mahdishata
25-08-2010, 11:37
این روزها سرقت از کارت های بانکی به موضوع داغی بدل شده که از یک سو امنیت سیستم بانکی کشور را زیر سوال برده و از سوی دیگر سوءظن مشتریان را به استفاده از سرویس های الکترونیکی تشدید کرده است.
به گزارش عصر ارتباط، بعد از دست به دست شدن ایمیلی مبنی بر خالی شدن کارتهای بانکی برخی از مشتریان توسط جیببرها و انتشار اخبار غیررسمی که هـک شدن نظام بانکی کشور را نشانه میگرفت، اعلام نظر رسمی بانک مرکزی و مسوولان بانکهای کشور در این زمینه انتظار غیرمعمولی نبود. اما این موضوع هرگز توسط آنها به کلی رد یا تایید نشد.
بهرغم بیمیلی سیستم بانکی برای دامن زدن به این خبر، این موضوع گوشهای از افکار عمومی را به خود مشغول کرد و رو در رو نشدن مسوولان با این پدیده هم نگرانیها را دوچندان کرد.
براساس گزارشهای منتشر شده طی یک ماه گذشته تعداد زیادی پرونده جیببری در کلانتریها تشکیل شده که در آنها مالباختگان گفتهاند ظرف کمتر از یک ساعت از ربوده شدن کیف و مدارکشان، کارتهای بانکی آنها خالی شده است.
اين اتفاق در حالي روی داده كه اكثر اين افراد گفتهاند شماره رمز كارت خود را روي كارت يا جاي ديگري ننوشته بودند. براساس استعلامهايي كه از بانكهاي صادركننده اين كارتها صورت گرفت، مشخص شد كه سارقان بدون سعي و خطا و در اولين باري كه رمز كارت را وارد کردهاند، توانستهاند وارد سيستم بانكي شوند. طبق این گزارش، حتی تعویض رمز کارت توسط صاحب کارت نیز نمیتواند جلوی سرقت را بگیرد، زیرا شبکه سارقان به رمز جدید نیز دست خواهند یافت. این درحالی است که یکی از مسوولان بانکی این کار را فرضی محال میداند چرا که در صورت -- در یک لحظه میتوان با تغییر رمز، امکان دسترسی سارق به رمز کارت را از بین برد زیرا برای دسترسی مجدد به رمز جدید شبکه باید یک بار دیگر هـک شود.
همچنین برخی از کارشناسان معتقدند که ديتابيس واحدي از شمارهحسابهاي بانکي و رمز کارتهاي بانکي وجود ندارد که بتوان آن ديتابيس را هـک و به شماره حسابها و رمز کارت دسترسي پيدا کرد. به گفته آنها چنين ديتابيسي حتی در شتاب (شبکه تبادل اطلاعات بین بانکی) هم وجود ندارد. پس از نظر فني امکان هـک کردن شماره حسابها و رمز تمامي کارتهاي بانکي غیرممکن است. در واقع هر بانکي براي خود ديتابيس مجزايي دارد و احتمال هـک کردن تمامي ديتابيس بانکها در يک زمان محال است.
بر اساس گزارش های غیررسمی منتشر شده روی شبکه اینترنت، سارقان پس از سرقت كارتهاي بانكي مقداري از موجودي را به صورت نقدی از خودپردازها دريافت كردهاند و پس از مشخص شدن موجودي كارت با مراجعه به مغازههاي طلافروشي اقدام به خريد طلا کردند تا بدينترتیب هيچ اثري از خود به جاي نگذارند. با توجه به اينكه سقف برداشت روزانه از كارتهاي شتاب پنج ميليون تومان است، سارقان در همان ساعات اوليه ميتوانند اين موجودي را از كارت برداشت کنند. بدين ترتيب در صورتي كه صاحب كارت متوجه سرقت كارت خود شود احتمالا پيش از آنكه بتواند كارت خود را مسدود کند، تمامي موجودي وي از كارتش برداشت شده است.
