ITanalyze

مینا والی - هکر شتاب دستگیر شد. خبر مهمی بود که اواسط هفته گذشته منتشر شد. خبری که اگر صحت داشت یک بحران ملی رخ‌ داده بود. این خبر در پی سخنرانی سردار کمال هادیان‌فر، رییس پلیس فتا در همایش بین‌المللی جرایم سایبری نشر پیدا کرد. هادیان‌فر در این نشست گفته بود: «در یکی از پرونده‌های مهم تشکیل‌شده در پلیس فتا، متوجه نفوذ فردی به یکی از بانک‌های کشور و به دنبال آن نفوذ وی به شبکه شتاب بین‌بانکی شدیم.» صحبت‌هایی که در آن عبارت «هک شبکه شتاب» یا «هکر شتاب» دیده نمی‌شود ‌اما نویسنده خبر از عبارت «نفوذ به شبکه شتاب» برداشت می‌کند که شبکه شتاب هک شده است و با انتشار چنین تیتری باعث ایجاد شبهه در فضای بانکی می‌شود.

قبلاً هم در سال‌های گذشته چندین بار شاهد انتشار اخباری با موضوع هک شبکه شتاب بودیم. نمونه معروفش هم ماجرای افشای اطلاعات کارت‌های بانکی توسط خسرو زارع فرید بود که سروصدای زیادی در فضای بانکی و جامعه ایجاد کرد به‌گونه‌ای که تعداد زیادی از مردم به دلیل هراس از دزدی از حساب‌هایشان به خودپردازها هجوم آوردند تا رمزهای خود را تغییر دهند.

این نوع اخبار هر بار توسط متخصصین امر تکذیب شد. اما پیش از اعلام نظر متخصصین و کارشناسان دیگر کار از کار گذشته بود و شبکه شتاب به دلیل هجوم بیش‌ازحد مردم ازکارافتاده یا کند شده بود. اشتباهی که رسانه‌ها به دلیل عدم شناخت و یا سواد کافی از این حوزه مرتکب می‌شوند علاوه بر پیامدهای آنی آن، پیامدهای طولانی‌مدت نیز دارد ازجمله ایجاد بی‌اعتمادی مردم نسبت به سیستم بانکداری الکترونیکی. اعتمادی که نتیجه سال‌ها تلاش و هزینه‌کرد بانک‌ها و شرکت‌های مختلف فعال در این حوزه است.

اشتباهی که رسانه‌ها درباره انتشار این نوع اخبار مرتکب می‌شوند در مفهوم هک کردن، نفوذ یا کلاهبرداری است. نوش‌آفرین مؤمن واقفی، مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک دراین‌باره توضیح می‌دهد: «در ادبیات امنیت سیستم‎های کامپیوتری، واژه هک به نفوذ و گرفتن دسترسی غیرمجاز به اجزای سرویس اطلاق می‎شود که با استفاده از آسیب‌پذیری سامانه در لایه‌های مختلف نظیر شبکه، برنامه کاربردی، پایگاه داده و نظایر آن امکان‌پذیر می‌شود. درصورتی‌که سرویسی هک شود، تهدیدات گوناگونی ازجمله افشای اطلاعات، تحریف اطلاعات و از دسترس خارج کردن سرویس می‌تواند به‌عنوان نتیجه نفوذ مطرح شود. نفوذگران یا هکرها ممکن است انگیزه‏های مختلفی نظیر کسب درآمد، به چالش کشیدن سازمان‏‏‏‏‏ها و افراد، تفریح شخصی و یا شناسایی نقاط ضعف سیستم یا شبکه به‌منظور کمک به برطرف کردن آن‌ها داشته باشند.»

