کلاه‌برداری با رمز پویا در دو گام

کلاهبرداری با رمز پویا
کلاهبرداری با رمز پویا


تا چند روز دیگر استفاده از رمز پویا در کشور اجباری می‌شود (هرچند حدس می‌زنم به مشابه بسیاری از ضرب‌الاجل‌های دیگر این یکی هم با تاخیر مواجه شود). چند روزی است که رمز دوم پویا رو برای چند بانک فعال کردم و در کمال تعجب دیدم چه بزرگراه ۶ بانده تمیز و آسفالته‌ای برای کلاهبرداران فراهم شده. ابتدا می‌خواستم این نوشته را به صورت یک نامه محرمانه به پلیس فتا و بانک مرکزی ارایه کنم اما از آن‌جایی که روال‌های اداری بسیار زمان‌بر هستند و در عین حال برداشت‌ها، اعمال سلیقه‌های مختلف و همینطور منافع موقت عده‌ای در دفاع از اشتباهات می‌توانند باعث عدم اثرگذاری یا شنیده شدن باشند؛ ترجیح دادم آن را به صورت عمومی منتشر کنم.

بدیهی است برعکس عنوان این نوشته هدف از آن آموزش کلاهبرداری نیست بلکه هشداری است بر این که این مسیرها وجود دارد چه بنده آن‌ها را می‌نوشتم و چه نمی‌نوشتم؛ و در صورت عدم توجه و فعال‌سازی رمز پویا بدون توجه به مخاطرات آن موجب خسارت‌های جبران‌ناپذیر به مردم در درجه اول و بدنه تجارت نوپای الکترونیک در درجه دوم است.

کلاهبرداری از طریق پیامک به مراتب ساده‌تر از کلاه‌برداری از طریق اپلیکیشن است. در عین حال قشری از جامعه که به جای استفاده از اپلیکیشن روی گوشی هوشمند از پیامک استفاده می‌کنند به نسبت از سواد و آگاهی کمتری نسبت به کلاهبرداری‌های فجازی برخوردار هستند. در نتیجه در این نوشته تنها به روش مبتنی بر پیامک می‌پردازم اما تعداد این روش‌ها بسیار بیشتر از این‌ها است.


گام اول: دسترسی به اطلاعات کارت

ابتدا روال رمز دوم را در بانک ملت مرور کنیم. سایر بانک‌ها هم کمابیش همین‌گونه هستند:

  • درخواست خرید
  • ورود به درگاه بانکی شتاب و پر کردن اطلاعات کارت، CVV2 و تاریخ انقضا
  • ارسال چهار رقم آخر شماره کارت به سرشماره ۳۰۰۰۳۳۰۳
  • دریافت رمز دوم پویا از طریق پیامک، درج در درگاه و اقدام به خرید

از مجموع اطلاعات لازم برای انجام خرید تنها چیزی که مخفی است رمز دومی است که بانک ارسال می‌کند. خاطرم هست قدیمتر که کارت‌ها به صورت پرفراژ چاپ می‌شد رمز CVV پشت کارت بود اما از زمانی که چاپ کارت دیجیتال شده همه اطلاعات روی کارت چاپ می‌شود. حال ببینیم چگونه می‌توان به اطلاعات عیان درست پیدا کرد:

  • درخواست تصویری از کارت از طریق مهندسی اجتماعی به بهانه واریز وجه.
  • ارایه کارت به فروشنده برای خرید از طریق POS که می‌تواند به راحتی از آن تصویر تهیه کند.
  • دسترسی اعضای خانواده، دوستان و آشنایان به کارت بانکی و تهیه تصویر یا یادداشت‌برداری از اطلاعات آن
  • دسترسی به اطلاعات عیان کارت از طریق سایت‌های فیشینگ (اصلی‌ترین دلیل راه‌اندازی رمز دوم پویا)

گام دوم: دسترسی به گوشی همراه

در مباحث امنیتی همیشه دسترسی فیزیکی پاشنه آشیل است و برای افزایش امنیت در شرایطی که دسترسی فیزیکی وجود دارد نیاز است تا تمهیدات بسیار پیچیده اندیشیده شود. تاکنون اگر کسی به اطلاعات کارت ما دسترسی داشت لازم بود تا به طریقی به رمز اول یا دوم ما هم دسترسی پیدا کند. هدف اصلی از راه‌اندازی رمز پویا هم جلوگیری از همین دسترسی بوده اما چه کسانی و چگونه می‌توانند به گوشی همراه ما دسترسی داشته باشند؟