آنطور كه مهرداد اميدي معاون مبارزه با جرایم رايانهاي پليس آگاهي ناجا گفته چهار هكر ايراني كه پنج ميليارد تومان از بانكهاي كشور سرقت كرده بودند، دستگير شدهاند. اين چهار هكر در سه مرحله با نفوذ به شبكههاي بانكي كشور، موفق به برداشت پنج ميليارد تومان پول شده بودند كه توسط پليس آگاهي ناجا شناسايي و دستگير شدند. بهدلايل امنيتي، بانكها هيچگاه اطلاعات كاملي درباره ميزان سوءاستفاده هكرها و سارقان از اين نوع كارتها منتشر نميكنند، با اين وجود برخي اطلاعيههاي صادره از سوي بانكها نشان ميدهد كه فراگير شدن اين روشها نيز گسترده است.
بانک مرکزی به دنبال راهکار میگردد
مهران شریفی مدیرکل اداره نظامهای پرداخت بانک مرکزی در واکنش به این موضوع به عصر ارتباط، گفت: «برخی از اشخاص سودجو با پی بردن به رمز حسابهای تعدادی از مشتریان بانکی، موجودی این افراد را برداشت کردهاند.»
او در پاسخ به اینکه آیا کارتهایی که رمزشان -- شده متعلق به یک بانک خاص بوده یا خیر؟ گفت: «این کارتها مختص یک بانک نبوده و کارت بانکهای مختلف بوده است.»
به گفته وی، در شتاب کارت هر بانکی را میتوان روی خودپرداز بانک دیگری مورد استفاده قرار داد و زمانی که شخص از طریق خودپرداز یک بانک به رمز کارت افراد پی میبرد، این امکان برای کارتهای دیگر هم وجود دارد.
شریفی با بیان اینکه این اتفاق در وسعت خیلی کمی روی داده و به سرعت هم سارقان شناسایی و دستگیر شدهاند، گفت: «نمیخواهیم اطمینان عمومی به سیستم کارتهای بانکی خدشهدار شود، از این رو به دنبال راهکاریم و در حال بررسی و مذاکره با بانکها هستیم.»
ضعف فنی تایید شد
حمید منصوری رییس کارگروه امنیت بانکداری الکترونیکی در این باره معتقد است که رشد امنیت در بانکهای کشور همگام با رشد استفاده از بانکداری الکترونیکی نیست و نقاط ضعفی وجود دارد که از نظر فنی قابل تایید است.
او مشتریان بانکها را به دلیل سهلانگاری در بیتوجهی به مسایل امنیتی بیتقصیر نمیداند، چراکه بسیاری از آنها رمزشان را در کنار کارت بانکیشان نگه میدارند.
تاریخ اعتبار کارتهای بانکی مختلف متفاوت است؛ برخی از کارتها تا سه سال و برخی نیز تا پنج سال اعتبار دارند. در حالی که به گفته منصوری در یک روال منظم کارتها باید در یک فرآیند دو ساله عوض شوند و مشتری هنگامی که برای اولین بار از کارتش استفاده میکند باید رمز آن را تغییر دهد.
البته او شگرد سرقت از کارتهای بانکی را که در این گزارش آمده بعید میداند، مگر آنکه سارقان به رمزهای بانکی دسترسی داشته باشند که این امر اتفاق دور از انتظاری است چراکه برای دسترسی به رمز بانکها باید از لایههای مختلف امنیتی عبور کرد. با این حال او میگوید امکان نفوذ همیشه وجود دارد.
منصوری، امکان سرقت الکترونیکی و اینترنتی به صورت مجازی را مساوی با صفر نمیداند و معتقد است که در فضای مجازی حدود و ثغوری برای تراکنشها وجود دارد.
او با اشاره به سند امنیت بانکداری الکترونیکی، گفت: «براساس این سند بانکها دائما باید تست نفوذ انجام دهند و این کار را جدی بگیرند. حتی لازم است طبق این سند سازمان امنیت فناوری اطلاعات تشکیل دهند تا مانند حراست فیزیکی که از شعب صورت میگیرد، حراست بانکها در محیط مجازی هم کامل شود. اما بانکها کمتر حاضرند برای چنین نرمافزارهایی هزینه کنند.»
فقر فرهنگی
شاید بتوان بخشی از مشکلاتی را که در زمینه استفاده از بانکداری الکترونیکی وجود دارد ناشی از عدم فرهنگسازی صحیح در سطح جامعه دانست. در واقع عدم اطمینانی که به استفاده از این سرویسها در بین مردم وجود دارد از عدم فرهنگسازی صحیح آن نشات میگیرد.
