قراردادن دستگاه کارتخوان در معرض دید مشتری به گونهای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است.
گفتوگو با مدیر اداره نظامهای پرداخت بانک مرکزی
مراقب کارتخوانهای جعلی باشید
روزنامه شرق , 6 ارديبهشت 1395 ساعت 12:00
قراردادن دستگاه کارتخوان در معرض دید مشتری به گونهای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است.
قراردادن دستگاه کارتخوان در معرض دید مشتری به گونهای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، 99درصد گزارشهای سوءاستفاده از کارتهای بانکی مربوط به کارتخوانهای جعلی است. راههای مختلفی برای سوءاستفاده از کارت بانکی دیگران وجود دارد که در همه آنها، دسترسی به جسم کارت و دانستن رمز آن الزامی است. سرقت اطلاعات کارت بانکی افراد با دستگاهی به نام اسکیمر، ازجمله مواردی است که به دور از چشم مشتری سریعا اطلاعات کارت را کپی میکند.
داود محمدبیگی، مدیر اداره نظامهای پرداخت بانک مرکزی، با بیان اینکه بیش از ١٠ سال از حضور اسکیمرها میگذرد و حالا نسل جدید دستی آنها هم درست شده است، حفاظت از جسم و رمز کارت بانکی را بهترین و کارآمدترین راه جلوگیری از سوءاستفاده شیادان عنوان میکند. وی کارتهای تراشهدار را بهعنوان جانشین مناسبی برای کارتهای مگ استریپ معرفی کرده و میگوید کارتهای تراشهدار قابلیت کپیشدن ندارد؛ اما با توجه به هزینه بالای صدور آنها و وجود ٣٠٠ میلیون کارت بانکی در ایران، تغییر یکباره کارتهای فعلی پرهزینه و سخت خواهد بود. او مدام تأکید دارد مشتریان جسم و رمز کارت را در اختیار کسی نگذارند و برای فرهنگسازی در این زمینه کوشا باشند. در این مورد گفتوگویی با وی داشتهایم که در ادامه میخوانید.
بحثی را که درباره کپیکردن کارتهای بانکی و سوءاستفاده از آن وجود دارد، تأیید میکنید؟
امکان کپیشدن کارتهایی که الان در دست افراد است، از طریق ابزارهای مختلفی که اصطلاحا به آن اسکیمر یا کپیکننده کارت گفته میشود، وجود دارد؛ ولی موضوع این است که امنیت کارتهایی که در دست مردم است، از دو حوزه کنترل میشود؛ یکی جسم کارت، یعنی آنچه مشتری دارد و دیگری رمز کارت، یعنی آنچه مشتری میداند. ازاینرو تا زمانی که رمز کارت مشتری لو نرود یا مشتری رمز کارت خود را در اختیار سارق یا سوءاستفادهکنندگان نگذارد، امکان استفاده از کارت کپیشده وجود ندارد و اگر آن کارت دو یا حداکثر سه بار با رمز اشتباه در درگاههای پذیرش استفاده شود، مسدود میشود.
مشکلی که دراینمیان وجود دارد، این است که این سوءاستفادهها عمدتا از مشتریانی صورت میگیرد که در نگهداری رمز خود بیدقتی میکنند؛ افرادی که رمز کارت خود را بهراحتی برای اقوام، دوستان و یا فروشندگان افشا میکنند، طعمه چنین سوءاستفادههایی هستند. ما بارها به مشتریان گوشزد کردهایم که در نگهداری رمز خود وسواس به خرج دهند و حتما هنگام استفاده از کارت بانکی رمز را خودشان وارد کنند؛ اما متأسفانه افراد زیادی دراینباره اهمال میکنند. بههرحال احتمال برای سوءاستفاده وجود دارد؛ اما مشتری با افشانکردن رمز، بهراحتی میتواند از سوءاستفاده جلوگیری کند.
