یک عاشق الکترونیک دیجیتال که از مسیر رباتیک به هوشمصنوعی رسید و آینده را در هوش واقعی میبیند. عضوی از تیم ترگمان.
کلاهبرداری با رمز پویا در دو گام
تا چند روز دیگر استفاده از رمز پویا در کشور اجباری میشود (هرچند حدس میزنم به مشابه بسیاری از ضربالاجلهای دیگر این یکی هم با تاخیر مواجه شود). چند روزی است که رمز دوم پویا رو برای چند بانک فعال کردم و در کمال تعجب دیدم چه بزرگراه ۶ بانده تمیز و آسفالتهای برای کلاهبرداران فراهم شده. ابتدا میخواستم این نوشته را به صورت یک نامه محرمانه به پلیس فتا و بانک مرکزی ارایه کنم اما از آنجایی که روالهای اداری بسیار زمانبر هستند و در عین حال برداشتها، اعمال سلیقههای مختلف و همینطور منافع موقت عدهای در دفاع از اشتباهات میتوانند باعث عدم اثرگذاری یا شنیده شدن باشند؛ ترجیح دادم آن را به صورت عمومی منتشر کنم.
بدیهی است برعکس عنوان این نوشته هدف از آن آموزش کلاهبرداری نیست بلکه هشداری است بر این که این مسیرها وجود دارد چه بنده آنها را مینوشتم و چه نمینوشتم؛ و در صورت عدم توجه و فعالسازی رمز پویا بدون توجه به مخاطرات آن موجب خسارتهای جبرانناپذیر به مردم در درجه اول و بدنه تجارت نوپای الکترونیک در درجه دوم است.
کلاهبرداری از طریق پیامک به مراتب سادهتر از کلاهبرداری از طریق اپلیکیشن است. در عین حال قشری از جامعه که به جای استفاده از اپلیکیشن روی گوشی هوشمند از پیامک استفاده میکنند به نسبت از سواد و آگاهی کمتری نسبت به کلاهبرداریهای فجازی برخوردار هستند. در نتیجه در این نوشته تنها به روش مبتنی بر پیامک میپردازم اما تعداد این روشها بسیار بیشتر از اینها است.
گام اول: دسترسی به اطلاعات کارت
ابتدا روال رمز دوم را در بانک ملت مرور کنیم. سایر بانکها هم کمابیش همینگونه هستند:
- درخواست خرید
- ورود به درگاه بانکی شتاب و پر کردن اطلاعات کارت، CVV2 و تاریخ انقضا
- ارسال چهار رقم آخر شماره کارت به سرشماره ۳۰۰۰۳۳۰۳
- دریافت رمز دوم پویا از طریق پیامک، درج در درگاه و اقدام به خرید
از مجموع اطلاعات لازم برای انجام خرید تنها چیزی که مخفی است رمز دومی است که بانک ارسال میکند. خاطرم هست قدیمتر که کارتها به صورت پرفراژ چاپ میشد رمز CVV پشت کارت بود اما از زمانی که چاپ کارت دیجیتال شده همه اطلاعات روی کارت چاپ میشود. حال ببینیم چگونه میتوان به اطلاعات عیان درست پیدا کرد:
- درخواست تصویری از کارت از طریق مهندسی اجتماعی به بهانه واریز وجه.
- ارایه کارت به فروشنده برای خرید از طریق POS که میتواند به راحتی از آن تصویر تهیه کند.
- دسترسی اعضای خانواده، دوستان و آشنایان به کارت بانکی و تهیه تصویر یا یادداشتبرداری از اطلاعات آن
- دسترسی به اطلاعات عیان کارت از طریق سایتهای فیشینگ (اصلیترین دلیل راهاندازی رمز دوم پویا)
گام دوم: دسترسی به گوشی همراه
در مباحث امنیتی همیشه دسترسی فیزیکی پاشنه آشیل است و برای افزایش امنیت در شرایطی که دسترسی فیزیکی وجود دارد نیاز است تا تمهیدات بسیار پیچیده اندیشیده شود. تاکنون اگر کسی به اطلاعات کارت ما دسترسی داشت لازم بود تا به طریقی به رمز اول یا دوم ما هم دسترسی پیدا کند. هدف اصلی از راهاندازی رمز پویا هم جلوگیری از همین دسترسی بوده اما چه کسانی و چگونه میتوانند به گوشی همراه ما دسترسی داشته باشند؟
- اعضای خانواده، دوستان و آشنایان: در فیلمهای پلیسی همیشه اولین مضنونین نزدیکان هستند. کسانی که بیشترین اعتماد به آنها وجود دارد و به واسطه همین اعتماد میتوانند به سهولت به گوشی ما دسترسی داشته باشند. اکثر کسانی که از سواد پایین در حوزه امنیت برخوردارند (مخاطبین کلاهبرداری در این نوشته) دارای گوشیهای غیر هوشمند بوده و حتی در صورت هوشمند بودن از امکانات رمز، الگو، اثر انگشت و غیره برای بازکردن قفل گوشی استفاده نمیکنند. در نتیجه دسترسی به گوشی آنها برای مدت زمانی در حد ۱ تا دو دقیقه کاری بسیار ساده است.