واقفی درباره مفهوم کلاهبرداری می‌گوید: «در مقابل کلاهبرداری بانکی به مفهوم هرگونه سوء‌استفاده به‌منظور کسب پول، دارایی و یا دیگر اموال متعلق به صاحبان اصلی اموال است. ممکن است در مواردی اطلاعاتی که از نفوذ به سیستم بدست آمده است در کلاهبرداری مورد استفاده قرار گیرد ولی معمولاً در کلاهبرداری (Fraud) بانکی، شخص با دسترسی به اطلاعات کارت با روش‎های گوناگون نظیر جعل درگاه پرداخت پایانه‎ فروش (POS)، استفاده از Skimmerها در دستگاه‎های خودپرداز (نوعی از ابزار که در دستگاه‎های خودپرداز قرار داده می‎شود و اطلاعات کارت از طریق این ابزار در اختیار نفوذگر قرار می‎گیرد)، جعل درگاه پرداخت اینترنتی یا ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی و استفاده از روش‎های اجتماعی، اطلاعات لازم برای انجام یک تراکنش جعلی را به دست می‎آورد. گاه حتی این تهدیدات از طریق شبکه‎ پرداخت پذیرنده و یا از طریق بدافزارها می‎تواند صورت پذیرد، نظیر حمله‎ای که در سال 2014 از طریق شبکه‎ فروشگاه‎های Target در آمریکا، توسط یک بدافزار انجام شد و اطلاعات 40 میلیون کارت اعتباری به سرقت رفت.»

در مورد خبر دستگیری هکر شتاب با توجه به صحبت‌های سردار هادیان‌فر هم متوجه می‌شویم که در جملات از عبارت نفوذ در شبکه شتاب استفاده شده است که این شبهه را ایجاد می‌کند که شبکه شتاب هک شده است.

سرویس شتاب هیچ پایگاه داده‌ای برای نگهداری و ذخیره اطلاعات بانکی افراد ندارد و حتی برفرض هک و دسترسی غیرمجاز به سامانه مرکزی شتاب، ریسک افشای اطلاعات مشتری و سوءاستفاده وجود ندارد و علاوه بر بسیاری کنترل‌های فنی و امنیتی بر اساس استانداردهای بین‌المللی ازجمله PCI ، تمامی الزامات عدم ثبت و ذخیره اطلاعات حساس و محرمانه مشتریان در حین انتقال نیز رعایت می‌شود. این‌ها را مومن واقفی می‌گوید و اشاره می‌کند که بانک‌ها به‌عنوان اعضای شتاب ممکن است گاهی به دلیل سهل‌انگاری و عدم رعایت کنترل‌های امنیتی ضروری سرویس‌های بانکی را با ریسک‌هایی نظیر افشای اطلاعات حساس کارت مشتریان، انجام تراکنش جعلی و نظیر آن مواجه کنند. بنابراین بدیهی است با توجه به اینکه هر یک از بانک‌ها سیستم‌های پرداخت مستقل به خود و رویکرد متفاوتی در پذیرش ریسک‌های امنیتی دارند، مسوولیت هرگونه هک و کلاهبرداری احتمالی به دلیل آسیب‌پذیری سامانه‌های بانک مستقیماً متوجه بانک خواهد بود.

حالا که به گفته مدیر ریسک و امنیت شرکت خدمات انفورماتیک تاکنون شبکه شتاب هک نشده است برگردیم به موضوع کلاهبرداری که گویا موضوع جدی‌تری در بحث امنیت کارت‌های بانکی است. به گفته واقفی عمده کلاه‌رداری‌های مطرح در حوزه کارت‌های بانکی با سوءاستفاده از ضعف اطلاعات کاربران در استفاده و محافظت از کارت‌های بانکی انجام می‌پذیرد. باوجود اعلام مکرر بانک‌ها و اپراتورها مبنی بر اینکه، هرگونه پیامک‌ برنده شدن در مسابقات و درخواست دریافت اطلاعات کارت شما برای انتقال وجه کلاهبرداری است، روزانه تعداد زیادی از مردم قربانی این نوع کلاهبرداری‌ها می‌شوند و بدیهی است در این روش بانک نیز امکان پذیرش مسوولیت را ندارد.

شگردهای به‌کاررفته توسط کلاهبرداران نیز از درخواست‌ ساده برای دریافت اطلاعات حساب مشتری، با تظاهر به هویت یک منبع معتبر تا استفاده از حملات بدافزاری پیچیده‌ (برای دستیابی به اطلاعات کارت) متغیر است. علاوه بر این کلاهبرداران از شگردهایی مانند سرقت اطلاعات کارت، جعل کارت، دستیابی به رمز کارت و یا عدم تحویل پول نقد توسط دستگاه به دارنده کارت و سپس برداشت آن نیز استفاده می‌کنند. جعل درگاه پرداخت اینترنتی با ایجاد یک سایت مشابه با درگاه پرداخت اینترنتی اصلی نیز از سایر مواردی است که می‌توان به آن اشاره کرد.

