امنیت خودپرداز

امنیت دستگاه های خودپرداز

دستگاه‌های خودپرداز یا همان Automated Teller Machines که به‌تازگی تولد ۵۰ سالگی‌شان را هم جشن گرفتند؛ اما همچنان درگیر مسائل امنیتی هستند. پرادیپ آترِی (Pradeep Atrey) پروفسور علوم کامپیوتر در دانشگاه آلبانی، دانشگاه ایالتی نیویورک، ویژگی‌های امنیتی و نگرانی‌های موجود در خصوص دستگاه‌های پرداخت‌کننده جدید پول نقد را توضیح می‌دهد.

.امنیت دستگاه های خودپرداز

۱- خودپردازها چگونه کار می‌کنند؟

در حالت کلی، کاربر از خودپرداز درخواست پول نقد می‌کند، خودپرداز اعتبار کاربر را در داشتن یک حساب بانکی تأیید و بررسی می‌کند موجودی حساب موردنظر برای پاسخگویی به درخواست کاربر کافی باشد و سپس پول را پرداخت می‌کند. همه این مراحل بدون کمک کارمند بانک انجام می‌شود.

از ابتدای این مسیر و نصب اولین خودپرداز در لندن در سال ۱۹۶۷ مهم‌ترین مسئله بانک‌ها شناسایی هویت کاربر بوده است. برخلاف کارت‌های پلاستیکی امروزی، با نوار مغناطیسی و میکروچیپ کار گذاشته‌شده در کارت، اولین خودپرداز، تکه‌ای کاغذ را که با رادیواکتیو بسیار ضعیف از کربن ۱۴ به روش خاصی روی آن پرینت شده بود دریافت می‌کرد.

ماشین این نوشته را با کدی که کاربر وارد می‌کرد تطابق می‌داد. اگر صحیح بود و سرمایه هم در دسترس بود خودپرداز تا سقف ۱۰ پوند (تقریباً به ارزش ۲۰۰ دلار امروز آمریکا) پرداخت می‌کرد.

در استفاده از خودپردازهای مدرن امروزه، مشتری کارت پلاستیکی را که حاوی اطلاعات کدگذاری شده بر روی نوار مغناطیسی یا میکروچیپ است، در کارت‌خوان دستگاه قرار می‌دهد. بلافاصله، دستگاه از مشتری کد شناسایی را که معمولاً پین نامیده می‌شود و ۴ تا ۶ رقمی است می‌خواهد.

اگر کارت و پین تطابق داشته باشند مشتری می‌تواند سپرده‌گذاری کند، مانده‌حساب بگیرد و یا به‌صورت معمول، پول نقد برداشت کند. وقتی مشتری مقدار مشخصی پول درخواست می‌کند دستگاه یک ارتباط اینترنتی یا مخابراتی برای اتصال به بانک مشتری برقرار می‌کند و از مقدار سپرده در دسترس برای پرداخت درخواست مشتری مطلع می‌شود.

.امنیت دستگاه های خودپرداز

۲- خودپردازها با چه مشکلات امنیتی روبرو هستند؟

ازآنجاکه خودپردازها حاوی مقدار زیادی پول نقد هستند برای مجرمان هدف خوبی به‌حساب می‌آیند. دزدها سریع کل خودپرداز را می‌دزدند درحالی‌که زورگیرها، کاربران خودپردازها را مورد هدف قرار می‌دهند.

درنتیجه، بسیاری از خودپردازها امروزه به دوربین داخلی برای ثبت حوادث زورگیری و یا انواع دیگر جرم یا رصد کسانی که قصد سوءاستفاده از دستگاه را دارند، مجهز هستند.

در سرقت‌های پیچیده‌تر معمولاً دستگاه‌ها و کاربران آن‌ها را مخفیانه تحت نظر می‌گیرند. سارقان می‌توانند دوربین‌های کوچکی در نقاط مختلف خودپرداز نصب کنند که معمولاً با تکه‌ای پلاستیک پوشانده می‌شوند به‌طوری‌که بخشی از خود دستگاه به نظر برسد. این دوربین‌ها می‌توانند از شماره کارت، تاریخ انقضا و اسم کارت و کد سه‌رقمی (CVV) پشت کارت عکس بگیرند.

این اطلاعات برای آنکه استفاده از کارت در تراکنش‌های آنلاین غیرمجاز، مشروع به نظر بیاید کافی هستند. کلاه‌برداران همچنین می‌توانند این اطلاعات را در بازارهای سیاه آنلاین بفروشند.

در روشی دیگر، با نصب شکاف‌های غیرواقعی ورود کارت و یا ضمایم بزرگ در بالای شکاف موجود (که skimmers نامیده می‌شوند) اطلاعات نوار مغناطیسی را می‌خوانند به‌این‌ترتیب کارت جعلی جدیدی با همین مشخصات برای استفاده از سایر خودپردازها می‌سازند.

دوربین‌های مخفی جاسازی‌شده می‌توانند به سارقان در سرقت رمز کارت‌ها کمک کنند.مطالعات اخیر نشان می‌دهد که دوربین‌های حرارتی نیز می‌توانند شماره پین واردشده در دستگاه‌ها را شناسایی کنند. ایندوربین‌ها می‌توانند با ثبت حرارت و مشخص کردن شماره‌هایی از صفحه کلید که حرارت بیشتری نسبت به سایر شماره‌ها دارند، رمز واردشده توسط کاربر را به راحتی شناسایی کنند.

به‌خصوص، پژوهشگران دریافته‌اند درصد صحت یافتن رمز به کمک عکس‌های گرفته‌شده تا پس از سی ثانیه از لمس صفحه‌کلید خودپردازها ۷۸ درصد است. پژوهش مشابهی نشان می‌دهد اگر دوربین در فاصله ۳۵ سانتیمتری و در زاویه‌ای بین ۳۰ تا ۴۵ درجه نصب شود می‌توان رمز ۴ رقمی را خواند. بااین‌حال حدس ترتیب صحیح اعداد سخت‌تر است.

