راهکار مقابله با سارقان زورگیر کارت های اعتباری بانک ها

خبراقتصادی: یکی از مشکلات و جرائم موجود در خصوص  کارت های اعتباری در کشور سرقت های زورگیرانه است. سارقان زورگیر بدنبال دستیابی به کارت بانکی و رمز عبور مشتری می باشند تا از طریق دستگاه های خودپرداز (ATM) و یا دستگاه های POSاقدام به برداشت پول و یا خرید کالا از حساب شخص نمایند.
طی سال های گذشته و حتی این روزها اخباری مبنی بر وجود سیستمی به منظور مقابله با سارقان زورگیر از طریق دستگاه های خود پرداز منتشر شده است که هر چند صحت پیاده سازی و عملکرد این سیستم تا کنون توسط سازمان ها و موسسات مربوطه رسما اعلام نشده است و حتی پلیس فتا (فضای تبادل اطلاعات) نیز در گذشته نسبت به عدم امکان راه اندازی چنین سامانه ای اشاره داشته و صرفا از آن به عنوان یک ایده ای که در این خصوص مطرح شده است یاد می گردد.
این خبر گویای این مطلب است که در صورت مواجهه با سارقان زورگیر، رمز عبور خود را به صورت معکوس به فرد سارق اعلام نمایید.(مثلا رمز 1245 را به صورت 5421 به فرد مهاجم اعلام کنیم) با این کار پس از ورود رمز به صورت معکوس، دستگاه ATMپول را به فرد سارق پرداخت و همزمان وقوع سرقت را نیز به پلیس اطلاع دهد تا اقدامات بعدی انجام گردد در ضمن سارق نیز متوجه این موضوع نخواهد شد.
اما در خصوص موضوع مذکور نکاتی وجود دارد که امنیت و تضمین عملکرد چنین سیستمی را بحث برانگیز می کند که در ادامه به آنها خواهیم پرداخت . این نکات عبارتند از :

1- اطلاع پلیس و حضور به موقع:

 با فرض اینکه امکان نرم افزاری و سخت افزاری مورد نیاز برای اعلام هشدار به صورت آنلاین به پلیس در کلیه خودپرداز های کشور فراهم شده باشد (بررسی های انجام شده توسط نویسنده گویای این مطلب است که در حال حاضر این امکان وجود ندارد)، چه زمانی مورد نیاز است تا پلیس خود را به محل برساند؟ آیا همچنان سارق در محل حضور دارد؟
2-  مشاهده موجودی: اگردستگاه ATM در ظاهر کار خود را به صورت عادی انجام دهد در نتیجه قبض رسید و مانده حساب را نیز ارائه خواهد کرد و با علم به این موضوع سارق میتواند برای مانده موجودی نیز برنامه ریزی نماید !
3- سارقان حرفه ای از مردم آگاه ترند:
سارقان حرفه ای معمولا نسبت به عموم مردم از راه کارهای موجود آگاه ترند! پس آنها به این موضوع که ممکن است رمز معکوس به آنها اعلام شده باشد آگاهی دارند. در این حالت بدست آوردن رمز اصلی نیز چندان کار سختی نخواهد بود.
4- استفاده از دستگاه POS:
همانطور که در موارد 2و3 عنوان شد، با این الگو سارق رمز معکوس شده یا رمز اصلی و میزان موجودی فرد قربانی را در اختیار دارد. در نتیجه میتواند با استفاده از کارت اعتباری شخص اقدام به خرید اقلام گوناگون از طریق دستگاه های کارت خوان نماید.
5- رمزهای متقارن:
عدم عملکرد صحیح در خصوص رمز های متقارن همانند 1221، 6776 و ... که معکوس رمز با خود آن برابر است، سبب میشود تا این سیستم امنیتی کاملا از مدار خارج شود و شاید این ساده ترین موردی است که در نگاه اول به نظر برسد.
6-افزایش بار پردازشی در سیستم بانکی:
از آنجایی که در سیستم های بانکداری الکترونیک از الگوهای رمزنگاری و کدینگ، در ذخیره و بازیابی اطلاعات استفاده میشود، لذا معکوس رمز نیز میبایست در فضای دیتابیس بانک ذخیره شود تا در زمان لزوم قابل بازیابی باشد.
لذا در عمل بار پردازش سیستم بانکی برای معکوس رمز به اندازه رمز اصلی خواهد بود.

