چگونگی پیشگیری و ردیابی دزدی از کارتهای بانکی
رشد 313.7درصدی دزدی از کارت در دهه گذشته در انگلیس
خسارت ناشی از کارتهای پلاستیک بین کشورها و مناطق مختلف جهان بسته به شرایط متعددی از جمله نحوه استفاده از کارت متفاوت است. بالطبع دزدی کارت در مناطقی که استفاده از آن شیوع بیشتری دارد نیز آمار بالاتری دارد. به عنوان مثال انگلیس سابقه طولانی در استفاده از کارت دارد به علاوه بازار کارتهای پلاستیک در این کشور بسیار پیشرفته است. خسارات ناشی از دزدی کارت در یک دهه گذشته با رشدی 313.7درصدی بیش از 382 میلیون پوند در انگلیس است.
به گزارش پایگاه خبری بانکداری الکترونیک سیستم کارتهای الکترونیکی پرداخت نقدی اطلاعات و داده های مختلف را در میان سهامداران مختلف انتقال داده و ذخیره می کند.
تمام این فرایند بسیار ساده میان پنج بخش انجام می شود که عبارتند از خودپردازهای خرد یا دستگاههای ATM، بانک پذیرنده که همان بانکی است که پایانه پوز یا دستگاه خودپرداز را نصب کرده است، سازمان پرداخت نقدی(psp )مانند ویزا کارت یا آمکس ، بانک صادر کننده کارت و بالاخره صاحب کارت که عملیات پرداخت را انجام می دهد. صاحب کارت فرایند پرداخت نقدی را در محل خرید کالا یا خدمات انجام می دهد یا از دستگاه خودپرداز پول نقد دریافت می کند.
در هنگام وارد کردن کارت در کارتخوان یا خودپرداز اطلاعات کارت و صاحب حساب از طریق بانک صاحب دستگاه خودپرداز برای تایید به بانک صادرکننده کارت فرستاده می شود. بانک صادرکننده کارت اطلاعات را به همراه مبلغ درخواستی تایید را رد می کند زیرا بانک صادر کننده گزارشات بالانس هر حساب را جداگانه نگهداری می کند. پاسخ بانک از طریق سامانه پرداخت کننده و بانک صاحب سامانه به دستگاه خودپرداز ابلاغ می شود.
تمامی بخشهایی که در فرایند (PCS) یا همان پرداخت نقدی شرکت دارند همگی گزارشی از حساب و تسویه آن را نگهداری می کنند. این اطلاعات بسیار حیاتی هستند ودر صورت سرقت آن احتمال کلاهبرداری و ساخت کارتهای تقلبی از روی آن وجوددارد.
نقاط ضعف سیستم پرداخت نقدی کارت
کلاهبرداری در حوزه کارتهای بانکی با روشهای مختلفی انجام می شود وبا گذشت زمان نحوه و گونه این کلاهبرداریها نیز تغییر کرده است. شاید به همین خاطر در حال حاضر هیچ طبقه بندی جهانی برای انواع کلاهبرداریهای انجام شده در حوزه کارت وجود ندارد. مراکز کارتهای بانکی نیز آمارهای طبقه بندی شده خود را فقط در داخل سازمان خود استفاده میکنند.
دسته بندی انواع کلاهبرداری
بنیاد پرداخت های نقدی انگلیس فقط پنج نوع کلاهبرداری مربوط به کارت را ثبت کرده است:
1- فرد خاطی سعی می کند از کارت دزدیده شده یا گمشده استفاده کند
2- هنگامیکه اطلاعات و موجودی کارت برای فردی به غیر صاحب کارت فرستاده می شود
3- کارتهای تقلبی که در آن اطلاعات موجود در کارت بر روی کارت دیگری که تقلبی است کپی می شود.
4- هنگام استفاده از کارت اطلاعات مو جود در کارت با اطلاعات سامانه پرداخت در اینترنت، تلفن و … مطابقت نمی کند
5- دزدیدن هویت و اطلاعات کارت که در این حالت فرد خاطی از اطلاعات سو استفاده می کند.
