امنیت شکننده دستگاه‌های خودپرداز

خبر کوتاه بود، «باند سه‌نفره سارقان وجوه نقد از خودپرداز بانک‌های استان‌های البرز، تهران و قزوین که با ساخت و جاسازی تراشه‌های اسکیمر و هک اطلاعات حساب بانکی اقدام به برداشت غیرمجاز از حساب‌های بانکی شهروندان می‌کردند با هوشیاری پلیس فتا البرز شناسایی و دستگیر شدند.» این نوع خبرها در ایران عموماً برای نشان دادن توان پلیس در شناسایی و دستگیری سارقین ذکر می‌شود اما کمتر درباره اصل موضوع و مسئولیت سازمان‌های مربوطه برای آگاه‌سازی عمومی از روش‌های پیشگیری صحبت می‌شود.

چنین خبرهایی با توجه به گسترش سریع دستگاه‌های خودپرداز بانک در ایران، این پرسش را ایجاد می‌کند که این نوع دستگاه‌ها در ایران تا چه اندازه ایمن است و سارقین معمولاً از چه روش‌هایی برای سرقت اطلاعات و موجودی حساب افراد استفاده می‌کنند؟

سرقت از طریق خودپردازها چگونه انجام می‌شود؟

مجموعه ابزاری که برای دسترسی مستقیم به اطلاعات کارت مشتریان از آن استفاده می‌شود را اسکیمر (Skimmer) می‌نامند.

سارقین با استفاده از این ابزار و پس از دسترسی به اطلاعات کارت و رمز عبور به سرعت مبالغ مورد نظر خود را از حساب مشتریان برداشت می‌کنند. این روش سرقت نیازمند هیچ نوع اقدام خشونت‌بار نبوده و کمترین مخاطره را برای سارقین به همراه دارد.

گزارش‌ها نشان می‌دهد که تنها در سال ۲۰۰۸ میلادی در آمریکا معادل یک میلیارد دلار یعنی روزانه ۳۵۰هزار دلار از طریق اسکیمرها به سرقت رفته است.

اسکیمر چیست؟ و سارقین قادر به انجام چه کارهایی با آن هستند؟

دستگاه اسکیمر مجموعه‌ای از ابزارها است که می‌توانند اطلاعات موجود بر روی بخش مغناطیسی کارت‌های بانکی را خوانده و از آن نسخه‌برداری کند.

این ابزار بدون اطلاع بانک یا سازمان خدمات دهنده بر روی دستگاه‌های خودپرداز نصب‌شده و از نظر ظاهری به گونه‌ای طراحی می‌شود که مشتری آن را بخشی از دستگاه فرض کرده و با اطمینان کارت خود را برای انجام عملیات متعارف در دستگاه قرار دهد.

سارقین پس از دریافت اطلاعات کاربر با استفاده از کارت‌های خام قادر به ساخت کارت مشابه هستند و می‌توانند برداشت از حساب قربانی را شروع کنند. گرچه بسته به تمایل و نوع کار سارقین، امکان دسترسی به سایر اطلاعات قربانی و ایجاد مشکلات بیشتر برای وی نیز وجود دارد.

سرقت مستقیم اطلاعات از کارت‌های خودپرداز از نظر سارقین راحت‌ترین روش است چرا که نیاز به دسترسی به شبکه رایانه‌ای بانک را از بین برده و با تجهیزاتی انجام می‌شود که قابل تهیه در بازار یا کارگاه‌های زیرزمینی و شخصی است. این نوع تجهیزات در طی سال‌های اخیر توسعه یاقته و از ابزار ساده‌ای که اطلاعات را خوانده و ذخیره می‌کند، به دستگاه‌هایی رسیده است که حتی قادر به مخابره اطلاعات و ارسال پیامک برای سارقین است.

در مجموع ابزارهای اسکیمر می‌تواند شامل چند بخش مجزا بوده یا به صورت یک مجموعه کامل کار کند. در برخی از این نوع ابزار، اطلاعات کارت توسط آنچه در مسیر کارت‌خوان قرار می‌گیرد خوانده و نسخه‌برداری می‌شود.

این اطلاعات حتی ممکن است توسط دستگاهی که به عنوان کلید باز کردن درب محل قرارگیری دستگاه‌های خودپرداز نصب می‌شود، دریافت و ضبط گردد.