ایده پیشنهادی

هرچند که تغییر در سیستم های بانکداری نوین نیازمند امکان سنجی و بسترسازی های نرم افزاری و سخت افزاری لازم است اما حداقل طرح ایده به منظور ارتقاء سیستم های موجود و به منظور پیشگیری از جرائم خالی از لطف نیست.
در حال حاضر هر مشتری که کارت بانکی دریافت میکند علاوه بر رمز اصلی و کد CVV2 میتواند رمز دوم خود را نیز به منظور انجام فعالیت های اینترنتی فعال نماید.
حال اگر این امکان وجود داشته باشد تا سیستم بانکی به مشتریان خود علاوه بر رمزهای مذکور، رمز دیگری را نیز به عنوان "رمز حفاظت" (هر نام دیگری) اختصاص دهد، نه تنها موارد مذکور در بخش قبل وجود ندارد(به غیر از شماره 6) بلکه میتواند در پیشگیری از وقوع جرم نیز اثرگذار باشد.
نکاتی را در خصوص این طرح میتوان بدین شرح برشمرد:
1-  هرمشتری یک رمز 4 رقمی به عنوان "رمز حفاظت" از بانک و در هنگام صدور کارت دریافت میکند و از آنجایی که "رمز حفاظت" نیازی به نگهداری ندارد حتی میتوان این رمز را در کیف خود نیز نگهداری کرد و نگران به خاطر سپردن آن نبود.
2- نیازهای نرم افزاری و سخت افزاری:
عملکرد دستگاه خودپرداز بر حسب اینکه کدام رمز (رمزاصلی/رمز حفاظت) توسط کاربر وارد میشود کمی متفاوت خواهد بود. البته این تفاوت در عملکرد پس زمینه خواهد بود و در ظاهر اتفاقی نخواهد افتاد.
3-  عملکرد پیشنهادی:
زمانی که رمز حفاظت توسط سارق وارد میشود برای خود پرداز وقوع سرقت قابل تشخیص خواهد بود.در این حالت:
3-1 سقف برداشتی متفاوت از مقدار واقعی و موجودی کارت به فرد مهاجم نشان داده میشود.
3-2 پس از انجام تراکنش، شماره کارت مورد نظر به صورت نامحسوس در داخل شبکه بانکی غیرفعال میگردد.
3-3 در صورت وجود دوربین بر روی دستگاه ATM میتوان عکسی با کد تراکنش مورد نظر از فرد مجرم تهیه کرد.
3-4 قبض رسید دستگاه نیز متناسب با آنچه که در مراحل قبلی توضیح داده شد، چاپ و ارائه میشود.
4- پیگیری پلیس:
در این طرح اگر امکان هشدار آنلاین به نزدیکترین مرکز پلیس نیز وجود نداشته باشد، با توجه به اطلاعات موجود در شعبه و همچنین غیرفعال شدن کارت در سیستم بانکی، فرد قربانی میتواند جهت پیگیری شکایت و اعلام سرقت، در زمان مناسب به پلیس مراجعه نماید.
همچنین از آنجایی که کارت مسروقه غیرفعال شده و رمز اصلی کارت نیز قابل استنتاج نیست، در نتیجه سارق قادر به استفاده از کارت از طریق دستگاه های کارت خوان دیگر هم نخواهد بود.
5-  حفظ جان اشخاص و پیشگیری از جرم
با در نظر گرفتن نکات مذکور سعی بر این است که جان فرد قربانی نیز کمتر در معرض خطر بوده و واقعا سارق نتواند اصالت رمز ارائه شده را زیر سوال ببرد و اقدام به افزایش تهدید جانی فرد نماید.
لازم به ذکر است که با این وجود برای سارقان زورگیری و برداشت از حساب افراد جذابیت فعلی را نخواهد داشت چرا که به اهداف مورد نظر خود نخواهند رسید و به نوعی به پیشگیری از جرائم نیز کمک خواهد کرد.
طرح پیشنهادی قطعا به منظور پیاده سازی، نیازمند مطالعه جامع تر و تهیه مستندات و مدارک فنی لازم در خصوص مباحث امنیتی و تکنولوژیکی موجود است.

نویسنده: سید علی مکی
دانشجوی کارشناسی ارشد تجارت الکترونیک
دانشگاه صنعتی امیرکبیر(پلی تکنیک تهران)