مراقب کارتخوان‌های جعلی باشید

قراردادن دستگاه کارت‌خوان در معرض دید مشتری به گونه‌ای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، 99درصد گزارش‌های سوءاستفاده از کارت‌های بانکی مربوط به کارتخوان‌های جعلی است. راه‌های مختلفی برای سوءاستفاده از کارت بانکی دیگران وجود دارد که در همه آنها، دسترسی به جسم کارت و دانستن رمز آن الزامی است. سرقت اطلاعات کارت بانکی افراد با دستگاهی به نام اسکیمر، ازجمله مواردی است که به دور از چشم مشتری سریعا اطلاعات کارت را کپی می‌کند.

داود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک مرکزی، با بیان اینکه بیش از ١٠ سال از حضور اسکیمرها می‌گذرد و حالا نسل جدید دستی آنها هم درست شده است، حفاظت از جسم و رمز کارت بانکی را بهترین و کارآمدترین راه جلوگیری از سوءاستفاده شیادان عنوان می‌کند. وی کارت‌های تراشه‌دار را به‌عنوان جانشین مناسبی برای کارت‌های مگ استریپ معرفی کرده و می‌گوید کارت‌های تراشه‌دار قابلیت کپی‌شدن ندارد؛ اما با توجه به هزینه بالای صدور آنها و وجود ٣٠٠‌ میلیون کارت بانکی در ایران، تغییر یکباره کارت‌های فعلی پرهزینه و سخت خواهد بود. او مدام تأکید دارد مشتریان جسم و رمز کارت را در اختیار کسی نگذارند و برای فرهنگ‌سازی در این زمینه کوشا باشند. در این مورد گفت‌وگویی با وی داشته‌ایم که در ادامه می‌خوانید.

‌بحثی را که درباره کپی‌کردن کارت‌های بانکی و سوءاستفاده از آن وجود دارد، تأیید می‌کنید؟
امکان کپی‌شدن کارت‌هایی که الان در دست افراد است، از طریق ابزارهای مختلفی که اصطلاحا به آن اسکیمر یا کپی‌کننده کارت گفته می‌شود، وجود دارد؛ ولی موضوع این است که امنیت کارت‌هایی که در دست مردم است، از دو حوزه کنترل می‌شود؛ یکی جسم کارت، یعنی آنچه مشتری دارد و دیگری رمز کارت، یعنی آنچه مشتری می‌داند. ازاین‌رو تا زمانی که رمز کارت مشتری لو نرود یا مشتری رمز کارت خود را در اختیار سارق یا سوءاستفاده‌کنندگان نگذارد، امکان استفاده از کارت کپی‌شده وجود ندارد و اگر آن کارت دو یا حداکثر سه بار با رمز اشتباه در درگاه‌های پذیرش استفاده شود، مسدود می‌شود.

مشکلی که دراین‌میان وجود دارد، این است که این سوءاستفاده‌ها عمدتا از مشتریانی صورت می‌گیرد که در نگهداری رمز خود بی‌دقتی می‌کنند؛ افرادی که رمز کارت خود را به‌راحتی برای اقوام، دوستان و یا فروشندگان افشا می‌کنند، طعمه چنین سوءاستفاده‌هایی هستند. ما بارها به مشتریان گوشزد کرده‌ایم که در نگهداری رمز خود وسواس به خرج دهند و حتما هنگام استفاده از کارت بانکی رمز را خودشان وارد کنند؛ اما متأسفانه افراد زیادی دراین‌باره اهمال می‌کنند. به‌هرحال احتمال برای سوءاستفاده وجود دارد؛ اما مشتری با افشانکردن رمز، به‌راحتی می‌تواند از سوءاستفاده جلوگیری کند.

