فیشینگ و اسکیمینگ در کمین هستند

به گزارش (Banker)، حالا چند سالی است بخشی از اخبار، مربوط به سرقت اطلاعات کارت‌های عابربانک و هک اینترنتی حساب‌های بانکی در ابعاد مختلف است؛ حساب‌هایی که به لطف یک خط اینترنت، یک دستگاه رایانه و برخی تکنیک‌های مدرن دیگر، در چشم برهم زدنی خالی می‌شوند و گاهی سارقان به قدری سریع عمل می‌کنند که مسدود کردن کارت ممکن نیست. فیشینگ و اسکیمینگ از جمله مشکلاتی است که در مسیر امنیت شبکه بانکی قرار دارد. پدیده‌هایی که فقط مختص سیستم بانکی ایران نیست و شبکه بانکی جهان درگیر الطاف رشد این فناوری است. در این گزارش به چگونگی اجرای این کلاهبرداری و راه‌های جلوگیری از آن پرداخته است.

تفاوت فیشینگ با اسکیمینگ

فیشینگ راهی است که تبهکاران، اطلاعاتی مانند کلمه کاربری، رمز عبور، شماره ۱۶ رقمی عابر بانک، رمز دوم و CVV۲ را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می‌برند. کلاهبرداری فیشینگ از طریق ایمیل‌ها و پیام‌ها انجام می‌شود و قربانیان به‌طور مستقیم اطلاعات حساس و محرمانه خود را در وب‌سایت‌های جعلی که در ظاهر کاملا شبیه وب‌سایت‌های سالم و قانونی است، وارد می‌کنند. حقه فیشینگ، یکی از تکنیک‌های مهندسی اجتماعی برای فریب کاربران است که در آن از ضعف امنیتی یک وب‌سایت استفاده می‌شود.

اما اسکیمینگ یعنی کپی کردن غیرقانونی داده‌های نوار مغناطیسی کارت بانکی روی یک کارت دیگر. اسکیمر هم به فردی گفته می‌شود که به اسکیمینگ (Skimming) اشتغال دارد یا مجرمی که کارش کلاهبرداری از طریق کارت‌های بانکی و استفاده از دستگاه‌های مخصوص این کار است. مجرم این اطلاعات را هنگام مراجعه کاربر به دستگاه خودپرداز یا کارتخوان‌های فروشگاهی، بدون اینکه فرد متوجه شود از او سرقت می‌کند. اسکیمرها به ‌وسیله دوربین کوچکی که بالای دستگاه خودپرداز نصب کرده رمز فرد را سرقت می‌کنند، سپس اقدام به کپی اطلاعات کارت می‌کنند. در بعضی موارد حتی دوربین هم برای خواندن رمز فرد استفاده نمی‌شود و از یک کیبورد جعلی روی کیبورد اصلی استفاده می‌شود که ترتیب فشردن کلیدها را ذخیره می‌کند.

هشدار! هوشیار باشید

علی احمدیان، کارشناسان حوزه بانکداری الکترونیک: چند سالی است دستبرد به حساب‌های بانکی با دستگاه‌های کپی رمز به شدت رواج یافته و تاکنون حساب بانکی صدها نفر از این طریق مورد دستبرد قرار گرفته است. مالباخته‌ها ادعا می‌کنند از طریق پیامکی که به گوشی تلفن همراه‌شان آمده، متوجه برداشت از حساب‌شان شده‌اند.

 از آنجایی که ممکن است شناسایی این نوع کلاهبرداری‌ها کار سختی باشد، شهروندان می‌توانند هنگام خرید و استفاده از دستگاه‌های خودپرداز یا کارتخوان‌های فروشگاهی، اقداماتی را انجام دهند که احتمال سرقت از کارت‌های بانکی‌شان به حداقل برسد. بنابراین به دارندگان کارت‌های بانکی توصیه می‌شود در فروشگاه‌ها و مراکز خرید، رمز کارت خود را خودشان وارد کنند و در اختیار فروشنده قرار ندهند.

