این قبیل خدمات که نمونه آن استفاده از دستگاه‌های خودپرداز یا پایانه‌های فروشگاهی است، دارنده کارت باید شخصاً حضور داشته باشد و با ارائه یا کشیدن کارت خود، فرایند درخواست خدمت را آغاز کند و با ثبت رمز مربوطه، صحت هویت خود را به اثبات برساند.

[mks_pullquote align=”left” width=”220″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

Card Present transactions

CP نوعی تراکنش پرداخت کارتی است که در آن حضور فیزیکی کارت و صاحب کارت لازم است.

[/mks_pullquote]

2. خدماتی که طبق تعریف صادرکننده کارت (بانک‌ها) برای دریافت آن‌ها نیازی به مراجعه حضوری نیست و بدون ارائه اصل کارت می‌توان از آن خدمات بهره‌برداری کرد. این قبیل خدمات اصطلاحاً Card not Present transactions یا CNP نامیده می‌شوند. نمونه‌هایی از این قبیل خدمات شامل اینترنت‌بانک، تلفن‌بانک و همراه‌بانک است. در این دسته از خدمات بانکی، اطلاعاتی از مشتری دریافت می‌شود که با استفاده از آن‌ها فرایند شناسایی هویت دارنده کارت در قالب پذیرفته‌شده‌ای کامل می‌شود. اغلب شماره کارت مهم‌ترین قلم اطلاعاتی مورداستفاده در این قبیل خدمات به شمار می‌آید، اما برای تکمیل پروسه شناسایی متقاضی خدمت، از اقلام اطلاعاتی دیگری که روی کارت درج شده یا به صاحب کارت داده شده است نیز استفاده می‌شود.

تفاوت خدمات نوع دوم با نوع اول در این است که اقلام اطلاعاتی موردنیاز از کاربر دریافت می‌شود تا به نحوی اثبات شود که دارنده اصلی کارت آن‌ها را ارائه می‌کند. ضمن آن‌که برای خدمات نوع دوم نیاز به رمز دیگری است متفاوت از پین کد.

 

EMV هم شکاف ناآگاهی را پر نمی‌کند

با توجه به تعاریف بالا، امنیت خدمات در دو حوزه مختلف قابل‌بررسی است:

در دسته اول که خدمات CP را در برمی‌گیرد، حضور دارنده کارت (چه کسی است؟)، کارت‌بانکی (چه چیزی دارد؟) و پین کد (چه می‌داند؟) سه عاملی هستند که امنیت تراکنش‌های مبتنی بر این روش را در حد قابل‌قبولی بالا نگه داشته است. نگاهی به آمارهای جهانی و آمارهای کشورمان مؤید این مطلب است که کلاه‌برداری‌های بانکی با سوءاستفاده از خدماتی که مبتنی بر ارائه کارت هستند، در حداقل میزان ممکن قرار دارد (تنها 3 مورد در سال 1394) و برداشت‌های غیرمجاز و ناخواسته از حساب افراد با روش‌های مهندسی اجتماعی و کسب داشته‌های یک فرد (دو عامل از سه عامل یادشده) صورت گرفته است. اگر دارندگان کارت‌های بانکی دقت نظر کافی و لازم در انتخاب رمز عبور و حفظ آن داشته باشند، می‌توان مخاطرات این حوزه را در حد صفر در نظر گرفت. از نظر استاندارد کارت‌های پرداخت (PCI) که در وب‌سایت این سازمان درج شده است، حفظ اطلاعات کارت مسئولیت اصلی دارنده کارت محسوب می‌شود.

یعنی اگر دارنده کارت تلاش کافی برای حفاظت از کارت خود نکند و کارت یا اطلاعات مرتبط با آن را در اختیار دیگران قرار دهد، حتی با تبدیل کارت‌های فعلی به کارت‌های هوشمند (پروژه‌هایی که این روزها با عناوین مهاجرت به EMV خبرساز هستند) نیز مشکل را برطرف نخواهد کرد، چراکه اگر یک فرد کارت و پین کد آن را در اختیار دیگری قرار دهد، چه کارت مغناطیسی باشد چه هوشمند، خدمات مبتنی بر کارت یا همان CP به ارائه‌دهنده کارت (و نه الزاماً صاحب اصلی آن) داده می‌شود. باید توجه داشت که پایانه‌های بانکی قادر به ارزیابی شناسه‌های زیست‌سنجی و حتی چهره افراد نیستند.

در دسته دوم که خدمات CNP یا غیرحضوری به دارنده کارت ارائه می‌شود، شرایط نسبتاً متفاوت است. خدمات این دسته غالباً بدون نیاز به حضور فیزیکی فرد انجام می‌شود و به همین علت نیز بیشتر کلاه‌برداری‌ها در دنیا از این طریق صورت می‌گیرد. چون در این دسته از خدمات، نیازی به وجود کارت نیست، بنابراین نوع کارت (مغناطیسی یا هوشمند) تفاوتی در میزان و نرخ سوءاستفاده‌های احتمالی ایجاد نمی‌کند. در کشورهایی که برای ارائه خدمات الکترونیکی از مشتریان کارمزد دریافت می‌کنند، کارمزد خدمات CNP بیشتر از خدمات CP است، چرا که مخاطرات در این قبیل خدمات از میزان بیشتری برخوردار است. در این دسته از خدمات بانکداری الکترونیک عموماً و تنها به یک عامل از سه جنبه شناسایی (چه کسی است؟ چه دارد؟ چه می‌داند؟) اکتفا می‌شود. آن عامل فقط دانسته‌های دارنده کارت است (شماره کارت، پین کد، تاریخ انقضا و رمز دوم) بنابراین نه نیاز به خود فرد است و نه به کارت بانکی او.