‌راهکار سخت‌افزاری برای ازبین‌بردن قابلیت کپی‌شدن این کارت‌ها چیست؟
بسیاری از کشورها به جای استفاده از کارت‌های فعلی (کارت‌های مگ استریپ) به سمت استفاده از کارت‌های چیپ یا همان کارت‌های هوشمندی که تراشه‌ دارند، رفته‌اند؛ اما موضوع این است که حتی در کشوری مانند آمریکا هم کارت‌های مگ استریپ از رده خارج نشده‌اند و کماکان استفاده می‌شوند. تغییر کارت‌های فعلی به کارت‌های تراشه‌دار مانع از کپی‌شدن می‌شود؛ اما اولا جلوگیری از سوءاستفاده از این کارت‌ها نیز نیازمند رعایت اصولی مانند حفظ رمز از سوی مشتریان است و ثانیا معمولا کشورها با بررسی هزینه‌هایی که در زمینه صدور کارت‌های چیپ وجود دارد، تشخیص می‌دهند که می‌توانند به سمت جایگزینی این کارت‌ها بروند یا نه. هزینه صدور کارت چیپ به حدود ١۵ تا ٢٠‌ هزار تومان می‌رسد؛ در حالی‌که هزینه صدور کارت‌های فعلی دوهزارو ٣٠٠ تومان است.

‌آیا نظام بانکی برنامه‌ای برای روی‌آوردن به این کارت‌ها دارد؟
با توجه

به اینکه قاعدتا در سال جاری ارتباطات بین‌المللی نظام بانکداری ایران گسترش خواهد یافت، ما هم باید به سمت این کارت‌ها برویم. این یکی از موضوعاتی است که در دستورکار بانک مرکزی و شبکه بانکی است. فعلا برخی از بانک‌ها به درخواست مشتری کارت‌های چیپ را صادر می‌کنند و در اختیار مشتری می‌گذارند؛ اما این موضوع باید به‌تدریج اتفاق بیفتد. در کشوری که سرانه کارت بانکی برای افراد حدود چهار کارت برای هر نفر است؛ یعنی حدود ٣٠٠‌ میلیون کارت بانکی وجود دارد، تغییر یکباره کارت‌های مگ استریپ به کارت‌های چیپ، هزینه بسیار بالایی دارد.

‌ آیا با تغییر کارت‌های فعلی به کارت چیپ، پایانه‌های پذیرش هم باید تغییر کنند؟
کارت‌های چیپ هم با همین دستگاه‌ها کار می‌کنند. این کارت‌ها در کشورهایی مانند آمریکا هم حافظه مغناطیسی دارند و هم چیپ. این کارت‌ها امکان استفاده از هر دو روش را دارند؛ اما کارت‌های تراشه‌دار را نمی‌توان مانند کارت‌های فعلی در دستگاه‌های کارت‌خوان کشید؛ بلکه باید وارد دستگاه شود. البته این محل در کارت‌خوان‌ها تعبیه شده است و قابلیت سرویس‌دهی به کارت‌های چیپ را دارند. به‌هرحال این مهاجرت به سمت کارت‌های چیپ، تدریجی خواهد بود و طبیعتا مشتریان باید در نگهداری رمز هر دو نوع کارت کوشا باشند؛ این مهم‌ترین قسمت استفاده از کارت بانکی است.

‌احتمال کپی‌کردن کارت‌های بانکی با اسکیمرها چقدر است؟
برای کپی‌کردن کارت، سارق باید به جسم کارت دسترسی پیدا کند. ما به همه بانک‌ها گفته‌ایم که روی ورودی همه دستگاه‌های خودپرداز، آنتی‌اسکیمر نصب کنند. طبق آمارهایی که داریم، تقریبا ٨۵درصد دستگاه‌های خودپرداز آنتی‌اسکیمر نصب کرده‌اند. ١۵درصد باقی‌مانده هم پیگیری می‌شود که به‌زودی مجهز شوند. بااین‌حساب احتمال اسکیم کارت روی درگاه دستگاه‌های خودپرداز بسیار کم است. اما حالا اسکیمرهای بسیار کوچکی هستند که کف دست جا می‌شوند و افراد می‌توانند با گرفتن کارت بانکی در یک فاصله زمانی بسیار اندک کارت را کپی کنند.

