به گزارش ایرناپلاس، صحبتها درباره هک بانکی زمانی اوج گرفت که رضا رشیدپور، مجری تلویزیون، پیامکی را از تلاش ناموفق برای ورود به همراه بانکش در فضای مجازی منتشر کرد. بهمن بابازاده، روزنامهنگار نیز از برداشت از حساب بانکیاش در پنجشنبه و صف طولانی دادسرای جرایم رایانهای و فناوری اطلاعات گفته بود. یک کارشناس حوزه پرداخت در این رابطه میگوید به دو دلیل سوءاستفاده از اطلاعات بانکی مردم در تعطیلات اخیر بیشتر شده است.
مهدی عبادی، کارشناس فینتک و پرداخت الکترونیکی گفت: معمولاً این اتفاقات در روزهای تعطیلی میافتد، یعنی زمانی که مردم دسترسی لازم برای پیگیری ندارند. وی با اشاره به فعالسازی رمز دوم یکبار مصرف برای تمامی کارتهای بانکی در آیندهای نزدیک گفت: این امکان ما را امیدوار میکند که سوءاستفاده از اطلاعات بانکی، کمتر شود. هکرها با توجه به فعالسازی رمز دوم پویا در آینده نزدیک، دیگر امکان سوءاستفاده از این اطلاعات را ندارند و به همین دلیل در فرصتی که باقی مانده، تمام تلاششان را میکنند.
تحریم به هکرهای بانکی کمک کرده است؟
تحریمها و بهروز نشدن گواهیهای اپلیکیشنهای پرداخت، در فضای مجازی بهعنوان یکی از دلایل ناامنی این اپلیکیشنها و عامل سوءاستفاده از اطلاعات بانکی افراد، مطرح شده است. با این حال، عبادی میگوید این موضوع نمیتواند در اتفاقات اخیر، تأثیر چندانی داشته باشد. وی در توضیح بیشتر گفت: تحریمها موجب میشود اپلیکیشنهای ایرانی، در مثلاً اپاستور ارائه نشوند و سازندگان آنها، مجبور شوند اپلیکیشنها را از راههای دیگری به کاربرانشان برسانند و در نتیجه، ممکن است کاربر، اپلیکیشن صحیحی را دریافت نکند. البته خیلی دور از ذهن است که این جریان، در اتفاقات اخیر تأثیر داشته باشد.
کارت به کارت، تراکنش امنی نیست
از عبادی پرسیدیم که علت سوءاستفاده از اطلاعات بانکی چیست؟ این کارشناس حوزه پرداخت، علت اصلی را در تراکنش کارت به کارت دانست و گفت: در تراکنشی مانند کارت به کارت، مشکلاتی وجود دارد که امنیت پرداختها را تحت تأثیر قرار میدهد. کارت به کارت، تراکنش استانداردی نیست. ما یک حساب بانکی داریم که به روشهای مختلفی میتوان به آن دسترسی پیدا کرد. خدمات داخل شعب، اجازه برداشت به شخص دیگر یا Direct Debit و همچنین ACH که معادل آن در ایران، ساتنا و پایا است، از راههای دسترسی به حساب بانکی هستند.
وی ادامه داد: این سازوکارهای انتقال وجه، تأخیرهایی را دارند که خطا را پوشش میدهد. در دنیا ابزار کارت، بهصورت کلی، صرفاً برای تراکنشهای دستگاههای کارتخوان یا آنلاین استفاده میشود و ابزار امنی برای انتقال وجه نیست. با این حال، ما در ایران از یک ابزار ناامن به ناامنترین شکل آن استفاده میکنیم. در دنیا، کارتهای چیپدار وجود دارد که امنیت بالاتری دارند، ولی ما از کارت مغناطیسی استفاده میکنیم که امنیت بالایی ندارد. حال ما روی این ابزار ناامن، رمز دوم را هم پیاده کردیم که در دنیا به این صورت وجود ندارد.
چرا کارت خارجیها هک نمیشود؟
این کارشناس حوزه پرداخت درباره تفاوت استفاده از کارت در ایران و سایر کشورها گفت: در دنیا، حسابهای بانکی متفاوتی وجود دارد و پول، در حسابی است که به هیچ کارتی متصل نیست. افراد، بخش کمی از پول مورد نیاز را با سازوکارهای دیگری که در اختیار دارند، به حساب متصل به کارت، منتقل میکنند. در خرید آنلاین هم سازوکاری شبیه به رمز دوم پویا دارند. به همین دلیل، در کشورهای دیگر، چنین اتفاقاتی را نداریم.