  • اعضای خانواده، دوستان و آشنایان: در فیلم‌های پلیسی همیشه اولین مضنونین نزدیکان هستند. کسانی که بیشترین اعتماد به آن‌ها وجود دارد و به واسطه همین اعتماد می‌توانند به سهولت به گوشی ما دسترسی داشته باشند. اکثر کسانی که از سواد پایین در حوزه امنیت برخوردارند (مخاطبین کلاهبرداری در این نوشته) دارای گوشی‌های غیر هوشمند بوده و حتی در صورت هوشمند بودن از امکانات رمز، الگو، اثر انگشت و غیره برای بازکردن قفل گوشی استفاده نمی‌کنند. در نتیجه دسترسی به گوشی آنها برای مدت زمانی در حد ۱ تا دو دقیقه کاری بسیار ساده است.
  • فروشندگان و تعمیرگاه‌های تلفن همراه: تاکنون از سمت تعمیرگاه‌های غیرمجاز یا حتی شاغلین کلاهبردار نزد فروشندگان و تعمیرگاه‌های مجاز گزارش‌های زیادی مبنی بر کلاه‌برداری وجود داشته. این دسته از کلاه‌برداران با دسترسی کامل به گوشی همراه می‌توانند تقریبا بدون دغدغه هر کاری که بخواهند انجام دهند و حتی با سد رمز تلفن همراه هم مواجه نیستند و به بهانه دسترسی به گوشی برای نصب نرم‌افزار و تعمیرات می‌توانند درخواست کنند تا رمز به آنها ارایه شده یا غیر فعال شود. حال کافیست فقط یک‌بار کارت بانکی شما را به بهانه‌های مختلف بگیرند و اطلاعات آن را ذخیره کنند. به قول هرکول پوارو: Voila
  • سارقین: اگر تا دیروز سارقین مال عیان را می‌بردند اکنون می‌توانند گزیده‌تر برده و به جای دله‌دزدی و بردن پخش خودرو و امثال آن، کافیست کمین کنند و کیف پول و گوشی همراه را بدزدند. قاعدتا انواع این نوع دزدی را بالاخص در خصوص خودرو دیده‌ایم و نیازی نیست تا جزییات آن را شرح دهم.

قاعدتا روش‌های کلاهبردای محدود به موارد فوق نیست و فقط محض اشاره کافیست به خاطر داشته باشیم که افرادی هستند که به واسطه شغل خود به پنل‌های پیامک، دستگاه‌های کپی سیم‌کارت و نظایر آن دسترسی دارند. قاعدتا با احترام به افراد شریفی که در این مشاغل مشغول هستند همیشه می‌توان در هر قشری تعدادی کلاه‌بردار هم پیدا کرد و اتفاقا این افراد از خطرناک‌ترین نوع کلاهبرداران هستند.


پی‌نوشت پس از انتشار: برخی از دوستان ایراد گرفتند که این نوشته سطحی است و مثل این می‌ماند که بگوییم قفل غیر ایمن است چون امکان دزدی کلید وجود دارد خود کاربر باید مراقب کلیدش باشد. یا برخی گفتند چه راهکار دیگری هست برای کسانی که گوشی هوشمند یا اینترنت ندارند. یا اصطلاحا گر تو بهتر می‌زنی بستان بزن. در پاسخ به این دوستان دو نکته را عنوان داشتم:

  • هدف از طرح رمز پویا حمایت از کاربرانی است که به سهولت درگیر فیشینگ و کلاهبرداری‌هایی از این دست شده‌اند. و الا من و شمایی که ادعایمان می‌شود که تخصص داریم درگیر این ماجرا نیستیم. مدل پیاده‌سازی طرح جاری نه تنها مشکل را حل نمی‌کند که بر دامنه آن می‌افزاید.
  • حداقل انتظار برای این طرح این بود که از مکانیزم 2FA استفاده کنند. حذف رمز ایستا و اتکا صرف به پیامک است که موضوع را بسیار خطرناک کرده. اگر هم 2FA سخت است (هرچند نیست و سالهاست ورود به اینترنت بانک ملت مکانیزم 2FA دارد) می‌توانستند به جای دریافت چهار رقم آخر کارت بانکی که اطلاعات عیان است یک رمز را از طریق USSD دریافت و در پاسخ رمز پویا را پیامک کنند. چرا USSD؟ چون ارسال رمز از طریق پیامک موجب ذخیره آن بر روی گوشی شده و در نتیجه آش همان آش و کاسه همان.

پی‌نوشت پس از انتشار دوم: ظاهرا در متن نتوانسته‌ام به خوبی مشکل رو تشریح کنم و برای برخی سوال ایجاد شده که چرا رمز دوم پویا که اعتباری یک‌دقیقه‌ای دارد می‌تواند خطرناک باشد. مساله این است که در پیاده‌سازی فعلی مکانیزم اعتبار سنجی از اتکا به عنصر حافظه به یک عنصر فیزیکی منتقل شده که به سهولت می‌تواند در اختیار افراد قید شده در مقاله قرار گیرد. گاو صندوق‌ها بر سه دسته هستند، آن‌هایی که صرفا با رمز باز می‌شوند. آنهایی که فقط با کلید باز می‌شوند و آنهایی که از هر دو مکانیزم استفاده می‌کنند. طبیعتا درجه ایمنی رمز از کلید بالاتر و مدل ترکیبی از هردو بالاتر است. در پیاده‌سازی فعلی رمز پویا پیامکی گاوصندوقی که قبلا با یک رمز ایستا باز می‌شده را ظاهرا به گاو‌صندوقی با رمز پویا ارتقا داده‌ایم با این تفاوت که تولید این رمز را به یک وسیله فیزیکی که به سادگی (حتی ساده‌تر از کلید گاوصندوق) می‌تواند در اختیار افراد غیر قرار گیرد سپرده‌ایم. در نتیجه به جای ارتقا به گاو صندوق ترکیبی به گاو صندوق مدل کلیدی تقلیل امنیت داده‌ایم. این فرض هم که اطلاعات کارت می‌تواند به عنوان رمز دوم مورد استفاده قرار گیرد هم اشتباه است چرا که عملا مثل این است که رمز گاوصندوق را چاپ کنیم و در زیر شیشه میز کنار گاو صندوق بگذاریم و تازه روی آن هم پلاک بزنیم:


رمز گاوصندوق اینجا نوشته شده اما برای بازکردن باید کلید رو هم از تو جیبم برداری!