راهکار سختافزاری برای ازبینبردن قابلیت کپیشدن این کارتها چیست؟
بسیاری از کشورها به جای استفاده از کارتهای فعلی (کارتهای مگ استریپ) به سمت استفاده از کارتهای چیپ یا همان کارتهای هوشمندی که تراشه دارند، رفتهاند؛ اما موضوع این است که حتی در کشوری مانند آمریکا هم کارتهای مگ استریپ از رده خارج نشدهاند و کماکان استفاده میشوند. تغییر کارتهای فعلی به کارتهای تراشهدار مانع از کپیشدن میشود؛ اما اولا جلوگیری از سوءاستفاده از این کارتها نیز نیازمند رعایت اصولی مانند حفظ رمز از سوی مشتریان است و ثانیا معمولا کشورها با بررسی هزینههایی که در زمینه صدور کارتهای چیپ وجود دارد، تشخیص میدهند که میتوانند به سمت جایگزینی این کارتها بروند یا نه. هزینه صدور کارت چیپ به حدود ١۵ تا ٢٠ هزار تومان میرسد؛ در حالیکه هزینه صدور کارتهای فعلی دوهزارو ٣٠٠ تومان است.
آیا نظام بانکی برنامهای برای رویآوردن به این کارتها دارد؟
با توجه به اینکه قاعدتا در سال جاری ارتباطات بینالمللی نظام بانکداری ایران گسترش خواهد یافت، ما هم باید به سمت این کارتها برویم. این یکی از موضوعاتی است که در دستورکار بانک مرکزی و شبکه بانکی است. فعلا برخی از بانکها به درخواست مشتری کارتهای چیپ را صادر میکنند و در اختیار مشتری میگذارند؛ اما این موضوع باید بهتدریج اتفاق بیفتد. در کشوری که سرانه کارت بانکی برای افراد حدود چهار کارت برای هر نفر است؛ یعنی حدود ٣٠٠ میلیون کارت بانکی وجود دارد، تغییر یکباره کارتهای مگ استریپ به کارتهای چیپ، هزینه بسیار بالایی دارد.
آیا با تغییر کارتهای فعلی به کارت چیپ، پایانههای پذیرش هم باید تغییر کنند؟
کارتهای چیپ هم با همین دستگاهها کار میکنند. این کارتها در کشورهایی مانند آمریکا هم حافظه مغناطیسی دارند و هم چیپ. این کارتها امکان استفاده از هر دو روش را دارند؛ اما کارتهای تراشهدار را نمیتوان مانند کارتهای فعلی در دستگاههای کارتخوان کشید؛ بلکه باید وارد دستگاه شود. البته این محل در کارتخوانها تعبیه شده است و قابلیت سرویسدهی به کارتهای چیپ را دارند. بههرحال این مهاجرت به سمت کارتهای چیپ، تدریجی خواهد بود و طبیعتا مشتریان باید در نگهداری رمز هر دو نوع کارت کوشا باشند؛ این مهمترین قسمت استفاده از کارت بانکی است.
احتمال کپیکردن کارتهای بانکی با اسکیمرها چقدر است؟
برای کپیکردن کارت، سارق باید به جسم کارت دسترسی پیدا کند. ما به همه بانکها گفتهایم که روی ورودی همه دستگاههای خودپرداز، آنتیاسکیمر نصب کنند. طبق آمارهایی که داریم، تقریبا ٨۵درصد دستگاههای خودپرداز آنتیاسکیمر نصب کردهاند. ١۵درصد باقیمانده هم پیگیری میشود که بهزودی مجهز شوند. بااینحساب احتمال اسکیم کارت روی درگاه دستگاههای خودپرداز بسیار کم است. اما حالا اسکیمرهای بسیار کوچکی هستند که کف دست جا میشوند و افراد میتوانند با گرفتن کارت بانکی در یک فاصله زمانی بسیار اندک کارت را کپی کنند.