مومن واقفی برای جلوگیری از سوء‌استفاده کلاهبرداران از کارت‌های بانکی رعایت موارد امنیتی را لازم می‌داند. برخی از این موارد عبارت‌اند از: تغییر کلمه عبور در بازه‌های زمانی، انتخاب کلمه عبور به¬گونه¬ای که به‌سادگی قابل حدس زدن نباشد، افشا نکردن کلمه عبور برای دیگران، اقدام سریع در صورت کشف یا استفاده از کلمه عبور توسط دیگران، یادداشت نکردن کلمه عبور خود درجایی، نگهداری نکردن کارت و رمز عبور در یک جای یکسان، جلوگیری از دسترسی افراد غیرمجاز به کارت، حراست و مواظبت هنگام واردکردن رمز در کارت‌خوان یا خودپرداز، نگهداری سابقه تراکنش چاپ‌شده توسط دارنده کارت، عدم انتخاب گزینه Remember Password در صورت انجام انتقال وجه و عملیات اینترنتی، عدم انتقال کلمه عبور و دیگر اطلاعات حساس کارت از طریق تلفن یا پست الکترونیکی، استفاده از امکان Virtual Keyboard (صفحه‌کلید مجازی) در زمان واردکردن رمز به‌جای صفحه‌کلید فیزیکی رایانه، اطمینان از صحت آدرس سایتی که از طریق آن وارد سیستم بانکداری الکترونیکی شده‌اند، خرید نکردن از سایت‌های ناشناس که از سرویس¬دهنده¬های بانکی معتبر استفاده نمی¬کنند، مشاهده گواهی امنیت سرویس¬دهنده ، به‌روزرسانی آنتی‌ویروس و Anti-Spyware رایانه و فعال نگاه‌داشتن firewall، عدم پاسخ به ایمیل‌هایی که درخواست اطلاعات کارت‌بانکی را می‌کنند و اطلاع به بانک در صورت دریافت چنین ایمیل‌هایی، خودداری از انجام تراکنش مالی آنلاین در صورت وجود برنامه¬های مخرب روی رایانه، توجه به مطالب نوشته‌شده در پنجره¬هایی که به‌صورت خودکار نمایش داده می¬شوند و کلیک نکردن بلافاصله بر روی Ok یا Yes.

متأسفانه شاهد هستیم در برخی موارد رسانه‌نگاران ما درزمینه اطلاع‌رسانی دقت لازم را به کار نمی‌برند و با کاربرد کلمات اشتباه باعث ایجاد بی‌اعتمادی مردم نسبت به شبکه‌های بانکی می‌شوند. مدیر ریسک و امنیت خدمات انفورماتیک نیز ازاین‌گونه اخبار گله‌مند است و می‌گوید: «متأسفانه بارها به دلیل ضعف آشنایی با موارد فنی، برخی دوستان خبرنگار با انتشار اخبار ناصحیح در اعتماد عمومی نسبت به بانکداری الکترونیکی خدشه جدی وارد کرده‌اند و می‌توان به مورد اخیر اشاره کرد که سوءاستفاده‌ای از درگاه پرداخت یک بانک خصوصی صورت گرفته بود که هیچ ارتباطی به‌شتاب نداشت، ولی متأسفانه به دلیل ضعف آشنایی با «شتاب» در جراید و صداوسیما خبر با تفسیر اشتباه «هک شبکه شتاب» مطرح شد! البته سوءبرداشت فوق چندان خالی از انتظار نیست؛ وقتی حتی موجود نبودن پول در دستگاه خودپرداز به‌عنوان مشکل شتاب! مطرح می‌شود. به نظر می‌رسد این وظیفه رسانه‌هاست که در اطلاع‌رسانی دقت بیشتری داشته باشند.» (منبع:عصرارتباط)