نوع دیگری از دسته بندی
موسسه بارکلی کارت نیز طبقه بندی خاص خود را دارد. این موسسه حداقل 12 نوع مختلف کارت و کالاهای الکترونیکی دیگر به بانکها ارائه می کند:
1- کارت جعلی، 2- دزدی کارت، 3- توقف پست اطلاعات حساب برای دارنده کارت، 4- استفاده از جزییات کارت، 5- دزدی هویت صاحب کارت،6- دزدی پول نقد از حساب
دلیل تفاوت میان انواع تعریف کلاهبرداریها شبیه آن چیزی است که قبلا توضیح داده شد اما تفاوتهای کوچکی دارد. جعل شامل دزدیدن اطلاعات کارت بانکی برای تولید کارت مشابه است. در مورد دزدی یا گمشدن کارت، کلاهبردار از همان کارت اصلی سواستفاده می کند. دزدی پول نقد نیز شامل دزدی اطلاعات پین درپایانه ها و پس از دزدی کارت صورت می گیرد. در مقایسه دو طبقه بندی با یکدیگر متوجه می شویم که هر دو شبیه هم هستند. تفاوت تنها در بیان و تعریف روشها است. برخی از مراکز تولید و ارائه خدمات کارت پدیده فیشینگ را هم گونه ای از کلاهبرداری از طریق کارت محسوب می کنند. زیرا فیشینگ هم نوعی دزدی اطاعات حیاتی است.
نوع سوم طبقه بندی کلاهبرداری های کارتی
از آنجا که کلاهبرداری با کارت معمولا با دزدی اطلاعات و سو استفاده از آن مربوط است، می توان از این واقعیت برای طبقه بندی مشخص تر انواع کلاهبرداری استفاده کرد.
از سیستم پرداخت نقدی که اطلاعات را برای شناسایی و تایید هویت دارندگان کارت به منظور تایید عملیات استفاده می کند آغاز می کنیم. در این مرحله سه نوع منبع اطلاعاتی وجود دارد که ممکن است دزدی اطلاعات از آن صورت بگیرد: الف) رسانه ای که برای تایید صلاحیت مشتری استفاده می شود، ب) سیستم انتقال اطلاعات و ج) صاحب کارت. بنابراین می توان دزدی اطلاعات را بدین حالت دسته بندی کرد: 1-دزدی اطلاعات کارت اصلی به طور مستقیم از کارت، 2- دزدی کارت و اطلاعات موجود در آن به طور مستقیم از سیستم و 3- دزدی کارت و اطلاعات موجود در آن از صاحب کارت.
در عمل دزدی اطلاعات از کارت نیز به دو طریق انجام می شود: 1- دزدی کارت، 2- ضبط اطلاعات برجسته روی کارت بدون اطلاع صاحب آن
خسارات ناشی از انواع مختلف دزدی کارت
خساارت ناشی از کارتهای پلاستیک بین کشورها و مناطق مختلف جهان بسته به شرایط متعددی از جمله نحوه استفاده از کارت متفاوت است. بالطبع دزدی کارت در مناطقی که استفاده از آن شیوع بیشتری دارد نیز آمار بالاتری دارد. به عنوان مثال انگلیس سابقه طولانی در استفاده از کارت دارد به علاوه بازار کارتهای پلاستیک در این کشور بسیار پیشرفته است. خسارات ناشی از دزدی کارت در یک دهه گذشته با رشدی 313.7درصدی بیش از 382 میلیون پوند در انگلیس است.
واضح است که جعل کارت تنها حجم کوچکی از این خسارات را سبب می شود. هر گونه دزدی اطلاعات کارت نشان از افزایشی سریع در طول یک دهه داشته است. آمار خسارات نشان داده شده معمولا با خسارت به یکی از بخشهای دخیل در عملیات همراه است. بسته به شرایط انتقال پول و اطلاعات خسارات دارنده کارت ممکن است جبران شود که این خسارات را بخش دیگری باید تامین کند .