به علاوه اینکه باید دستگاه‌های کارتخوان در فروشگاه‌ها برای مشتریان قابل رویت باشد. متاسفانه گرچه همواره بر وارد کردن رمز کارت بانکی توسط دارنده کارت به هنگام استفاده از دستگاه کارتخوان تاکید می‌شود اما در بسیاری از مواقع در عمل این امکان برای مشتریان مهیا نیست؛ در حالی که قوانین بانک مرکزی، پذیرندگان را ملزم به نصب دستگاه کارتخوان در دسترس مشتری می‌کند. در این شرایط، مشتری مجبور است کارت اعتباری خود را به فروشنده بسپارد و حتی رمز چهاررقمی آن را نیز با صدای بلند فریاد بزند. با کمی اندیشیدن به این موضوع، می‌توان به پیامدهای ناخوشایندی که این کار برای دارنده کارت به دنبال دارد، آگاه شد. دارندگان کارت‌های بانکی باید تا حد ممکن از خودپردازهایی استفاده کنند که آنتی‌اسکیمینگ دارند. ضمن اینکه در مواقع بروز مشکل از کمک افرادی که کنار خودپرداز ایستاده‌اند تا حد ممکن خودداری کنند.

 این کارشناس همچنین به افراد این توصیه را می‌کند که از شکل متعارف کارتخوان‌های خودپرداز همچون نبود هرگونه شکستگی یا تغییر شکل اطمینان حاصل کنند، چون این امکان وجود دارد که سارقان، اقدام به نصب دستگاه‌های اسکیمینگ در خودپردازها کرده باشند. با نصب آنتی‌اسکیمینگ‌های فعال در خودپردازها فرهنگ‌سازی و آگاه کردن مردم درباره نحوه استفاده و نگهداری از رمز و کارت می‌توان تا حد قابل‌توجهی از میزان سرقت به این روش کاست.

همان‌طور که استفاده از بانکداری الکترونیک باعث راحتی و اطمینان مردم به این شیوه بانکداری است، وجود تقلب‌های زیاد و غیرمتعارف نیز به همان اندازه و حتی بیشتر مخرب است و باعث می‌شود اقبال عمومی به این شیوه کمتر و اعتماد مردم به میزان زیادی خدشه‌دار شود که البته ترمیم این نبود اطمینان به مراتب سخت‌تر از جلب اعتماد است.

امنیت کارت‌ها را افزایش دهیم

سیامک تقی‌پور، کارشناس امور بانکی: برای مقابله با اسکیمرها این سارقان نامرئی اطلاعات عابر بانک‌ها تنها نمی‌توان تمام مسئولیت را به گردن شهروندان انداخت و تنها به آنها هشدار داد که مراقب کلاهبرداری و هک عابر کارت در خودپرداز‌ها باشند! سیستم بانکی و مسئولان بانک هم در این مراقبت، وظایف و الزاماتی دارند که رعایت آنها می‌تواند راه کلاهبرداری را برای اسکیمرها سد یا حداقل سخت کند. کارت‌های عابر بانک معمولا دارای کیفیت‌های ساخت متفاوتی هستند و از نظر فنی از ۴ تا ۱۶ لایه تشکیل می‌شوند. کارت‌های ۱۶ لایه‌ای دارای موارد امنیتی خاص و بالایی هستند که در کارت‌های معتبر جهانی مانند ویزاکارت نیز مورد استفاده قرارمی‌گیرند. کارت‌های مورد استفاده از ایران از این نوع نیست و برای ایجاد امنیت و جلوگیری از فعلیت این دست از سرقت‌های اطلاعاتی باید سیستم امنیتی کارت‌ها را بالا برد. تهیه این کارت‌ها نیز نیازمند تکنولوژی و دستگاه ویژه است که هزینه تمام شده تولید کارت برای سیستم بانکی کشور را بالا می‌برد. اما در نهایت موثرترین راهکار بالابردن امینت خود کارت‌هاست.