وی در همین رابطه اظهار کرد: در دنیا وقتی خریدی در فروشگاه انجام میشود یا پولی منتقل میشود، این پول بین ۴۸ تا ۷۲ ساعت بعد، به مقصد میرسد. در مدت تنفسی که در این بین وجود دارد، تمام امور مربوط به تقلب، تخلف و پولشویی، بررسی میشود. یعنی فرصتی وجود دارد که اگر تراکنشی مشکوک است، یا پولی در حال شسته شدن است، کشف شود. ما نهتنها این سازوکارهای تشخیصی را نداریم، بلکه این تأخیر را نیز از بین بردهایم.
اپلیکیشنهای پرداخت مقصرند؟
از عبادی درباره امنیت اپلیکیشنهای پرداخت، سؤال کردیم. وی به استانداردهای امنیتی اشاره کرد و گفت: در دنیا گفته میشود استانداردهای امنیتی مانند PCI در زمینه اپلیکیشنها وجود دارد که بر اساس آن، حتی برنامهنویس یک اپلیکیشن خاص هم نباید امکان سوءاستفاده از آن را داشته باشد و سازوکارهای امنیتی برای آن وجود دارد. اما در ایران، در حالت کنونی، برنامهنویسهای تمام اپلیکیشنها و تمام بانکهایی که سرویس کارت به کارت دارند، میتوانند بهراحتی به اطلاعات بانکی افراد، دسترسی پیدا کنند. با این حال، اتفاقات کنونی، از این نقطه شروع نشدهاند و از سمت برنامهنویسها و شرکتهای حوزه پرداخت، درز اطلاعاتی نداشتیم.
چرا به کارتهای بانکی حمله شد؟
بعد از این توضیحات، دلیل اتفاقات اخیر را از این کارشناس حوزه پرداخت، جویا شدیم. عبادی به توجه نکردن به سازوکارهای امنیتی در خرید، اشاره کرد و گفت: بعضی از افراد در فضای آنلاین، در هر صفحهای پرداخت انجام میدهند. موردی که باید از آن در هنگام پرداخت آنلاین مطمئن شویم این است که shaparak.ir در آدرس وبسایت وجود داشته باشد. در غیر این صورت، آن آدرس برای پرداخت، امن نیست. اما اکثراً نسبت به این موضع توجه نمیکنند و اطلاعات کارت خود را در یک فضای ناامن وارد میکنند.
وی ادامه داد: در گذشته که کارت به کارت وجود نداشت چه اتفاقی میافتاد؟ چرا حملات فیشینگ بیشتر شده؟ در گذشته، در یک حمله فیشینگ یا ساخت صفحه جعلی بانک، هکر اطلاعات کارت را برمیداشت و حداکثر کاری که میتوانست انجام دهد این بود که مثلاً مقداری شارژ موبایل بخرد و آن را به قیمت پایینتری بفروشد. در این حالت، حداکثر مبلغ یک یا دو میلیون تومان و از ۱۰ عدد کارت بانکی، قابل برداشت بود.
عبادی با توضیح درباره شرایط فعلی گفت: الان با توجه به اینکه اپلیکیشنهای کارت به کارت رایج شدهاند، هکر، عملیات فیشینگ را روی مثلاً ۵۰۰ کارت انجام میدهد، ولی هیچ برداشتی از مبالغ آن نمیکند. سپس در یک شب که معمولاً بعد از چند روز تعطیلی است و امکان پیگیری وجود ندارد، موجودی کارتها را از روشهای مختلف، به حساب خودش کارت به کارت میکند.
وی یکی از روشهای هکرها برای سوءاستفاده از اطلاعات کارتها بانکی را برایمان شرح داد و گفت: باندی خارج از ایران وجود دارد که فیشینگ میکنند، بلیت هواپیما از وبسایتهای بلیتفروشی ایرانی، با مبدأ و مقصد خارج از ایران میخرند و این بلیتها را یا خودشان استفاده میکنند یا میفروشند. بستری که موجب این اتفاق شده، عملیات ناامن و غیراستاندارد کارت به کارت است.