سپس با استفاده از یک دوربین که در اطراف دستگاه نصب شده، رمز عبور کاربر نیز به دست می‌آید.

در نمونه‌های دیگر رمز عبور کاربر با استفاده از صفحه کلیدی که روی کلیدهای اصلی نصب می‌شود، به دست می‌آید.

البته در برخی موارد که فردی از سارقین در بین کارکنان موسسه صاحب خودپرداز باشد، این صفحه‌کلید درست زیر کلیدهای اصلی نصب شده و بدون ایجاد هر نوع شک به سرقت رمز عبور می‌پردازد.

چه اقداماتی برای حفاظت از اطلاعات خود باید انجام داد؟

نخستین گام در این مرحله معطوف به مسئولیت مؤسساتی است که خدمات خودپردازها را ارائه می‌دهند. این مؤسسات بایستی نسبت به بررسی مداوم تجهیزات خود و اطمینان از کارکرد درست آنها اقدام کنند. اما کم‌توجهی، نبود رویه‌های سازمانی مستمر، و استفاده از تجهیزات نامناسب همواره راه را برای سارقین باز گذاشته است. مشتریان دستگاه‌های خود پرداز نیز لازم است که:

الف) وجود هر نوع خرابی ظاهری و تغییر شکل در بخش ورود کارت و صفحه کیلد را به عنوان یک خطر تلقی کرده و از استفاده از دستگاه‌های مشکوک خودداری کنند.

ب) هنگام وارد کردن رمز عبور خود، به نحوی اقدام کنند که امکان بازخوانی ترتیب کلیدها برای دوربینی را که احتمالاً در اطراف صفحه‌کلید نصب شده سلب نمایند. به عنوان مثال می‌توانند با یک دست، فضای دید دستی دیگر را که رمز را وارد می کند، مسدود کنند.

ج) در استفاده از دستگاه‌های POS (پایانه‌های خرید آنلاین فروشگاهی) کارت خود را در اختیار فروشنده قرار ندهند.

د) تحت هیچ شرایطی رمز عبور خود را در اختیار فروشنده یا اشخاص دیگر قرار ندهند.

سطح ایمنی خودپردازهای مورد استفاده در ایران

تلاش گسترده بانک‌ها و مؤسسات مالی در ایران برای تجهیز شعبه‌های خود به دستگاه‌های خودپرداز متأسفانه بدون توجه به جنبه‌های امنیتی انجام شده و توسعه این دستگاه‌ها که موجب کاهش هزینه‌های عملیات بانکی و سرعت در رفع نیازهای دریافت و پرداخت مشتریان شده، امروز به یکی از نقاط آسیب‌پذیر عملیات بانکی بدل گردیده است.

شهر تهران در این میان بیشترین تعداد دستگاه‌ها را در خود دارد اما یک مشاهده سریع میدانی نیز نشان می‌دهد که این نوع دستگاه‌ها به راحتی می‌تواند طعمه سارقین باشد. در حالیکه تحریم‌های بین‌المللی راه را برای ورود دستگاه‌های دست دوم و یا نسخه‌های چینی باز کرده، حفاظت اولیه در مقابل دستگاه‌های اسکیمر همچنان در حد هیچ است.

اغلب شعبه‌هایی که به نام شعبه‌های ۲۴ساعته ایجاد شده و شامل یک محوطه بادرب ورودی خودکار و چند خودپرداز است، طعمه مناسبی برای سارقان شده‌اند. کلیدهای ورودی این نوع شعبه‌ها که پس از وارد کردن کارت امکان باز شدن درب را می‌دهد یکی از این نوع نقاط آسیب‌پذیر است.

همچنین سارقین به راحتی می‌توانند در این نوع شعب دوربین‌های کوچک خود را برای خواندن رمز عبور کاربران نصب کنند.

گزارش پلیس ایران در مورد روش دزدی با چسب قطره‌ای از دستگاه های خودپرداز:

در نهایت، پیگیری مداوم  موجودی حساب‌های بانکی مربوط به هر کارت به شما این توان را می‌دهد که اگر چنانچه دزدی از حساب شما صورت گرفت، سریع نسبت به آن اطلاع یابید و برای مسدودکردن حساب‌ها، کارت‌ها و گرفتن کارت جدید اقدام کنید.

نوشته‌های مرتبط با امنیت دیجیتال را در آرشیو «امن گذر» دنبال کنید.