[mks_pullquote align=”left” width=”220″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

Card not Present transactions

CNP نوعی تراکنش پرداخت کارتی است که در آن نیازی به حضور فیزیکی کارت نیست، به همین دلیل در این تراکنش‌ها بیشتر شاهد تقلب و کلاه‌برداری هستیم.

[/mks_pullquote]

 

آنچه از آمار و ارقام رسمی پیداست از مجموع 7500 مورد جرائم مرتبط با بانکداری الکترونیک در سال 94 بیش از 5900 مورد به روش‌های مرتبط با دسته دوم خدمات یعنی CNP منحصر شده است و بیش از 1500 مورد نیز مربوط به استفاده از شگردهای مهندسی اجتماعی و اجرای کلاه‌برداری توسط خود دارنده کارت می‌شود. به عبارتی بیش از 7400 مورد از تخلفات هیچ‌گونه وابستگی به نوع فناوری کارت‌های پلاستیکی ندارند.

امن سازی دسته دوم از خدمات بانکداری الکترونیک با افزودن عوامل ثانویه مثل توکن، گواهی دیجیتال، رمز یک‌بارمصرف، ارسال پیامک تکمیلی، ارائه خدمت روی شماره تلفن خاص یا آدرس اینترنتی از پیش تعیین‌شده یا کوچک کردن سقف مبلغ تراکنش‌ها با هدف کاهش مخاطرات، می‌تواند صورت پذیرد؛ بنابراین تأکید می‌شود که نوع کارت و استفاده از کارت هوشمند در میزان امنیت این قبیل تراکنش‌ها تغییری به وجود نخواهد آورد و امنیت خدمات را بالا نخواهد برد.

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

پیداست از مجموع 7500 مورد جرائم مرتبط با بانکداری الکترونیک در سال 94 بیش از 5900 مورد به روش‌های مرتبط با دسته دوم خدمات یعنی CNP منحصر شده است و بیش از 1500 مورد نیز استفاده از شگردهای مهندسی اجتماعی و اجرای کلاه‌برداری توسط خود دارنده کارت را شامل می‌شود. به عبارتی بیش از 7400 مورد از تخلفات هیچ‌گونه وابستگی به نوع کارت ندارند و با هر نوع فناوری قابل سوءاستفاده است.

[/mks_pullquote]

 

جمع‌بندی آن‌که امنیت کارت‌های بانکی مورداستفاده به‌خودی‌خود در کشور قابل‌قبول بوده و مطابق با استانداردهای جهانی از سطح مناسبی برخوردار است. آنچه در نظام بانکداری الکترونیک کشور نیاز به بازنگری و اصلاح دارد، نحوه و فرهنگ استفاده از این خدمات در بین اقشار مختلف جامعه است که باید همگان (مراکز آموزشی، رسانه‌ها، ارائه‌دهندگان خدمات و پذیرندگان) برای ارتقا و بالا بردن دانش افراد تلاش مضاعفی به خرج دهند. باید به شکل مؤثری اهمیت حفظ پین کد (رمز کارت) به دارندگان کارت‌های بانکی یادآوری و فرهنگ‌سازی عدم درخواست این رمز توسط پذیرندگان در تمامی اصناف نهادینه شود. بیشترین خطرات در این حوزه متوجه سالمندان، کم‌سوادان و بی‌سوادان، ناآشنایان با فضای مجازی و نوجوانان است چرا که این گروه‌ها به دلایل متعدد از جمله آگاهی ناکافی، نسبت به رعایت تمهیدات امنیتی و حفظ اطلاعات شخصی خود کوتاهی می‌کنند.

البته راه‌کار دیگری نیز وجود دارد که پیاده‌سازی آن نیاز به همت تمامی عوامل درگیر در شبکه بانکی کشور دارد. این راه‌کار افزودن عامل دوم به تراکنش‌های پرخطر به‌ویژه برای افراد و اقشار پرریسک است. به عبارتی باید فرآیندها را به نحوی به‌روزرسانی کرد که انجام تراکنش‌های تا سقف 100 هزار ریال بدون پین کد، از 100 هزار تا 2 میلیون ریال با پین کد و از 2 میلیون ریال به بالا با ارائه عامل دوم که می‌تواند هر یک از روش‌ها و ابزارهای پیش‌گفته باشد، تأیید شوند. البته با این روش نیز همچنان بخشی از کلاه‌برداری‌ها که از طریق مهندسی اجتماعی صورت می‌پذیرد و با ترغیب و تهدید دارنده کارت، فرد را مجبور به انجام تراکنش توسط خود او می‌کند، به قوت خود باقی خواهد ماند و چاره‌ای نخواهد بود مگر با افزایش سطح آگاهی و فرهنگ استفاده صحیح از این ابزارها.