چرا کارت به کارت امن نیست؟
عبادی درباره دلایل ناامنی عملیات کارت به کارت با استفاده از روشهای فعلی گفت: ما پیش از این، عملیات کارت به کارت را در اپلیکیشنهای بانکی و اینترنت بانکها داشتیم، ولی مسئلهای وجود نداشت، زیرا وقتی وارد سیستم میشدیم، فقط کارتهای خودمان را نشان میداد و ما نمیتوانستیم کارت فرد دیگری را بهعنوان کارت مبدأ وارد کنیم و تراکنش انجام دهیم. برای حل این مسئله، اپلیکیشنها میتوانند با توجه به ثبتنام با شماره موبایل یا کد ملی، فهرست کارتهای فرد را نشان دهند و فرد فقط بتواند کارتهای خودش را بهعنوان کارت مبدأ، انتخاب کند.
وی با اشاره به مسئله یکی از بانکها گفت: کارت به کارت باید محدودیتهایی داشته باشد. الان یک محدودیت سه میلیون تومانی در کارت به کارت داریم، ولی برخی از بانکها هستند که این مورد را رعایت نمیکنند. از اپلیکیشن میتوان سه میلیون تومان انتقال داد و از وبسایت بانک هم، همین مقدار را منتقل کرد. خیلی از فیشینگهایی که در این بانک اتفاق میافتد، با استفاده از همین صفحه اینترنتی بانک، انجام میشود.
عبادی با اشاره به استانداردهای جهانی در حوزه پرداخت گفت: ما هر جا از استانداردهای دنیا فاصله گرفتیم، دچار مسئله شدیم. در دنیا سازوکار پرداخت سریع، با روشهای مدیریت ریسک و مبلغ انجام میشود و انتقال سریع، فقط در دسترس کاربران کمریسک است. اما در ایران، بانکها و شرکتهای پرداخت، با اهداف اقتصادی و در اختیار گرفتن سهم بازار، روشهای غیر استاندارد را توسعه میدهند و این مسائل را بهوجود میآورند. در این بین، این مردم، استارتآپها و فینتکها هستند که از مسائل بهوجود آمده، آسیب میبینند.
چگونه از کارتهایمان محافظت کنیم؟
در پایان، از این کارشناس حوزه پرداخت خواستیم تا روشهایی برای جلوگیری از مورد سوءاستفاده قرار گرفتن اطلاعات کارت بانکی را به ما آموزش دهد. عبادی قبل از هر چیز، توجهمان را به وبسایتهای پرداخت آنلاین جلب کرد و گفت: باید دقت کنیم در جایی اطلاعات کارت را وارد کنیم که آدرس آن shaparak.ir باشد.
وی درباره استفاده هوشمندانه از خدمات بانکی گفت: بهتر است در حساب متصل به کارتمان، مبلغ زیادی نداشته باشیم و در عوض، دو حساب در بانک داشته باشیم؛ یک حساب، متصل به کارت و یک حساب، غیر متصل به کارت باشد. اپلیکیشن بانک را هم روی تلفن همراهمان داشته باشیم و هر زمان که پول لازم داریم، مبلغی را با اپلیکیشن به حساب متصل به کارت، منتقل کنیم.
عبادی امنترین روش انتقال پول را روش پایا و ساتنا دانست و گفت: به یاد داشته باشیم، سرعت گرفتن در همه چیز، لزوماً خوب نیست. بهتر است رمز دوم برای همه کارتهایمان فعال نباشد، اما اگر از رمز دوم استفاده میکنیم، رمز دوم پویا را فعال کنیم. امیدواری زیادی وجود دارد که رمز دوم پویا، بخشی از این مسائل را حل کند. دلیل اینکه این روزها حملات فیشینگ بیشتر شده، این است که هکرها میدانند با فعال شده رمز دوم پویا، امکان سوءاستفاده کمتر خواهد شد.
عبادی در نهایت یادآوری کرد که رمز کارت بانکیمان را در فروشگاه فریاد نزنیم؛ حتی اگر فروشنده اجازه ورود رمز را به خودمان نمیدهد. وی گفت: این دعوایی بین مردم و فروشندههاست که مردم باید پیروز آن باشند.