زنگ خطر برای شبکه بانکی کشور/سایه هکرها روی حساب های بانکی افتاد

[mahdishata]

این روزها سرقت از کارت های بانکی به موضوع داغی بدل شده که از یک سو امنیت سیستم بانکی کشور را زیر سوال برده و از سوی دیگر سوءظن مشتریان را به استفاده از سرویس های الکترونیکی تشدید کرده است.

به گزارش عصر ارتباط، بعد از دست به دست شدن ایمیلی مبنی بر خالی شدن کارت‌های بانکی برخی از مشتریان توسط جیب‌برها و انتشار اخبار غیررسمی که هـک شدن نظام بانکی کشور را نشانه می‌گرفت، اعلام نظر رسمی بانک مرکزی و مسوولان بانک‌های کشور در این زمینه انتظار غیرمعمولی نبود. اما این موضوع هرگز توسط آنها به کلی رد یا تایید نشد.

به‌رغم بی‌میلی سیستم بانکی برای دامن زدن به این خبر، این موضوع گوشه‌ای از افکار عمومی را به خود مشغول کرد و رو در رو نشدن مسوولان با این پدیده هم نگرانی‌ها را دوچندان کرد.

براساس گزارش‌های منتشر شده طی یک ماه گذشته تعداد زیادی پرونده جیب‌بری در کلانتری‌ها تشکیل شده که در آنها مالباختگان گفته‌اند ظرف کمتر از یک ساعت از ربوده شدن کیف و مدارکشان، کارت‌های بانکی آنها خالی شده است.

اين اتفاق در حالي روی داده كه اكثر اين افراد گفته‌اند شماره رمز كارت خود را روي كارت يا جاي ديگري ننوشته بودند. براساس استعلام‌هايي كه از بانك‌هاي صادركننده‌ اين كارت‌ها صورت گرفت، مشخص شد كه سارقان بدون سعي و خطا و در اولين باري كه رمز كارت را وارد کرده‌اند، توانسته‌اند وارد سيستم بانكي شوند. طبق این گزارش، حتی تعویض رمز کارت توسط صاحب کارت نیز نمی‌تواند جلوی سرقت را بگیرد، زیرا شبکه سارقان به رمز جدید نیز دست خواهند یافت. این درحالی است که یکی از مسوولان بانکی این کار را فرضی محال می‌داند چرا که در صورت -- در یک لحظه می‌توان با تغییر رمز، امکان دسترسی سارق به رمز کارت را از بین برد زیرا برای دسترسی مجدد به رمز جدید شبکه باید یک بار دیگر هـک شود.

همچنین برخی از کارشناسان معتقدند که ديتابيس واحدي از شماره‌حساب‌هاي بانکي و رمز کارت‌هاي بانکي وجود ندارد که بتوان آن ديتابيس را هـک و به شماره حساب‌ها و رمز کارت‌ دسترسي پيدا کرد. به گفته آنها ‌چنين ديتابيسي حتی در شتاب (شبکه تبادل اطلاعات بین بانکی) هم وجود ندارد. پس از نظر فني امکان هـک کردن شماره حساب‌ها و رمز تمامي کارت‌هاي بانکي غیرممکن است. در واقع هر بانکي براي خود ديتابيس مجزايي دارد و احتمال هـک کردن تمامي ديتابيس بانک‌ها در يک زمان محال است.

بر اساس گزارش های غیررسمی منتشر شده روی شبکه اینترنت، سارقان پس از سرقت كارت‌هاي بانكي مقداري از موجودي را به صورت نقدی از خودپردازها دريافت كرده‌اند و پس از مشخص شدن موجودي كارت با مراجعه به مغازه‌هاي طلافروشي اقدام به خريد طلا کردند تا بدين‌ترتیب هيچ اثري از خود به جاي نگذارند. با توجه به اينكه سقف برداشت روزانه از كارت‌هاي شتاب پنج ميليون تومان است، سارقان در همان ساعات اوليه مي‌توانند اين موجودي را از كارت برداشت کنند. بدين ترتيب در صورتي كه صاحب كارت متوجه سرقت كارت خود شود احتمالا پيش از آنكه بتواند كارت خود را مسدود کند، تمامي موجودي وي از كارتش برداشت شده است.

