پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
صحبتهای چند مدیر صنعت پرداخت در خصوص وضعیت فعلی صنعت پرداخت
هر روز شیوهای جدید برای دسترسی به رمز کارت بانکی افراد توسط سارقان ابداع میشود. اگرچه بارها به مردم هشدار داده شده که نسبت به نگهداری رمز کارت بانکی خود محتاط و هوشیار باشند، اما انگار این قصه سرِ درازی دارد. چندی پیش پلیس فتا اعلام کرد که از حساب ٤١ شهروند مبلغ ٧٠٠میلیون تومان به سرقت رفته است. شگرد سارقان هم به این صورت بود که سیم دستگاه کارتخوان در فروشگاه را به عمد دستکاری و کوتاه کرده بودند تا افراد مجبور شوند برای استفاده از دستگاه کارتخوان، رمز خود را در اختیار آنها بگذارند. ضمن اینکه در کنار دستگاه کارتخوان، دستگاه دیگری کار گذاشته شده بود تا زمانیکه کسی کارت میکشید، اطلاعات حساب فرد در آن دستگاه ذخیره شود. سپس نمونه همان کارت ساخته میشد تا در فرصتی مناسب به حسابها دستبرد زده شود. پیش از اینها ناصر حکیمی، معاون فناوری اطلاعات بانک مرکزی نسبت به وجود دستگاههایی برای خواندن کارتهای بانکی و کپی دادههای نوار مغناطیسی هشدار داده بود. پس از آن بانک مرکزی با صدور بخشنامهای، سیستم بانکی کشور را موظف کرد که بهمنظور جلوگیری از کپی کارتهای بانکی روی دستگاههای خودپرداز آنتیاسکیمر نصب کنند، اما معلوم نیست که تاکنون چه میزان شعب بانکی نسبت به این ابلاغیه بانک مرکزی احساس مسئولیت کردهاند تا بتوان مقیاس دقیقی برای امنیت عابر بانکها در سطح شهر داشت. آنطور که پلیس فتا اعلام کرده است؛ علاوه بر عابربانکها، دستگاههای کارتخوان یا پوز فروشگاهی نیز از مهمترین درگاههای اسکیمرها برای سرقت اطلاعات بانکی افراد هستند و تقلب و دستکاری برای دسترسی به حساب افراد از طریق دستگاههای پوز، یک معضل رو به رشد است. هماکنون سارقان با نصب قطعاتی بسیار پیشرفته و کوچک به نام اسکیمر آن هم کنار شکاف ورودی دستگاه پوز قادر به خواندن اطلاعات محرمانه داخل کارت عابر میشوند، به همین دلیل از مدتها پیش رئیس مرکز تشخیص و پیشگیری پلیس فضای تولید و تبادل اطلاعات ناجا از بانکها خواست تا در جهت جلوگیری از نصب قطعات اسکیمر بر دستگاههای کارتخوان روی آنها آنتیاسکیمر نصب کنند که باز هم معلوم نیست آیا چنین اخطاریهای از سوی بانکها جدی گرفته شده است یا خیر. خبر دستبرد ٧٠٠میلیونی به حساب ٤١ شهروند موجب شد امنیت پرداختهای الکترونیک در ایران بار دیگر مورد توجه قرار گیرد.
.
كارشناس پرداخت الکترونیک: ميتوان امنيت را بالا برد
فرشید اردوانی، کارشناس ارشد پرداخت الکترونیک در گفتوگویی با «شرق» ابتدا به مردم هشدار داد رمز کارت الکترونیکی خود را در اختیار دیگران نگذارند، ضمن اینکه باید توجه داشته باشند در برخی موارد متخلفان دوربینهای مداربسته را بهگونهای تنظیم میکنند که روی صفحه کلید و کیبورد مسلط باشند؛ بنابراین باید در مقابل دوربینهای مداربسته هم به گونهای بایستند که قابلیت نمایش دکمهها وجود نداشته نباشد. در برخی موارد هم متخلفان کارت بانکی افراد را در پایانههای تقلبی میکشند که این پایانهها پیغام استانداردی نمیدهد، بنابراین در درجه اول مردم باید هوشیار باشند. وی افزود: راه دیگر برای مقابله با این خطرات آن است که مردم از کارتهای خریدی استفاده کنند که متصل به حساب بانکی اصلی آنها نباشد؛ بهطور مثال از کارتهای خرید (بن کارتها) الکترونیکی استفاده کنند که با انتقال کارت به کارت مبلغ به آنها عملا امکان دسترسی سارقان به حساب اصلی منتفی میشود.
این کارشناس ارشد پرداخت الکترونیک در توضیح امکان افزایش لایههای امنیتی این راهکار روی کارتهای بانکی افراد گفت: با توجه به اینکه امکان آن وجود دارد که اطلاعات مغناطیسی پشت کارتهای بانکی توسط دستگاههای کپی خوانده شود و هماینک تنها رمز روی سوئیچ بانک قابلیت کنترل دارد، بنابراین میتوان سطح لایههای امنیتی را به صورت استفاده از رمز ثابت و متغیر بالا برد.
وی ادامه داد: در این روش علاوه بر رمز اول، رمز دومی وجود خواهد داشت که پس از کشیدن کارت در دستگاه، توسط افراد روی موبایل آنها ارسال میشود. این رمز دوم متغیر و یکبار مصرف است و حتی اگر کارت فرد کپیشده باشد و رمز ثابت آن نیز لو رفته باشد، راه بر سارقان بسته میشود.