آمار دقیقی از نرخ جرایمی که در زمینه -- کردن سیستمهای بانکی صورت میگیرد، وجود ندارد. به گفته رضا جعفری سرپرست دادسرای ویژه رسیدگی به جرایم رایانهای، آمار متمرکزی وجود ندارد و آمار این دادسرا با نیروی انتظامی بعضا متفاوت است، چون ممکن است تمام شکایتها منجر به تشکیل پرونده نشود یا پرونده با منع تعقیب مواجه شده یا آنکه در بخشهای مختلف پرونده تشکیل شود.
اما این مقام قضایی هم تاکید میکند در پروندههای بانکی که در این دادسرا مورد رسیدگی قرار گرفته لزوما سارقان به رمز کارت افراد دسترسی نداشتهاند و تنها با داشتن شماره کارت توانستهاند موجودی حسابها را خالی کنند.
سطح امنیت بانکها ضعیف است
یکی از هکرهایی که سایت بانکهای کشور را مورد بررسی قرار داده، در گفتگو با خبرنگار ما احتمال -- شدن سیستم بانکی کشور را بعید ندانست و گفت: «با وجود آنکه مسوولان بانکی اعلام میکنند که دیتابیس واحدی وجود ندارد و دیتابیس بانکها مجزا از یکدیگر است اما در هر صورت شتاب باید یک دیتابیس کامل داشته باشد، چون هر درخواستی را نمیتواند به بانکی خاصی بفرستد.»
به گفته این هکر، بانکها از لحاظ امنیتی در سطح بالایی قرار ندارند. به عنوان مثال در داخل شعب از وایرلس استفاده میکنند در حالی که میتوان قفل آن را شکست و به شبکه نفوذ کرد. به گفته وی، معمولا سرور بانک باید فقط سایت بانک و تراکنشها را کنترل و پشتیبانی کند در حالی که سروری که بانکها از آن استفاده میکنند حتی سایتهای اطلاعرسانی و دیگر سایتها را هم پشتیبانی میکند که این موضوع در سطح امنیت بانکها خدشه ایجاد میکند. یکی دیگر از شگردهای سارقان برای دستبرد زدن به حسابهای بانکی افراد استفاده از اسکنرهای خاصی است که از روی کارتهای بانکی کپی میگیرد. در واقع تعداد محدودی کارتهای خام بانکی وجود دارد که برخی از افراد سودجو به آن دسترسی دارند و از طریق این اسکنرها اطلاعات کارت بانکی را روی کارت خام کپی میکنند. البته به دلیل گران بودن این نوع اسکنر و از طرفی با بالاتر رفتن امنیت کارتهای بانکی، چنین شگردی چندان متداول نیست.
اخیرا تعدادی از بانکهای کشور هم اطلاعیههایی را از بخشهای انتظامی دریافت کردهاند مبنی بر اینکه دستگاههای خودپردازشان را به صورت مداوم باید تست و کنترل کنند.
اشکال در سیستمهای امنیتی بانکها به قدری جدی است که حتی هفته گذشته یک هکر ایرانی برای هشدار به یکی از بانکهای خصوصی از طریق اینترنت به سیستم امنیتی بانک نفوذ کرد و حدود چهار میلیون تومان از حساب یکی از مشتریان را به حساب شخصی خود واریز و دوباره به همان حساب برگرداند. بنا به نوشته روزنامه ایران، این جوان 28ساله پس از انتقال به دادسرا تحت بازجویی قرار گرفت و گفت: «به هیچ عنوان قصد سرقت نداشتم. فقط میخواستم به مسوولان بانک هشدار دهم که سیستمهای امنیتیشان اشکال دارد و قابل نفوذ و دسترسی است. به همین خاطر هم دقایقی پس از -- سیستم و برداشت پول دوباره آن را به حساب برگرداندم.»
هماکنون تعداد کارتهاي صادر شده از سوي شبکه بانکي کشور از مرز 90 ميليون کارت عبور کرده اين رقم که از جمعيت کشور نيز بيشتر است موجب حساسيت دارندگان کارت در زمان انتشار چنين اخباري ميشود. از سويي اين تعداد کارت موجب ترغيب دزدان اينترنتي و مجازي براي دسترسي به حساب دارندگان کارتهاي بانکي است.