این اسکیمرهای دستی بدون اینکه به جایی وصل باشند می‌توانند کارتی که به آنها نزدیک می‌شود را کپی کنند پس مردم حتی جسم کارت را نیز نباید به افراد ناشناس بدهند چون این اولین قدم برای کپی‌شدن کارت است. روی پایانه‌های فروشگاهی که به شبکه متصل نیستند نیز ممکن است اسکیم کارت انجام شود. بسیار دیده شده که مشتری کارت خود را به‌راحتی در اختیار پذیرنده قرار می‌دهد و او کارت و رمز را به جایی که از دید مشتری پنهان است می‌برد و رسید را می‌آورد. در این رفت‌وبرگشت امکان کپی وجود دارد. بنابراین مشتریان وقتی به فروشگاه‌ها مراجعه می‌کنند حتما باید خودشان کارت را بکشند و رمز را وارد کنند. دستگاه‌هایی که به شبکه وصل نیستند آرم شاپرک یا شرکت ارائه‌دهنده سرویس یا نماد بانک را ندارند و مشتریان به‌راحتی می‌توانند تشخیص بدهند که این دستگاه به شبکه متصل است یا نه. مهم‌ترین مسئله این است که اگر مشتریان رمز کارت را در اختیار افراد قرار ندهند حتی با وجود کپی‌شدن کارت باز هم خطری متوجه آنها نیست چراکه معمولا در تمام درگاه‌ها، واردکردن حداکثر سه‌بار رمز غلط، کارت را مسدود می‌کند.

‌چرا کارت‌خوان متصل به شبکه، امکان نصب اسکیمر ندارد؟
اینکه من گفتم روی دستگاه‌های متصل به شبکه، کارت کپی نمی‌شود، به‌دلیل کنترل و نظارت شرکت‌های سرویس‌دهنده پرداخت است. با توجه به اینکه تمام شرکت‌های ارائه‌دهنده سرویس پرداخت در بررسی‌های دوره‌ای و میدانی از پایانه‌های فروش، کنترل می‌کنند که آیا روی این دستگاه‌ها اسکیمر نصب شده است یا نه؛ از دیگر سو به دلیل شکل دستگاه‌های کارت‌خوان و با توجه به استانداردهایی که دارند، نصب اسکیمر روی آنها کار ساده‌ای نیست. نمی‌توانم بگویم قطعا این اتفاق نمی‌افتد اما احتمالش بسیار کم است. معمولا مواردی که سوءاستفاده از کارت به ما یا پلیس فتا منعکس شده، بیش از ٩٩ درصد مربوط به دستگاه‌های پوز جعلی بوده که به شبکه وصل نبوده است. حداقل به ما مواردی از پوزهای متصل به شبکه منعکس نشده

است.
‌
چقدر احتمال دارد اسکیمر به دستگاه وصل کنند اما مشتری خودش رمز را بزند و آنها به روش‌های دیگر رمز را پیدا کنند؟
بسته به نوع پوزهایی که در شبکه استفاده می‌شود، این احتمال متغیر است. برخی از پوزها استانداردهای PCI PED وPCI PTF و انطباق با EMV دارند که به محض نصب نرم‌افزار یا سخت‌افزار جدید، دستگاه را غیرفعال می‌کند و پذیرنده مجبور است با شرکت سرویس‌دهنده تماس بگیرد. با توجه به اتصالاتی که کشور در سال جاری با محیط بین‌الملل برقرار خواهد کرد، آماری از پایانه‌های فروشگاهی گرفته‌ایم که ۵٠ درصد پوزها مجهز به این استانداردها هستند اما در مورد بقیه پوزها، این احتمال وجود دارد منتها حتی در مورد اینها هم با توجه به ماهیت فیزیکی و ساختار آن، نصب اسکیمر سخت است و نیازمند همکاری دارنده پوز و سارق است اما با توجه به اینکه فروشنده در قبال دریافت دستگاه پوز، تعهدی به شرکت سرویس‌دهنده و بانک می‌دهد که بر عملکرد دستگاه نظارت کند و نزد بانک هم حساب دارد، ریسک سوءاستفاده را نمی‌پذیرد.

‌تعداد این کارت‌های کپی‌شده با اسکیمر چقدر بوده است؟ آماری دارید؟
متأسفانه من این آمار را در دسترس ندارم اما می‌توانم بگویم بسیار بسیار کم است.