- فروشندگان و تعمیرگاههای تلفن همراه: تاکنون از سمت تعمیرگاههای غیرمجاز یا حتی شاغلین کلاهبردار نزد فروشندگان و تعمیرگاههای مجاز گزارشهای زیادی مبنی بر کلاهبرداری وجود داشته. این دسته از کلاهبرداران با دسترسی کامل به گوشی همراه میتوانند تقریبا بدون دغدغه هر کاری که بخواهند انجام دهند و حتی با سد رمز تلفن همراه هم مواجه نیستند و به بهانه دسترسی به گوشی برای نصب نرمافزار و تعمیرات میتوانند درخواست کنند تا رمز به آنها ارایه شده یا غیر فعال شود. حال کافیست فقط یکبار کارت بانکی شما را به بهانههای مختلف بگیرند و اطلاعات آن را ذخیره کنند. به قول هرکول پوارو: Voila
- سارقین: اگر تا دیروز سارقین مال عیان را میبردند اکنون میتوانند گزیدهتر برده و به جای دلهدزدی و بردن پخش خودرو و امثال آن، کافیست کمین کنند و کیف پول و گوشی همراه را بدزدند. قاعدتا انواع این نوع دزدی را بالاخص در خصوص خودرو دیدهایم و نیازی نیست تا جزییات آن را شرح دهم.
قاعدتا روشهای کلاهبردای محدود به موارد فوق نیست و فقط محض اشاره کافیست به خاطر داشته باشیم که افرادی هستند که به واسطه شغل خود به پنلهای پیامک، دستگاههای کپی سیمکارت و نظایر آن دسترسی دارند. قاعدتا با احترام به افراد شریفی که در این مشاغل مشغول هستند همیشه میتوان در هر قشری تعدادی کلاهبردار هم پیدا کرد و اتفاقا این افراد از خطرناکترین نوع کلاهبرداران هستند.
پینوشت پس از انتشار: برخی از دوستان ایراد گرفتند که این نوشته سطحی است و مثل این میماند که بگوییم قفل غیر ایمن است چون امکان دزدی کلید وجود دارد خود کاربر باید مراقب کلیدش باشد. یا برخی گفتند چه راهکار دیگری هست برای کسانی که گوشی هوشمند یا اینترنت ندارند. یا اصطلاحا گر تو بهتر میزنی بستان بزن. در پاسخ به این دوستان دو نکته را عنوان داشتم:
- هدف از طرح رمز پویا حمایت از کاربرانی است که به سهولت درگیر فیشینگ و کلاهبرداریهایی از این دست شدهاند. و الا من و شمایی که ادعایمان میشود که تخصص داریم درگیر این ماجرا نیستیم. مدل پیادهسازی طرح جاری نه تنها مشکل را حل نمیکند که بر دامنه آن میافزاید.
- حداقل انتظار برای این طرح این بود که از مکانیزم 2FA استفاده کنند. حذف رمز ایستا و اتکا صرف به پیامک است که موضوع را بسیار خطرناک کرده. اگر هم 2FA سخت است (هرچند نیست و سالهاست ورود به اینترنت بانک ملت مکانیزم 2FA دارد) میتوانستند به جای دریافت چهار رقم آخر کارت بانکی که اطلاعات عیان است یک رمز را از طریق USSD دریافت و در پاسخ رمز پویا را پیامک کنند. چرا USSD؟ چون ارسال رمز از طریق پیامک موجب ذخیره آن بر روی گوشی شده و در نتیجه آش همان آش و کاسه همان.
پینوشت پس از انتشار دوم: ظاهرا در متن نتوانستهام به خوبی مشکل رو تشریح کنم و برای برخی سوال ایجاد شده که چرا رمز دوم پویا که اعتباری یکدقیقهای دارد میتواند خطرناک باشد. مساله این است که در پیادهسازی فعلی مکانیزم اعتبار سنجی از اتکا به عنصر حافظه به یک عنصر فیزیکی منتقل شده که به سهولت میتواند در اختیار افراد قید شده در مقاله قرار گیرد. گاو صندوقها بر سه دسته هستند، آنهایی که صرفا با رمز باز میشوند. آنهایی که فقط با کلید باز میشوند و آنهایی که از هر دو مکانیزم استفاده میکنند. طبیعتا درجه ایمنی رمز از کلید بالاتر و مدل ترکیبی از هردو بالاتر است. در پیادهسازی فعلی رمز پویا پیامکی گاوصندوقی که قبلا با یک رمز ایستا باز میشده را ظاهرا به گاوصندوقی با رمز پویا ارتقا دادهایم با این تفاوت که تولید این رمز را به یک وسیله فیزیکی که به سادگی (حتی سادهتر از کلید گاوصندوق) میتواند در اختیار افراد غیر قرار گیرد سپردهایم. در نتیجه به جای ارتقا به گاو صندوق ترکیبی به گاو صندوق مدل کلیدی تقلیل امنیت دادهایم. این فرض هم که اطلاعات کارت میتواند به عنوان رمز دوم مورد استفاده قرار گیرد هم اشتباه است چرا که عملا مثل این است که رمز گاوصندوق را چاپ کنیم و در زیر شیشه میز کنار گاو صندوق بگذاریم و تازه روی آن هم پلاک بزنیم:
رمز گاوصندوق اینجا نوشته شده اما برای بازکردن باید کلید رو هم از تو جیبم برداری!
مطلبی دیگر از این انتشارات
راه اندازی کودا (CUDA) در داکر (DOCKER)
مطلبی دیگر از این انتشارات
نشست ترجمه و نشر در عصر فناوری
مطلبی دیگر از این انتشارات
۶ مزیت قابل توجه برای مترجم بودن
ولی سوالی که برای من پیش میاد اینه که چرا این کار رو اختیاری نکردن؟ مگه نمیگن بخاطر امنیت حساب خودمونه؟ آقا من این امنیتِ زورکی رو نمیخوام!!! کی رو باید ببینم؟ (>_<)