موراد دیگری هم در این بین مطرح می‌شود مانند تجهیز عابر بانک‌ها به سیستم‌های حسگر مخصوص برای استفاده از اثر انگشت به جای وارد کردن اطلاعات از طریق دکمه‌ها یا نصب ضداسکیمینگ در دستگاه‌های عابر بانک که این کار در ۸۰ درصد دستگاه‌ها افتاده است. به علاوه در روش‌های نوین و پیشرفته، علاوه بر نصب حسگرهای لازم، برای جلوگیری از نصب اسکیمر، تجهیزات دیگری قابل نصب است که هنگام برداشت اطلاعات کارت، با ایجاد سیگنال استراسونیک، مانع جمع‌آوری اطلاعات به‌صورت درست و سالم، در اسکیمر شده و پس از پایان عملیات تا هنگام خروج کارت، دستگاه فعال می‌شود و اجازه استخراج اطلاعات را نمی‌دهد. به علاوه رعایت یکسری نکات از سوی بانک‌ها و شرکت‌های مربوط به دستگاه‌های pos بسیاری از مشکلات امنیتی موجود را کاهش می‌دهد. به عنوان نمونه، دستگاه POS در محلی نصب شودد که به راحتی در دسترس مشتری بوده تا مشتری بتواند به سهولت خود نسبت به وارد کردن رمز عبور کارت بانکی به دستگاه اقدام کند و مجبور به ارائه کارت و اعلام رمز به فروشنده نباشد. به علاوه باید در صدور مجوز نصب دستگاه‌ها به متقاضیان بیشتر توجه کرد.

راه‌های مقابله با کلاهبرداری

با این همه باز می‌توان راه‌هایی برای مقابله یافت. الزامات و راهکارهایی که باید از سوی نظام بانکی و مسئولان بانکی کشور اتخاذ شود. درعین حال نقش افراد و شهروندان عادی هم در کاهش و پیشگیری از اینگونه سرقت‌ها کم نیست. اما در بررسی راهکارهای مقابله یا پیشگیری از این نوع سرقت مجازی، کارشناسان به راهکارهایی اشاره می‌کنند.
از جمله اینکه برای جلوگیری از این نوع کلاهبرداری و تخلف، یک قطعه پلاستیک در دریچه ورود کارت دستگاه‌های خودپرداز قرار داده می‌شود. شکل این قطعه پلاستیکی به نوعی است که جلوی این نوع کلاهبرداری را می‌گیرد و در عین حال از سهولت در کاربری خودپرداز نمی‌کاهد. این قطعه با استفاده از استانداردهای امنیتی و برای پوشش امنیتی ساخته شده و در صورتی که هر نوع دستکاری در دریچه کارتخوان به وجود‌اید یا دریچه زیرفشار فیزیکی قرار گیرد، دستگاه خودپرداز از حالت سرویس‌دهی خارج می‌شود. این قطعه در دریچه کارتخوان دستگاه خودپرداز نصب شده و محفظه ورود کارت را پایش می‌کند و هر نوع ورود غیرمجاز و موارد این چنینی را کنترل می‌کند. پس تجهیز دستگاه‌های خودپرداز به Anti Skimmer (ضداسکیمینگ) یکی از راهکارهای سد فعالیت اسکیمرهاست.

در برخی روش‌ها نیز سعی در جلوگیری از امکان نصب اسکیمر در دستگاه مورد نظر است که این نوع تجهیزات Anti Fraud نامیده می‌شوند. در روش‌های پیشرفته آنتی‎اسکیمینگ که استاندارد اروپا نیز است ضمن نصب حسگرهای لازم برای جلوگیری از نصب اسکیمرهایی با فناوری متفاوت، تجهیزات پیشرفته دیگری نصب می‌شود که به‌طور دقیق در زمان نمونه‌برداری اطلاعات کارت، وارد عمل شده و با ایجاد سینگال التراسونیک در مکان موردنظر، در عمل مانع استخراج اطلاعات به‌طور سالم در اسکیمر می‌شود، ضمن اینکه به دستگاه و مکانیسم عملیاتی آن آسیبی وارد نمی‌کند و پس از پایان عملیات در کارتخوان، دوباره در زمان خروج کارت، دستگاه فعال شده و مانع استخراج اطلاعات
 می‌شود.

سخن پایانی

با این همه، تشخیص این روش‌های کلاهبرداری توسط افراد عادی بسیار دشوار است و بانک‌ها برای پیشگیری از چنین اقداماتی باید نکات امنیتی را رعایت کرده و از دستگاه‌های امنیتی بهره ببرند. اما هر یک از ما به‌عنوان شهروندان عادی وظیفه داریم قبل از استفاده از خودپرداز دقیقا آن را بررسی کرده و در صورت احساس وجود موارد مشکوک موضوع را به بانک و پلیس اطلاع دهیم.