این اسکیمرهای دستی بدون اینکه به جایی وصل باشند میتوانند کارتی که به آنها نزدیک میشود را کپی کنند پس مردم حتی جسم کارت را نیز نباید به افراد ناشناس بدهند چون این اولین قدم برای کپیشدن کارت است. روی پایانههای فروشگاهی که به شبکه متصل نیستند نیز ممکن است اسکیم کارت انجام شود. بسیار دیده شده که مشتری کارت خود را بهراحتی در اختیار پذیرنده قرار میدهد و او کارت و رمز را به جایی که از دید مشتری پنهان است میبرد و رسید را میآورد. در این رفتوبرگشت امکان کپی وجود دارد. بنابراین مشتریان وقتی به فروشگاهها مراجعه میکنند حتما باید خودشان کارت را بکشند و رمز را وارد کنند. دستگاههایی که به شبکه وصل نیستند آرم شاپرک یا شرکت ارائهدهنده سرویس یا نماد بانک را ندارند و مشتریان بهراحتی میتوانند تشخیص بدهند که این دستگاه به شبکه متصل است یا نه. مهمترین مسئله این است که اگر مشتریان رمز کارت را در اختیار افراد قرار ندهند حتی با وجود کپیشدن کارت باز هم خطری متوجه آنها نیست چراکه معمولا در تمام درگاهها، واردکردن حداکثر سهبار رمز غلط، کارت را مسدود میکند.
چرا کارتخوان متصل به شبکه، امکان نصب اسکیمر ندارد؟
اینکه من گفتم روی دستگاههای متصل به شبکه، کارت کپی نمیشود، بهدلیل کنترل و نظارت شرکتهای سرویسدهنده پرداخت است. با توجه به اینکه تمام شرکتهای ارائهدهنده سرویس پرداخت در بررسیهای دورهای و میدانی از پایانههای فروش، کنترل میکنند که آیا روی این دستگاهها اسکیمر نصب شده است یا نه؛ از دیگر سو به دلیل شکل دستگاههای کارتخوان و با توجه به استانداردهایی که دارند، نصب اسکیمر روی آنها کار سادهای نیست. نمیتوانم بگویم قطعا این اتفاق نمیافتد اما احتمالش بسیار کم است. معمولا مواردی که سوءاستفاده از کارت به ما یا پلیس فتا منعکس شده، بیش از ٩٩ درصد مربوط به دستگاههای پوز جعلی بوده که به شبکه وصل نبوده است. حداقل به ما مواردی از پوزهای متصل به شبکه منعکس نشده است.
چقدر احتمال دارد اسکیمر به دستگاه وصل کنند اما مشتری خودش رمز را بزند و آنها به روشهای دیگر رمز را پیدا کنند؟
بسته به نوع پوزهایی که در شبکه استفاده میشود، این احتمال متغیر است. برخی از پوزها استانداردهای PCI PED وPCI PTF و انطباق با EMV دارند که به محض نصب نرمافزار یا سختافزار جدید، دستگاه را غیرفعال میکند و پذیرنده مجبور است با شرکت سرویسدهنده تماس بگیرد. با توجه به اتصالاتی که کشور در سال جاری با محیط بینالملل برقرار خواهد کرد، آماری از پایانههای فروشگاهی گرفتهایم که ۵٠ درصد پوزها مجهز به این استانداردها هستند اما در مورد بقیه پوزها، این احتمال وجود دارد منتها حتی در مورد اینها هم با توجه به ماهیت فیزیکی و ساختار آن، نصب اسکیمر سخت است و نیازمند همکاری دارنده پوز و سارق است اما با توجه به اینکه فروشنده در قبال دریافت دستگاه پوز، تعهدی به شرکت سرویسدهنده و بانک میدهد که بر عملکرد دستگاه نظارت کند و نزد بانک هم حساب دارد، ریسک سوءاستفاده را نمیپذیرد.