به گزارش عصر ارتباط، بعد از دست به دست شدن ایمیلی مبنی بر خالی شدن کارتهای بانکی برخی از مشتریان توسط جیببرها و انتشار اخبار غیررسمی که هـک شدن نظام بانکی کشور را نشانه میگرفت، اعلام نظر رسمی بانک مرکزی و مسوولان بانکهای کشور در این زمینه انتظار غیرمعمولی نبود. اما این موضوع هرگز توسط آنها به کلی رد یا تایید نشد.
بهرغم بیمیلی سیستم بانکی برای دامن زدن به این خبر، این موضوع گوشهای از افکار عمومی را به خود مشغول کرد و رو در رو نشدن مسوولان با این پدیده هم نگرانیها را دوچندان کرد.
براساس گزارشهای منتشر شده طی یک ماه گذشته تعداد زیادی پرونده جیببری در کلانتریها تشکیل شده که در آنها مالباختگان گفتهاند ظرف کمتر از یک ساعت از ربوده شدن کیف و مدارکشان، کارتهای بانکی آنها خالی شده است.
اين اتفاق در حالي روی داده كه اكثر اين افراد گفتهاند شماره رمز كارت خود را روي كارت يا جاي ديگري ننوشته بودند. براساس استعلامهايي كه از بانكهاي صادركننده اين كارتها صورت گرفت، مشخص شد كه سارقان بدون سعي و خطا و در اولين باري كه رمز كارت را وارد کردهاند، توانستهاند وارد سيستم بانكي شوند. طبق این گزارش، حتی تعویض رمز کارت توسط صاحب کارت نیز نمیتواند جلوی سرقت را بگیرد، زیرا شبکه سارقان به رمز جدید نیز دست خواهند یافت. این درحالی است که یکی از مسوولان بانکی این کار را فرضی محال میداند چرا که در صورت -- در یک لحظه میتوان با تغییر رمز، امکان دسترسی سارق به رمز کارت را از بین برد زیرا برای دسترسی مجدد به رمز جدید شبکه باید یک بار دیگر هـک شود.
همچنین برخی از کارشناسان معتقدند که ديتابيس واحدي از شمارهحسابهاي بانکي و رمز کارتهاي بانکي وجود ندارد که بتوان آن ديتابيس را هـک و به شماره حسابها و رمز کارت دسترسي پيدا کرد. به گفته آنها چنين ديتابيسي حتی در شتاب (شبکه تبادل اطلاعات بین بانکی) هم وجود ندارد. پس از نظر فني امکان هـک کردن شماره حسابها و رمز تمامي کارتهاي بانکي غیرممکن است. در واقع هر بانکي براي خود ديتابيس مجزايي دارد و احتمال هـک کردن تمامي ديتابيس بانکها در يک زمان محال است.
بر اساس گزارش های غیررسمی منتشر شده روی شبکه اینترنت، سارقان پس از سرقت كارتهاي بانكي مقداري از موجودي را به صورت نقدی از خودپردازها دريافت كردهاند و پس از مشخص شدن موجودي كارت با مراجعه به مغازههاي طلافروشي اقدام به خريد طلا کردند تا بدينترتیب هيچ اثري از خود به جاي نگذارند. با توجه به اينكه سقف برداشت روزانه از كارتهاي شتاب پنج ميليون تومان است، سارقان در همان ساعات اوليه ميتوانند اين موجودي را از كارت برداشت کنند. بدين ترتيب در صورتي كه صاحب كارت متوجه سرقت كارت خود شود احتمالا پيش از آنكه بتواند كارت خود را مسدود کند، تمامي موجودي وي از كارتش برداشت شده است.
آنطور كه مهرداد اميدي معاون مبارزه با جرایم رايانهاي پليس آگاهي ناجا گفته چهار هكر ايراني كه پنج ميليارد تومان از بانكهاي كشور سرقت كرده بودند، دستگير شدهاند. اين چهار هكر در سه مرحله با نفوذ به شبكههاي بانكي كشور، موفق به برداشت پنج ميليارد تومان پول شده بودند كه توسط پليس آگاهي ناجا شناسايي و دستگير شدند. بهدلايل امنيتي، بانكها هيچگاه اطلاعات كاملي درباره ميزان سوءاستفاده هكرها و سارقان از اين نوع كارتها منتشر نميكنند، با اين وجود برخي اطلاعيههاي صادره از سوي بانكها نشان ميدهد كه فراگير شدن اين روشها نيز گسترده است.