‌چقدر می‌توانید سوءاستفاده‌ها را پیگیری کنید؟
با توجه به اینکه اکثر بانک‌ها خدمات ارسال پیامک را به مشتریان ارائه می‌دهند، مشتری به محض تغییر روی حساب، آگاه می‌شود و می‌تواند با استفاده از تلفن‌بانک یا سایت، کارت را مسدود کند. محدودیت‌هایی هم که برای برداشت از کارت‌خوان‌ها در شبکه اعمال شده است نیز برای به‌حداقل‌رساندن زیان ناشی از این بی‌احتیاطی‌هاست.

‌با توجه به اینکه این اتفاقات می‌تواند روی ذهنیت مردم و سابقه بانک‌ها تأثیر منفی زیادی داشته باشد، تاکنون برای مقابله با آنها چه کرده‌اید و چه برنامه‌ای برای آینده دارید؟
این، اتفاق جدیدی نیست. بیش از ١٠ سال از ظهور اسکیمرها و تکامل این نوع سوءاستفاده‌ها می‌گذرد. هر کسی که از خدمات پرداخت الکترونیک استفاده می‌کند، قاعدتا باید از ریسک‌های آن هم مطلع باشد. اولین کار مردم، اطلاع‌یابی از ریسک‌هاست؛ تمام بانک‌ها اطلاعات و تذکرات لازم درباره استفاده از خدمات الکترونیک را به روش‌های مختلف به مشتریان می‌دهند. تمرکز بانک مرکزی، شبکه بانکی در همکاری با معاونت پیشگیری قوه قضائیه و پلیس فتا روی اطلاع‌رسانی و فرهنگ‌سازی بوده است. در این راستا بانک‌ها ملزم شده‌اند به روش‌های مختلف این اطلاعات را در اختیار مردم بگذارند.

در بخش زیرساخت و استانداردهای امنیتی، اتفاقاتی در محدودکردن برخی از تراکنش‌ها افتاد و سقف برداشت از طریق دستگاه کارت‌خوان به ۵٠ میلیون تومان رسید تا احتمال زیان به مشتریان از این بابت کاهش پیدا کند، منتها اگر مشتری حداقل‌ها را رعایت نکند، تمام اقداماتی که کل دست‌اندرکاران این حوزه انجام می‌دهند، بی‌تأثیر است. کسی نمی‌تواند بدون دانستن قوانین راهنمایی و رانندگی و بدون یادگیری رانندگی، پشت خودرو بنشیند. استفاده از کارت‌های بانکی هم ریسک‌هایی دارد که با رعایت حداقل‌ها، از بین می‌روند و مشتری باید به رعایت این حداقل‌ها پایبند باشد.
‌
بسیاری از مشتریان به حفظ رمز و جسم کارت خود پایبند هستند اما در بسیاری موارد به دلیل عدم دسترسی به دستگاه‌های کارت‌خوان فروشگاهی مجبور می‌شوند کارت و رمز را در اختیار فروشنده بگذارند. بانک مرکزی در این حوزه چه کرده است؟
قراردادن دستگاه کارت‌خوان در معرض دید مشتری به گونه‌ای که مشتری بتواند شخصا از آن استفاده کند از الزامات بانک مرکزی است. اگر جایی این الزام رعایت نمی‌شود از نقطه‌ضعف‌های شرکت‌های سرویس‌دهنده و بازرسی آنهاست. این مسئولیت ماست و باید برای رعایت این الزام، فشار بیشتری به شرکت‌های ارائه‌دهنده خدمات پرداخت وارد کنیم. از دیگر سو تا زمانی که مردم با این شکل اشتباه از خدمات استفاده می‌کنند، پذیرندگان و شرکت‌ها هم چندان رغبتی به تغییر این الگو ندارند. مردم باید کمک کنند این الزام به‌خوبی رعایت شود. در سال ٩۵ که قرار است اتصالات بین‌المللی داشته باشیم، حتما باید اصلاح این موضوعات نیز مدنظر قرار‌گیرد.
کارت بانکی