آنطور كه مهرداد اميدي معاون مبارزه با جرایم رايانه‌اي پليس آگاهي ناجا گفته چهار هكر ايراني كه پنج ميليارد تومان از بانك‌هاي كشور سرقت كرده بودند، دستگير شده‌اند. اين چهار هكر در سه مرحله با نفوذ به شبكه‌هاي بانكي كشور، موفق به برداشت پنج ميليارد تومان پول شده بودند كه توسط پليس آگاهي ناجا شناسايي و دستگير شدند. به‌دلايل امنيتي، بانك‌ها هيچ‌گاه اطلاعات كاملي درباره ميزان سوءاستفاده هكرها و سارقان از اين نوع كارت‌ها منتشر نمي‌كنند، با اين وجود برخي اطلاعيه‌هاي صادره از سوي بانك‌ها نشان مي‌دهد كه فراگير شدن اين روش‌ها نيز گسترده است.

  محتوای مخفی: ادامه... 

بانک مرکزی به دنبال راهکار می‌گردد

مهران شریفی مدیرکل اداره نظام‌های پرداخت بانک مرکزی در واکنش به این موضوع به عصر ارتباط، گفت: «برخی از اشخاص سودجو با پی بردن به رمز حساب‌های تعدادی از مشتریان بانکی، موجودی این افراد را برداشت کرده‌اند.»


او در پاسخ به اینکه آیا کارت‌هایی که رمزشان -- شده متعلق به یک بانک خاص بوده یا خیر؟ گفت: «این کارت‌ها مختص یک بانک نبوده و کارت بانک‌های مختلف بوده است.»


به گفته وی، در شتاب کارت هر بانکی را می‌توان روی خودپرداز بانک دیگری مورد استفاده قرار داد و زمانی که شخص از طریق خودپرداز یک بانک به رمز کارت افراد پی می‌برد، این امکان برای کارت‌های دیگر هم وجود دارد.


شریفی با بیان اینکه این اتفاق در وسعت خیلی کمی روی داده و به سرعت هم سارقان شناسایی و دستگیر شده‌اند، گفت: «نمی‌خواهیم اطمینان عمومی به سیستم کارت‌های بانکی خدشه‌دار شود، از این رو به دنبال راهکاریم و در حال بررسی و مذاکره با بانک‌ها هستیم.»


ضعف فنی تایید شد


حمید منصوری رییس کارگروه امنیت بانکداری الکترونیکی در این باره معتقد است که رشد امنیت در بانک‌های کشور همگام با رشد استفاده از بانکداری الکترونیکی نیست و نقاط ضعفی وجود دارد که از نظر فنی قابل تایید است.


او مشتریان بانک‌ها را به دلیل سهل‌انگاری در بی‌توجهی به مسایل امنیتی بی‌تقصیر نمی‌داند، چراکه بسیاری از آنها رمزشان را در کنار کارت بانکی‌شان نگه می‌دارند.


تاریخ اعتبار کارت‌های بانکی مختلف متفاوت است؛ برخی از کارت‌ها تا سه سال و برخی نیز تا پنج سال اعتبار دارند. در حالی که به گفته منصوری در یک روال منظم کارت‌ها باید در یک فرآیند دو ساله عوض شوند و مشتری هنگامی که برای اولین‌ بار از کارتش استفاده می‌کند باید رمز آن را تغییر دهد.


البته او شگرد سرقت از کارت‌های بانکی را که در این گزارش آمده بعید می‌داند، مگر آنکه سارقان به رمزهای بانکی دسترسی داشته باشند که این امر اتفاق دور از انتظاری است چراکه برای دسترسی به رمز بانک‌ها باید از لایه‌های مختلف امنیتی عبور کرد. با این حال او می‌گوید امکان نفوذ همیشه وجود دارد.


منصوری، امکان سرقت الکترونیکی و اینترنتی به صورت مجازی را مساوی با صفر نمی‌داند و معتقد است که در فضای مجازی حدود و ثغوری برای تراکنش‌ها وجود دارد.


او با اشاره به سند امنیت بانکداری الکترونیکی، گفت: «براساس این سند بانک‌ها دائما باید تست نفوذ انجام دهند و این کار را جدی بگیرند. حتی لازم است طبق این سند سازمان امنیت فناوری اطلاعات تشکیل دهند تا مانند حراست فیزیکی که از شعب صورت می‌گیرد، حراست بانک‌ها در محیط مجازی هم کامل شود. اما بانک‌ها کمتر حاضرند برای چنین نرم‌افزارهایی هزینه کنند.»


فقر فرهنگی


شاید بتوان بخشی از مشکلاتی را که در زمینه استفاده از بانکداری الکترونیکی وجود دارد ناشی از عدم فرهنگسازی صحیح در سطح جامعه دانست. در واقع عدم اطمینانی که به استفاده از این سرویس‌ها در بین مردم وجود دارد از عدم فرهنگ‌سازی صحیح آن نشات می‌گیرد.