تعداد این کارتهای کپیشده با اسکیمر چقدر بوده است؟ آماری دارید؟
متأسفانه من این آمار را در دسترس ندارم اما میتوانم بگویم بسیار بسیار کم است.
چقدر میتوانید سوءاستفادهها را پیگیری کنید؟
با توجه به اینکه اکثر بانکها خدمات ارسال پیامک را به مشتریان ارائه میدهند، مشتری به محض تغییر روی حساب، آگاه میشود و میتواند با استفاده از تلفنبانک یا سایت، کارت را مسدود کند. محدودیتهایی هم که برای برداشت از کارتخوانها در شبکه اعمال شده است نیز برای بهحداقلرساندن زیان ناشی از این بیاحتیاطیهاست.
با توجه به اینکه این اتفاقات میتواند روی ذهنیت مردم و سابقه بانکها تأثیر منفی زیادی داشته باشد، تاکنون برای مقابله با آنها چه کردهاید و چه برنامهای برای آینده دارید؟
این، اتفاق جدیدی نیست. بیش از ١٠ سال از ظهور اسکیمرها و تکامل این نوع سوءاستفادهها میگذرد. هر کسی که از خدمات پرداخت الکترونیک استفاده میکند، قاعدتا باید از ریسکهای آن هم مطلع باشد. اولین کار مردم، اطلاعیابی از ریسکهاست؛ تمام بانکها اطلاعات و تذکرات لازم درباره استفاده از خدمات الکترونیک را به روشهای مختلف به مشتریان میدهند. تمرکز بانک مرکزی، شبکه بانکی در همکاری با معاونت پیشگیری قوه قضائیه و پلیس فتا روی اطلاعرسانی و فرهنگسازی بوده است. در این راستا بانکها ملزم شدهاند به روشهای مختلف این اطلاعات را در اختیار مردم بگذارند.
در بخش زیرساخت و استانداردهای امنیتی، اتفاقاتی در محدودکردن برخی از تراکنشها افتاد و سقف برداشت از طریق دستگاه کارتخوان به ۵٠ میلیون تومان رسید تا احتمال زیان به مشتریان از این بابت کاهش پیدا کند، منتها اگر مشتری حداقلها را رعایت نکند، تمام اقداماتی که کل دستاندرکاران این حوزه انجام میدهند، بیتأثیر است. کسی نمیتواند بدون دانستن قوانین راهنمایی و رانندگی و بدون یادگیری رانندگی، پشت خودرو بنشیند. استفاده از کارتهای بانکی هم ریسکهایی دارد که با رعایت حداقلها، از بین میروند و مشتری باید به رعایت این حداقلها پایبند باشد.
بسیاری از مشتریان به حفظ رمز و جسم کارت خود پایبند هستند اما در بسیاری موارد به دلیل عدم دسترسی به دستگاههای کارتخوان فروشگاهی مجبور میشوند کارت و رمز را در اختیار فروشنده بگذارند. بانک مرکزی در این حوزه چه کرده است؟
قراردادن دستگاه کارتخوان در معرض دید مشتری به گونهای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است. اگر جایی این الزام رعایت نمیشود از نقطهضعفهای شرکتهای سرویسدهنده و بازرسی آنهاست. این مسئولیت ماست و باید برای رعایت این الزام، فشار بیشتری به شرکتهای ارائهدهنده خدمات پرداخت وارد کنیم. از دیگر سو تا زمانی که مردم با این شکل اشتباه از خدمات استفاده میکنند، پذیرندگان و شرکتها هم چندان رغبتی به تغییر این الگو ندارند. مردم باید کمک کنند این الزام بهخوبی رعایت شود. در سال ٩۵ که قرار است اتصالات بینالمللی داشته باشیم، حتما باید اصلاح این موضوعات نیز مدنظر قرارگیرد.
کارت بانکی
کد مطلب: 11080