بانک مرکزی به دنبال راهکار میگردد
مهران شریفی مدیرکل اداره نظامهای پرداخت بانک مرکزی در واکنش به این موضوع به عصر ارتباط، گفت: «برخی از اشخاص سودجو با پی بردن به رمز حسابهای تعدادی از مشتریان بانکی، موجودی این افراد را برداشت کردهاند.»
او در پاسخ به اینکه آیا کارتهایی که رمزشان -- شده متعلق به یک بانک خاص بوده یا خیر؟ گفت: «این کارتها مختص یک بانک نبوده و کارت بانکهای مختلف بوده است.»
به گفته وی، در شتاب کارت هر بانکی را میتوان روی خودپرداز بانک دیگری مورد استفاده قرار داد و زمانی که شخص از طریق خودپرداز یک بانک به رمز کارت افراد پی میبرد، این امکان برای کارتهای دیگر هم وجود دارد.
شریفی با بیان اینکه این اتفاق در وسعت خیلی کمی روی داده و به سرعت هم سارقان شناسایی و دستگیر شدهاند، گفت: «نمیخواهیم اطمینان عمومی به سیستم کارتهای بانکی خدشهدار شود، از این رو به دنبال راهکاریم و در حال بررسی و مذاکره با بانکها هستیم.»
ضعف فنی تایید شد
حمید منصوری رییس کارگروه امنیت بانکداری الکترونیکی در این باره معتقد است که رشد امنیت در بانکهای کشور همگام با رشد استفاده از بانکداری الکترونیکی نیست و نقاط ضعفی وجود دارد که از نظر فنی قابل تایید است.
او مشتریان بانکها را به دلیل سهلانگاری در بیتوجهی به مسایل امنیتی بیتقصیر نمیداند، چراکه بسیاری از آنها رمزشان را در کنار کارت بانکیشان نگه میدارند.
تاریخ اعتبار کارتهای بانکی مختلف متفاوت است؛ برخی از کارتها تا سه سال و برخی نیز تا پنج سال اعتبار دارند. در حالی که به گفته منصوری در یک روال منظم کارتها باید در یک فرآیند دو ساله عوض شوند و مشتری هنگامی که برای اولین بار از کارتش استفاده میکند باید رمز آن را تغییر دهد.
البته او شگرد سرقت از کارتهای بانکی را که در این گزارش آمده بعید میداند، مگر آنکه سارقان به رمزهای بانکی دسترسی داشته باشند که این امر اتفاق دور از انتظاری است چراکه برای دسترسی به رمز بانکها باید از لایههای مختلف امنیتی عبور کرد. با این حال او میگوید امکان نفوذ همیشه وجود دارد.
منصوری، امکان سرقت الکترونیکی و اینترنتی به صورت مجازی را مساوی با صفر نمیداند و معتقد است که در فضای مجازی حدود و ثغوری برای تراکنشها وجود دارد.
او با اشاره به سند امنیت بانکداری الکترونیکی، گفت: «براساس این سند بانکها دائما باید تست نفوذ انجام دهند و این کار را جدی بگیرند. حتی لازم است طبق این سند سازمان امنیت فناوری اطلاعات تشکیل دهند تا مانند حراست فیزیکی که از شعب صورت میگیرد، حراست بانکها در محیط مجازی هم کامل شود. اما بانکها کمتر حاضرند برای چنین نرمافزارهایی هزینه کنند.»
فقر فرهنگی
شاید بتوان بخشی از مشکلاتی را که در زمینه استفاده از بانکداری الکترونیکی وجود دارد ناشی از عدم فرهنگسازی صحیح در سطح جامعه دانست. در واقع عدم اطمینانی که به استفاده از این سرویسها در بین مردم وجود دارد از عدم فرهنگسازی صحیح آن نشات میگیرد.