آمار دقیقی از نرخ جرایمی که در زمینه -- کردن سیستم‌های بانکی صورت می‌گیرد، وجود ندارد. به گفته رضا جعفری سرپرست دادسرای ویژه رسیدگی به جرایم رایانه‌ای، آمار متمرکزی وجود ندارد و آمار این دادسرا با نیروی انتظامی بعضا متفاوت است، چون ممکن است تمام شکایت‌ها منجر به تشکیل پرونده نشود یا پرونده با منع تعقیب مواجه شده یا آنکه در بخش‌های مختلف پرونده تشکیل شود.


اما این مقام قضایی هم تاکید می‌کند در پرونده‌های بانکی که در این دادسرا مورد رسیدگی قرار گرفته لزوما سارقان به رمز کارت افراد دسترسی نداشته‌اند و تنها با داشتن شماره کارت توانسته‌اند موجودی حساب‌ها را خالی کنند.


سطح امنیت بانک‌ها ضعیف است


یکی از هکرهایی که سایت‌ بانک‌های کشور را مورد بررسی قرار داده، در گفتگو با خبرنگار ما احتمال -- شدن سیستم بانکی کشور را بعید ندانست و گفت: «با وجود آنکه مسوولان بانکی اعلام می‌کنند که دیتابیس واحدی وجود ندارد و دیتابیس بانک‌ها مجزا از یکدیگر است اما در هر صورت شتاب باید یک دیتابیس کامل داشته باشد، چون هر درخواستی را نمی‌تواند به بانکی خاصی بفرستد.»


به گفته این هکر، بانک‌ها از لحاظ امنیتی در سطح بالایی قرار ندارند. به عنوان مثال در داخل شعب از وایرلس استفاده می‌کنند در حالی که می‌توان قفل آن را شکست و به شبکه نفوذ کرد. به گفته وی، معمولا سرور بانک باید فقط سایت بانک و تراکنش‌ها را کنترل و پشتیبانی کند در حالی که سروری که بانک‌ها از آن استفاده می‌کنند حتی سایت‌های اطلاع‌رسانی و دیگر سایت‌ها را هم پشتیبانی می‌کند که این موضوع در سطح امنیت بانک‌ها خدشه ایجاد می‌کند. یکی دیگر از شگردهای سارقان برای دستبرد زدن به حساب‌های بانکی افراد استفاده از اسکنرهای خاصی است که از روی کارت‌های بانکی کپی می‌گیرد. در واقع تعداد محدودی کارت‌های خام بانکی وجود دارد که برخی از افراد سودجو به آن دسترسی دارند و از طریق این اسکنرها اطلاعات کارت بانکی را روی کارت خام کپی می‌کنند. البته به دلیل گران بودن این نوع اسکنر و از طرفی با بالاتر رفتن امنیت کارت‌های بانکی، چنین شگردی چندان متداول نیست.


اخیرا تعدادی از بانک‌های کشور هم اطلاعیه‌هایی را از بخش‌های انتظامی دریافت کرده‌اند مبنی بر اینکه دستگاه‌های خودپردازشان را به صورت مداوم باید تست و کنترل کنند.


اشکال در سیستم‌های امنیتی بانک‌ها به قدری جدی است که حتی هفته گذشته یک هکر ایرانی برای هشدار به یکی از بانک‌های خصوصی از طریق اینترنت به سیستم امنیتی بانک نفوذ کرد و حدود چهار میلیون تومان از حساب یکی از مشتریان را به حساب شخصی خود واریز و دوباره به همان حساب برگرداند. بنا به نوشته روزنامه ایران، این جوان 28ساله پس از انتقال به دادسرا تحت بازجویی قرار گرفت و گفت: «به هیچ عنوان قصد سرقت نداشتم. فقط می‌خواستم به مسوولان بانک هشدار دهم که سیستم‌های امنیتی‌شان اشکال دارد و قابل نفوذ و دسترسی است. به همین خاطر هم دقایقی پس از -- سیستم و برداشت پول دوباره آن را به حساب برگرداندم.»


هم‌اکنون تعداد کارت‌هاي صادر شده از سوي شبکه بانکي کشور از مرز 90 ميليون کارت عبور کرده اين رقم که از جمعيت کشور نيز بيشتر است موجب حساسيت دارندگان کارت در زمان انتشار چنين اخباري مي‌شود. از سويي اين تعداد کارت موجب ترغيب دزدان اينترنتي و مجازي براي دسترسي به حساب دارندگان کارت‌هاي بانکي است.