افزایش تبلیغات دستگاههای اسکیمر در فضای مجازی اخیراً باعث شده تا کارتخوانهای جعلی و استانداردهای امنیتی به موضوع هشدارهای برخی کارشناسان درباره عملکرد رگولاتوری در نظارت بر ورود دستگاههای کارتخوان به بازار و نوآوریهای شبکه پرداخت بدل شود. روشهای کلاهبرداری نیز امروزه نوآورانهتر شده و پرسشهایی را در خصوص میزان پایبندی تولیدکنندگان و واردکنندگان دستگاههای کارتخوان به استانداردهای امنیتی ایجاد کرده است. آیا تنظیمگران شبکه پرداخت کشور نسبت به اجرای استانداردهای امنیتی قوانین سفت و محکمی دارند؟
به گزارش «راه پرداخت»، امروزه فناوری با سرعت زیادی در حال نفوذ به بطن زندگی ما در همه عرصههاست و بدیهی است که نمیتوان از سوءاستفاده از آن به کلی پیشگیری کرد و حوزه بانک و پرداخت نیز از این قضیه جدا نیست؛ بنابراین تلاش برای طراحی استانداردهای امنیتی و پایبندی همهجانبه به این استانداردها در هر حوزهای از اهمیت بالایی برخوردار است.
دستگاه اسکیمر با شمایل کارتخوان
اسکیمینگ یکی از انواع کلاهبرداریهایی است که از زمان ظهور پرداخت کارتی برای کپی اطلاعات کارت افراد مورد استفاده کلاهبرداران قرار گرفت. پیشتر روشهایی برای شناسایی دستگاههای کارتخوان مجهز به اسکیمر وجود داشت؛ چراکه گفته میشد این دستگاهها دارای شکستگی، چسبخوردگی یا قطعات اضافی هستند، اما امروزه دستگاههای کارتخوان بدون هیچ تفاوت ظاهری میتوانند به قابلیت اسکیمینگ مجهز باشند.
به گفته یکی از مالباختگانی که با خرید از یک دستفروش در مترو از طریق اسکیمینگ مورد کلاهبرداری قرار گرفته، ظاهر دستگاه کارتخوان کاملاً طبیعی بوده و فروشنده بسیار بااحترام تمامی مراحل پرداخت را در حضور خود او انجام داده و هیچگونه عمل عجیبی (مثلاً نگه داشتن بیمورد کارت یا…) انجام نداده است.
روز گذشته هنگام جستوجو در مورد اسکیمرها با یک کانال تلگرامی با بیش از ۱۳ هزار عضو مواجه شدم که فروشنده با نام، تصویر و آدرس خود در آن اسکیمر طرح کارتخوان میفروخت و آخرین پستی که در این خصوص منتشر کرده بود مربوط به میشد به چهار روز پیش که در آن به مخاطبان خود خبر داده بود موجودی این دستگاهها رو به اتمام است.
در توضیحات این دستگاه در کانال تلگرامی مذکور ذکر شده بود: «این دستگاه دارای قابلیت ذخیره اطلاعات و رمز ۲۰ هزار کارت است و قابلیت تراکنش ندارد. هنگام کشیدن کارت در دستگاه، اطلاعات کارت و رمز آن ذخیره میشود و اعلان تراکنش ناموفق میدهد. بعد از آن میتوانید مبلغ خرید را به صورت نقدی از مشتری دریافت کنید.»
فروش دستگاههای کارتخوانی که به شاپرک متصل نیستند هم موضوع دیگری است که کارشناسان درباره آن هشدار میدهند. این دستگاههای کارتخوان وجه مشتریان را تجمیع کرده و به صورت یکجا به حساب فروشنده واریز میکنند.
به اعتقاد کارشناسان، پدیده کارتخوان جعلی دارای سه خطر اصلی است:
کپی کردن اطلاعات کارت بانکی
تجمیع در شبکههای حلقه بسته زیرزمینی (Closed Loop)
امکان وقوع انواع حملات تکرار یا بازپخش (Replay attack) به سایر فناوریهای پرداخت
درباره استانداردهای امنیتی دستگاههای کارتخوان چه میدانیم؟
این موضوع محدود به ایران نیست و در کشورهای دیگر نیز اتفاق میافتد. بهعنوان مثال در حالی که با ورود کارتهای تراشهدار، انواع گمانهزنیها درباره حذف تهدیدهای مربوط به برداشت غیرمجاز از کارتهای بانکی در ایالات متحده مطرح میشد اما آمار منتشرشده از اوج گرفتن 700درصدی حملات در سال 2022 حکایت دارد. ویژگی منحصر به فرد موج جدید حملات اسکیمینگ در ایالات متحده، بهرهبرداری کلاهبرداران از فناوری اینترنت اشیا (IOT) است.
بنابراین اسکیمینگ پدیدهای با رواج بینالمللی است؛ اما آنچه کارشناسان امنیت سایبری در مورد آن هشدار میدهند و عملکرد رگولاتوری کشور را در خصوص آن نقد میکنند اجرای دقیق استانداردهای PCI در کشور است.
پیروی از استاندارد PCI امنیت دادههای صنعت کارت اعتباری یا The Payment Card Industry Data Security Standard (PCI DSS) یک امر مهم به منظور اطمینان از آن است که تمام دستگاههای کارتخوان اطلاعات کارت اعتباری را در محیطی امن پردازش و ذخیره میکنند یا انتقال میدهند.
این استاندارد در تاریخ ۷ سپتامبر ۲۰۰۶ توسط شورای استانداردهای امنیت معرفی شد تا موارد امنیتی را مدیریت کند و امنیت حساب کاربری را در طول فرآیند معاملات بهبود بخشد. شورای استانداردهای امنیت PCI (PCI SSC)، یک نهاد مستقل به شمار میرود که توسط شرکتهای ویزا، مسترکارت، امریکن اکسپرس، دیسکاور و جیسیبی ایجاد شده است.
به اعتقاد برخی کارشناسان، دستگاههای کارتخوان وارداتی به کشور قابلیت حذف افزونههای PCI ازجمله عدم تمپرشدن هنگام ورود اسکیمر به دستگاه را دارند.
از طرفی، آنچه امروزه به چشم میخورد راهاندازی خط تولید دستگاه کارتخوان توسط بیشتر شرکتهای پیاسپی است و به نظر میرسد خط تولید جداگانه کارتخوان به یکی از پیشنیازهای کسب مجوز پیاسپی تبدیل شده و هر شرکتی بعد از پیاسپی شدن، خط تولید اختصاصی خود را افتتاح میکند. بنابراین آنچه در بحبوحه تلاش شرکتها برای تولید بیشتر، ممکن است مورد غفلت واقع شود کیفیت دستگاهها و چشمپوشی از استانداردهای امنیتی نظیر PCI است. به همین دلیل این سؤال اساسی مطرح میشود که چه نظارتی بر تولیدکنندگان و واردکنندگان دستگاههای کارتخوان و به طور کل کارتخوانهای واردشده بازار وجود دارد؟