ضعف امنیتی بانک ها، عامل اصلی سرقت 45 میلیون دلاری
مردی که دو هفته قبل جسدش در جزایر دومینیک کشف شد، سر دسته شاخه نیویورک یک گروه دزدان سایبری بود که توانستند 45 میلیون دلار را از دستگاه های خودپرداز در کشورهای مختلف جهان، سرقت کنند.
یکی از مهمترین و تعجب برانگیزین نکات این رویداد که یقیناً باید مورد بررسی و آسیب شناسی توسط بانک ها قرار گیرد، سرقت این مبلغ هنگفت به صورت نقد و تنها با استفاده از 17 کارت خرید (Debit Card) است.
مرد به قتل رسیده به همراه هفت تن دیگر، شاخه نیویورک یک گروه بزرگ و بین المللی سارقان سایبری را تشکیل می دادند، این گروه کوچک 8 نفره توانسته بودند، در دو عملیات جداگانه، جمعاً 8/2 میلیون دلار از دستگاه های خودپرداز شهر نیویورک سرقت کنند.
در عملیات اول که اواخر پاییز سال گذشته انجام شد، این گروه هشت نفره، از طریق 170 دستگاه خودپرداز و انجام 750 تراکنش بانکی، حدود 400 هزار دلار به سرقت بردند. این عملیات کمتر از 2 ساعت و نیم طول کشید. در عملیات مشابه دوم که در اواخر اسفند ماه سال گذشته صورت گرفت، همین گروه توانستند 4/2 میلیون دلار را طی 3 هزار تراکنش بانکی از طریق خودپردازهای شهر نیویورک برداشت کنند. این عملیات حدود 10 ساعت طول کشید.
اکنون که جزئیات و نحوه این سرقت سایبری منتشر شده، نشان می دهد که سارقان تا چه حد مهارت داشته و در عین حال، سیستم های بانکی چه نقاط ضعف و حفره های امنیتی غیر قابل تصوری دارند.
سارقان ابتدا طی یک حمله نفوذی پیچیده و مفصل، توانستند به شبکه یک شرکت هندی که پردازش تراکنش های کارت های خرید Visa و MasterCard را انجام می داد، نفوذ و رخنه کنند. سارقان نفوذگر پس از دسترسی به شبکه این شرکت هندی، سقف اعتبار فقط 5 کارت خرید را به میزان زیادی افزایش دادند. این پنج کارت توسط بانک ملی راس الخمیه در کشور امارات متحده عربی صادر شده بودند.
مشخصات این پنج کارت خرید به همراه رمز کارتها در اختیار سر دسته های مختلف سارقان در چندی کشور قرار داده شد تا این مشخصات بر روی کارت های پلاستیکی دارای نوار مغناطیسی قرار داده شود و آماده استفاده در خودپردازها باشند.
در عملیات اول این سارقان سایبری، در مجموع 5 میلیون دلار با انجام 7 هزار و پانصد تراکنش بانکی از طریق خودپردازهای مختلف در جهان برداشت شد و به سرقت رفت. در این عملیات، سارقان که همچنان دسترسی به شبکه شرکت هندی داشتند، میزان برداشت همکاران سارق خود را از این کارت ها کنترل می کردند تا از سقف اعتبار دستکاری شده، بیشتر برداشت نکنند و باعث جلب توجه سیستم بانکی نشوند.
در عملیات دوم، سارقان نفوذگر این دفعه به یک موسسه آمریکایی که پردازش تراکنش های کارت های خرید را انجام می داد، نفوذ کرده و اعتبار خرید 12 کارت را کاملاً برداشته و آنها را به حالتی در آوردند که در عمل دارای سقف اعتبار نامحدود بودند. این کارت های خرید توسط بانک مسقط در کشور عمان صادر شده بودند.
یکبار دیگر، مشخصات کارت های دستکاری شده بین شاخه های مختلف سارقان در 24 کشور پخش شد و در این عملیات دوم، بیش از 40 میلیون دلار از خودپردازها به سرقت رفت.
این رویداد شگفت انگیز نشان دهنده ضعف شدید نظارت در سیستم های بانکی و سیستم پردازش کارتهای خرید است. تعجب آور است که هنگام برداشت مکرر از این 17 کارت خرید که در اوج عملیات به 3 هزار تراکنش همزمان رسیده، هیچگونه هشدار و زنگ خطری در سیستم بانکی به صدا در نیامده است. کاملاً مشخص است که در سیستم نظارتی بانکها هیچ تجربه و تحلیل آماری بر روی تعداد تراکنش ها صورت نمی گیرد وگرنه در همان لحظات اول، سیستم های خودکار نظارتی باید حساب این کارتها را مسدود می کردند.
در بسیاری از کشورها، حتی برای خرید این کارت های از پیش پرداخت شده، نیازی به احراز هویت نیست. سیستم بانکی هم چون وجه کارت ها از قبل دریافت کرده، حساسیت و علاقه چندانی به نظارت و مدیریت دقیق کارت های خرید نشان نمی دهد.
حتی در زمانی که نفوذگران توانستند سقف اعتبار این کارت ها را تغییر دهند، نظارت و کنترلی در سیستم بانکی صورت نگرفته است. انتظار می رود که سیستم هشدار دهنده و یا تایید کننده ای وجود داشته باشد تا افزایش اعتبار کارت های خرید تحت نظارت و کنترل قرار گیرد. مخصوصاً در حالت هایی که مبلغ اعتبار به طور چشمگیری افزایش داده می شود. اصلاً امکان تعریف اعتبار نامحدود برای کارت های خرید عادی، شگفت آور است.
همچنین استفاده از کارت های پلاستیکی قدیمی که فقط دارای نوار مغناطیسی هستند، یکی از بزرگترین نقاط ضعف کارت های خرید است. به کار گیری کارت های پلاستیکی جدید که علاوه بر نوار مغناطیسی دارای مدار الکترونیکی (Chip) هم هستند، می توانست مانع چنین اتفاقاتی شود.
نکته خوب این رویداد این است که پول های به سرقت رفته از حساب مشتریان بانک سرقت نشده و ضرر و زیان آن متوجه سیستم بانکی است. نکته بد این اتفاق هم این است که سیستم پردازش جهانی کارت های اعتباری به زودی این حادثه را فراموش کرده و از طریق شرکت های بیمه زیان خود را جبران خواهد کرد و تلاشی برای تغییر روش های احراز هویت و شناسایی صاحبان کارت های بانکی نخواهد نمود. با آنکه اکنون تقریباً همه پذیرفته اند که رمز عبور (PIN) برای کارت های بانکی بی فایده است و باید روش های دیگری نظیر مشخصه های فیزیکی انسان (Biometric) بکار گرفته شوند.