آمار دقیقی از نرخ جرایمی که در زمینه -- کردن سیستمهای بانکی صورت میگیرد، وجود ندارد. به گفته رضا جعفری سرپرست دادسرای ویژه رسیدگی به جرایم رایانهای، آمار متمرکزی وجود ندارد و آمار این دادسرا با نیروی انتظامی بعضا متفاوت است، چون ممکن است تمام شکایتها منجر به تشکیل پرونده نشود یا پرونده با منع تعقیب مواجه شده یا آنکه در بخشهای مختلف پرونده تشکیل شود.
اما این مقام قضایی هم تاکید میکند در پروندههای بانکی که در این دادسرا مورد رسیدگی قرار گرفته لزوما سارقان به رمز کارت افراد دسترسی نداشتهاند و تنها با داشتن شماره کارت توانستهاند موجودی حسابها را خالی کنند.
سطح امنیت بانکها ضعیف است
یکی از هکرهایی که سایت بانکهای کشور را مورد بررسی قرار داده، در گفتگو با خبرنگار ما احتمال -- شدن سیستم بانکی کشور را بعید ندانست و گفت: «با وجود آنکه مسوولان بانکی اعلام میکنند که دیتابیس واحدی وجود ندارد و دیتابیس بانکها مجزا از یکدیگر است اما در هر صورت شتاب باید یک دیتابیس کامل داشته باشد، چون هر درخواستی را نمیتواند به بانکی خاصی بفرستد.»
به گفته این هکر، بانکها از لحاظ امنیتی در سطح بالایی قرار ندارند. به عنوان مثال در داخل شعب از وایرلس استفاده میکنند در حالی که میتوان قفل آن را شکست و به شبکه نفوذ کرد. به گفته وی، معمولا سرور بانک باید فقط سایت بانک و تراکنشها را کنترل و پشتیبانی کند در حالی که سروری که بانکها از آن استفاده میکنند حتی سایتهای اطلاعرسانی و دیگر سایتها را هم پشتیبانی میکند که این موضوع در سطح امنیت بانکها خدشه ایجاد میکند. یکی دیگر از شگردهای سارقان برای دستبرد زدن به حسابهای بانکی افراد استفاده از اسکنرهای خاصی است که از روی کارتهای بانکی کپی میگیرد. در واقع تعداد محدودی کارتهای خام بانکی وجود دارد که برخی از افراد سودجو به آن دسترسی دارند و از طریق این اسکنرها اطلاعات کارت بانکی را روی کارت خام کپی میکنند. البته به دلیل گران بودن این نوع اسکنر و از طرفی با بالاتر رفتن امنیت کارتهای بانکی، چنین شگردی چندان متداول نیست.
اخیرا تعدادی از بانکهای کشور هم اطلاعیههایی را از بخشهای انتظامی دریافت کردهاند مبنی بر اینکه دستگاههای خودپردازشان را به صورت مداوم باید تست و کنترل کنند.
اشکال در سیستمهای امنیتی بانکها به قدری جدی است که حتی هفته گذشته یک هکر ایرانی برای هشدار به یکی از بانکهای خصوصی از طریق اینترنت به سیستم امنیتی بانک نفوذ کرد و حدود چهار میلیون تومان از حساب یکی از مشتریان را به حساب شخصی خود واریز و دوباره به همان حساب برگرداند. بنا به نوشته روزنامه ایران، این جوان 28ساله پس از انتقال به دادسرا تحت بازجویی قرار گرفت و گفت: «به هیچ عنوان قصد سرقت نداشتم. فقط میخواستم به مسوولان بانک هشدار دهم که سیستمهای امنیتیشان اشکال دارد و قابل نفوذ و دسترسی است. به همین خاطر هم دقایقی پس از -- سیستم و برداشت پول دوباره آن را به حساب برگرداندم.»
هماکنون تعداد کارتهاي صادر شده از سوي شبکه بانکي کشور از مرز 90 ميليون کارت عبور کرده اين رقم که از جمعيت کشور نيز بيشتر است موجب حساسيت دارندگان کارت در زمان انتشار چنين اخباري ميشود. از سويي اين تعداد کارت موجب ترغيب دزدان اينترنتي و مجازي براي دسترسي به حساب دارندگان کارتهاي بانکي است.