اردوانی در واکنش به این سؤال که چرا در ایران از این تکنیک در پرداختهای الکترونیک استفاده نمیشود، گفت: این روش اپلیکیشن مجزایی نیاز دارد؛ ضمن اینکه مهمتر از اپلیکیشن، آن است که شبکه شاپرک چنین استانداردی را تعریف کرده و زیرساختهای آن را فراهم کند.
به گفته وی، در کشورهای خارجی برای کارت مشتریان VIPو مشتریانی که در حساب بانکی خود مقادیر بالایی پول نگهداری میکنند، از این روش بهصورت انتخابی (Optional) استفاده میشود، اما در ایران شبکه شاپرک انشاءالله باید چنین استانداردی را پذیرا باشد که به دلیل هزینهبربودن و سختیهای عملیاتی آن هنوز مقدور نشده است.
اردوانی ضمنا اشاره کرد که روشهای نوین از جمله Mobile-NFC نیز از امنیت بالایی برخوردار است که در استفاده از آن عملا گوشی هوشمند همراه فرد با سطح امنیت بالا جایگزین کارتهای الکترونیکی میشود. این روش هماکنون خصوصا در آمریکا و اروپا مورد استفاده قرار میگیرد.
.
مدیرعامل شاپرک: سیستم پرداخت الکترونیک امن است
اما محسن قادری مدیرعامل شرکت شاپرک در گفتوگویی با «شرق» در مورد خبرِ دستبرد ٧٠٠میلیونی به حساب ٤١ شهروند اعلام کرد که هماکنون این موضوع در حال بررسی است و هنوز بررسیهای ما روی این موضوع کامل نشده است و تحقیقات ادامه دارد.
او گمانهزنیهایی را مبنی بر آنکه امنیت شبکه پرداخت الکترونیک با چنین شگردهایی بهشدت در خطر است و زیر سؤال رفته، رد کرد و پاسخ داد: اصلا اینطور نیست؛ سیستم پرداخت الکترونیک در امنترین حالت ممکن است. وی با طرح این سؤال که وقتی از یک خانه در یک شهر سرقت میشود، باید بگوییم که آن شهر ناامن است، اضافه کرد: بهتر است به این مسائل دامن نزنیم و مردم را نترسانیم چون امنیت شبکه پرداخت الکترونیک کشور در بالاترین سطح ممکن است.
.
مدیر امنیت اطلاعات شاپرک: در چارچوب استانداردهای دنیا حرکت کردیم
سیامک آزادیابد، مدیر امنیت اطلاعات شبکه شاپرک، در گفتوگویی با «شرق»، گفت: اگر رمز کارت فرد در اختیار متخلفان قرار نگرفته بود قاعدتا امکان برداشت پول هم وجود داشت؛ متأسفانه این ٤١ نفر که در این پرونده متضرر شدند، در فرایندی، کارت بانکی خود را همراه با رمز در اختیار متخلفان گذاشتند. وی تأکید کرد: به هیچعنوان نمیتوان اینطور استنباط کرد شبکه پرداخت الکترونیک کشور ناامن است و لازم بود تمهیدات فنی خاصی اتخاذ شود تا چنین اتفاقی رخ ندهد.
مدیر امنیت اطلاعات شاپرک درباره طراحی و ساخت دستگاهی برای کپی اطلاعات کارت افراد نیز گفت: ساخت این دستگاه پیچیده نیست و این دستگاه کپی، قابل خریدوفروش است و در همهجا وجود دارد، ضمن اینکه نمیتوان محدودیت برای استفاده از این دستگاه کپی برای نهادها قائل شد و مردم باید دقت کافی داشته باشند و رمز خود را در اختیار دیگران نگذارند و سهلانگاری نکنند. وی اضافه کرد: از دستگاه کپیکارت، صرفا در حوزه پرداخت و بانکداری استفاده نمیشود و به همین دلیل بانک مرکزی به عنوان مقام ناظر بهتنهایی نمیتواند با صدور بخشنامهای نسبت به محدودیت برای استفاده از این دستگاه اقدام کند.
وی در مورد استانداردهای جهانی برای امنیت کارتهای بانکی در مقابل چنین خطراتی، گفت: ما در چارچوب استانداردهای معمول دنیا حرکت کردیم. حتی میتوان گفت در پرداختهای غیرحضوری مانند پرداخت اینترنتی و موبایلی، سختگیریهای بیشتری نسبت به استانداردهای معمول در دنیا اعمال کردیم که تا حدودی موجب دشواری برای کاربران شده است اما نمیتوان مقدار پیچیدگیهای امنیتی را افزایش داد و فراتر از استانداردها حرکت کرد؛ چون پیچیدگی بیشتر، کاربری کمتری دارد، درحالیکه ما میخواهیم مردم از چنین تکنولوژیهایی استفاده کنند.
به گفته وی، مانند پروندههای دیگر در حوزه جرایم رایانهای، هماینک دادسرای جرایم رایانهای و پلیس فتا به صورت تخصصی در حال بررسی اين پرونده هستند. همچنین در این راستا، شاپرک و بانک مرکزی در حال همکاری کامل با نهادهای مربوطه است تا انشاءالله جبران ضرر افراد زیاندیده انجام پذیرد.
مدیر امنیت اطلاعات شاپرک عنوان کرد: متأسفانه اینطور مسائل نشان میدهد ما هنوز به آموزشهای اولیه ازجمله اینکه «رمز کارت خود را در اختیار دیگران قرار ندهید»، نیاز داریم.
منبع: شرق