تلاش برای کاهش کلاهبرداری کارتها
به طور کل دو راه برای مقابله با این گونه کلاهبرداری وجود دارد: جلوگیری و ردیابی.
جلوگیری در مورد برخی گونه های کلاهبرداری امکانپذیر است. ردیابی کلاهبرداری هنگامی انجام می شود که تمام راههای پیشگیری کلاهبرداری امکانپذیر نیست.
پروتکل PCI
تلاش برای کاهش کلاه برداری با روشهای IT/IS با اقدامات سازمانی همراه است. این روشها از فناوری سه بعدی و تراشه های موجود در کارت بهره می برند. اقدامات سازمانی براساس استانداردهای امنیتی PCI است. فناوری امن سه بعدی نوعی پروتکل است که به عنوان یک لایه امنیتی اضافه برای پرداخت و نقل و انتقال اینترنتی استفاده می شود. این لایه امنیتی را در اصل ویزا برای ارتقای امنیت انتقال مالی خود در فضای آنلاین استفاده کرد. خدمات این پروتکل را هم اکنون مستر کارت با نام کد امنیتی مستر کارت به مشتریان خود ارائه می کند.
فناوری تراشه های موجود در کارت معمولا شامل کارتهای هوشمند برای حمل اطلاعاتی است که برای تکمیل عملیات مورد نیازند. این فناوری در اصل تراشه ایست که اطلاعات رابرای عملیات های اصلی کارت حمل می کند. این اطلاعات به داده هایی گفته می شود که در خارج از محیط PCI مانند تلفن و… رد و بدل می شوند.
در درجه دوم می توان این نام را به تراشه هایی اطلاق کرد که از هرگونه عملیاتی را کنترل کرده و برای آن اجازه صادر می کنند. براین اساس کارتهای تراشه ای را می توان در گروه کارتهای حافظه ای و میکروپردازشگرها محسوب کرد. این کارتهای شامل اطلاعاتی هستند که بانک صادر کننده برای مقاصد امنیتی وارد کرده است. از سوی دیگر کارتهای میکروپردازشگر عملیات درخواستهای مبتنی برکارت را حمایت می کنند.آنها با قرارگرفتن در پایانه فعال می شوند.
استانداردهای امنیتی PCIتلاشهایی سازمان یافته طرح های شرکتهایی همچون آمریکن اکسپرس ، مستر کارت، JBCاینترنشنال در سطح جهانی است. طراحی استانداردهای امنیتی و مدیریت آنها بر عهده مجمع استانداردهای امنیتی PCIاست.
ردیابی دزدی اطلاعات با کنترل ریسک در سیستم برنامه ریزی شده است .
سیستم کنترل سیستم (RMIS) سیستمی است که نقل و انتقال پول در دنیای مجازی را کنترل می کند. از آنجا که معمولا هربانک آن را به طور جداگانه استفاده می کند سیستم فعالیتهای هر بانک صادرکننده ، پوز، پایانه خرید را که نصب شده کنترل می کند. این سیستم کنترل قواعد خاصی را دنبال می کند تا فعالیتهای مشکوک را شناسایی کند. این عمل به صورت دستی انجام می شود اما سیستم بانکهای متوسط و بزرگ در مدت زمانی کوتاه تعداد عملیات های زیادی را در یک زمان انجام می دهد و نیاز است عملیات احتیاطی برای هر عملیات انجام شود. در ردیابی دزدی اطلاعات سیستم مشکل را فیلتر می کند. خودکار کردن این سیستم مشکل است .
زیرا در هنگام فیلتر کردن خودکار سیستم نمی تواند براساس گمانه های کاملا درست عمل کند و در عملیاتها اختلال ایجاد می کند.
منبع: ژورنال بانکداری و تجارت الکترونیک( آگوست 2010)
مترجم: شیوا سعیدی