.امنیت دستگاه های خودپرداز

۳- آیا خودپردازها هک می‌شوند؟

در میان جرائم مربوط به هوش فناوری، گزینه‌های بسیاری برای هک خودپردازها وجود دارد. جداره بیرونی خودپردازها معمولاً حاوی درگاه‌های یواس‌بی هستند که پوشانده شده‌اند. این درگاه‌ها برای تعمیر و نگهداری نرم‌افزار و به‌روزرسانی آن استفاده می‌شود. اگر سارق این درگاه‌ها را پیدا کند می‌تواند با نصب یک درایو یواس‌بی پورتال با یک برنامه مخرب، کنترل ماشین را به دست گیرد. به این صورت سارق می‌تواند بدون کارت از دستگاه پول برداشت کند.

چند سال پیش، حمله جدیدی رخ داد. در این حمله که پلیس به آن «جعبه سیاه» گفت، سارقان یک سوراخ در بدنه خودپرداز ایجاد کرده و کابل‌های بین کامپیوتر و دستگاه را به نحوی جابجا می‌کنند که پول پرداخت کند. اتصال یک کامپیوتر دیگر به خودپرداز موجب پرداخت مقادیر بسیاری پول نقد می‌شود.

ارتباطات مخابراتی خودپردازها، راه دیگری برای حمله به آن‌هاست. با رهگیری ارتباطات بین ماشین و بانک سارق می‌تواند اطلاعات مفید کارت و حساب را به دست آورد. با نصب نرم‌افزار مخرب کنترل از راه دور و به دست گرفتن کنترل خودپرداز، می‌توانند وجه نقد برداشت کنند.

.

۴- چه اقدامات امنیتی را می‌توان و باید انجام داد؟

تخلفات مربوط به خودپرداز و سرقت به‌طور کامل قابل‌پیشگیری نیستند. بانک‌ها به دنبال توسعه اقدامات امنیتی مانند کد سه‌رقمی CVV در پشت کارت هستند. افراد می‌توانند اقدامات پیشگیرانه‌ای برای حفظ امنیت خود هنگام استفاده از خودپردازها انجام دهند:

  • یک راه، استفاده از کارت‌هایی با تراشه‌های فعال است. این کارت‌ها امنیت را با تأیید فیزیک کارت بهبود بخشیده‌اند.
  • معمولاً استفاده از خودپردازهای مکان‌های سرپوشیده امن‌تر از خودپردازهای قرارگرفته در خیابان است؛ زیرا دسترسی مجرمان به خودپردازهای نصب شده در خیابان قبل و بعد از انجام تراکنش بیشتر است.
  • فیزیک و ظاهر دستگاه‌های خودپرداز را بررسی کنید تا ببینید که آیا آسیب و صدمه‌ای به آن‌ها وارد شده است یا نه و یا اینکه به کارت ریدر داخلی دستگاه چیزی اضافه‌ای وصل شده است یا نه (تا نوار مغناطیسی را بخواند). همچنین باید وجود دوربین‌های ریز اطراف صفحه‌کلید را نیز بررسی کنید. از استفاده از دستگاه‌هایی که مشکوک به نظر می‌رسند اجتناب کنید.
  • مراقب اطراف و افراد در محیط خودپرداز باشید. فرد پشت سر شما در صف ممکن است هنگام ثبت رمز عبور یک نگاه آنی به صفحه‌کلید بیندازد.
  • صفحه‌کلید را هنگام ورود پین بپوشانید تا افراد یا دوربین‌های جاسوسی آن را نبینند.
  • اگر رمز صحیح را وارد می‌کنید اما تراکنش ناموفق است سریعاً با بانک صادرکننده کارت تماس بگیرید و آن‌ها را از مشکل احتمالی در دستگاه خودپرداز یا حساب خود مطلع کنید.

.

۵- فناوری‌های جدید چگونه خودپردازها را امن‌تر خواهند کرد؟

همان‌طور که رقابت تسلیحاتی شدید بین متخصصین امنیت و مجرمان ادامه دارد، مشتریان به دنبال استفاده از روش‌های امنیتی پیشرفته شناسایی هویت در خودپردازها هستند. یک روش احراز هویت دوعاملی است که یک لایه امنیتی را قبل از دسترسی کاربر به‌حساب کاربری اضافه می‌کند.

اغلب هنگام ورود به سرویس‌های آنلاین مانند رسانه‌های اجتماعی یا ایمیل، احراز هویت دوعاملی استفاده می‌شود که علاوه بر پین، یک کد عددی توسط پیامک به تلفن مشتری فرستاده می‌شود و برای مدت زمان مشخصی قابل استفاده است.

این روش، مدتی است که دیگر امن به نظر نمی‌رسد زیرا شبیه‌سازی شماره تلفن‌ها بسیار راحت است. این روش نیز کم‌کم دارد منسوخ می‌شود و اپلیکیشن‌های گوشی‌های هوشمند کدهای جدید یا کلیدهای فیزیکی را هر چند ثانیه یک بار تولید می‌کنند. بدون این کد یک بار مصرف، حمله کننده نمی‌تواند به‌حساب بانکی قربانی دسترسی پیدا کند.

به نظر می‌رسد روش‌های احراز هویت کاربر در خودپردازها در آینده شامل روش‌های بیومتریک مانند اثرانگشت باشد که می‌تواند کارت‌ها و پین‌های آن‌ها را که طی ۵۰ سال گذشته در بانکداری اتوماتیک تولید شده‌اند تقویت و یا جایگزین کند.