دزدی از عابر بانک ها

دو شب پیش شبکه تهران برنامه ای در مورد دزدی از عابر بانک ها نشان می داد. پلیس جوانی را گرفته بود که اعتراف کرده بود چهل میلیون تومان از عابر بانک ها دزدی کرده (البته قاضی می گفت مقدار دزدی نزدیک دویست میلیون تومان بوده). خیلی برایم جالب بود چطور جوانی که تنها تا کلاس اول دبیرستان درس خوانده، توانسته بود به سیستم عابر بانک نفوذ کند. ولی وقتی آقا دزده روش کارش را توضیح داد دیدم که بیشتر مشکل از سیستم عابر بانک ها است تا نبوغ جوانان ما !

عموما توی سیستم های کامپیوتری، روش های احرازهویت (Authentication) بر اساس این سه اصل هست:

1. "What you have": مثل همین کارت های عابر بانک، Security Token یا هر وسیله دیگری که بتواند هویت کاربر را اثبات کند.

2. "What you know": متداول ترین مثال در این دسته همان رمز عبوری است که روزی صد بار از ما پرسیده می شود.

3. "What you are": فاکتورهای بایومتریک مثل اثر انگشت یا اثر قرنیه در این دسته قرار می گیرند.

البته روش های دیگری مثل احراز هویت بر اساس مکان (Where you are) هم وجود دارد که خیلی عمومی نیستند.

معمولا در جاهایی که حساسیت زیادی در مورد احراز هویت وجود دارد، سعی می شود از روشی به نام احراز هویت دو یا سه فاکتوری (Two/Three Factor Authentication) استفاده شود. در این روش برای بالا رفتن امنیت دو یا سه روش از روش هایی که قبلا گفتم با یکدیگر ترکیب می شود.

حالا برویم سراغ سیستم عابر بانک های کشور عزیزمان، در عابر بانک های ایران(مثل خیلی از جاهای دیگر دنیا) از احراز هویت دو فاکتوری استفاده می شود که فاکتور اول آن کارت عابر بانک و عنصر دوم آن پسورد است، ولی مشکل آنجا است که هر دوی این فاکتورها، فاکتورهای ضعیفی هستند.

در کارت عابر بانک ها از تکنولوژی نوار مغناطیسی استفاده شده. با داشتن شماره حساب و یک Writer کارت به آسانی می توانید یک کارت، مثل کارت صاحب حساب درست کنید. به گفته آقا دزده قیمت Writer توی بازار حدود ششصد هزار تومان است. شماره حساب هم که جزء اطلاعات مخفی محسوب نمی شود و با کمی زحمت می توانید شماره حساب هر کسی را بدست آورید.

پسورد عابر بانک ها هم که فقط یک عدد چهار رقمی هست که دیدن آن موقع وارد کردن پسورد خیلی سخت نیست*. ولی حتی اگر آن را ندانیم معمولا حدس زدن آن خیلی سخت نیست(پسورد 70% مردم 1234 هست ، 60% بقیه هم پسوردشان با 13 شروع می شود!)

خیلی جالب است که بدانید در بعضی از کشورهای دنیا بیش از 20 سال است که از Smart Card ها بجای کارت های مغناطیسی استفاده می شود. Smart Card ها معمولا از یک الگوریتم کلید نامتقارن برای احراز هویت استفاده می کنند و ساختار آنها به صورتی است که کپی کردن آن یا سرقت کلید از داخل آن تقریبا نا ممکن است.

نمی دانم چرا بانک های ایران همگی از این سیستم خنده دار استفاده می کنند، شاید هنوز ضرری که از راه سرقت به بانک ها وارد می شود آنقدر زیاد نشده که ارتقای سیستم را توجیه پذیر کند. البته توجه دارید که دزدی از بانک ها خیلی ضرری هم برای بانک ها ندارد و بیشتر مشتری ها تاوان آن را می دهند. اگر یک روز ببینید حساب شما خالی شده و به بانک مراجعه کنید محترمانه ترین رفتاری که ممکن است با شما بشود این است که بگویند شما اشتباه می کنید، حتما حواستان نبوده و از حسابتان برداشت کرده اید و شما هم هیچ مدرکی برای اثبات ادعای دزدی ندارید.

* حتما یک بار وقتی توی صف عابر بانک ایستاده اید سعی کنید پسورد نفری را که می خواهد پول بگیرد ببینید، کار خیلی سختی نیست ولی مواظب باشید به شما مشکوک نشوند وگرنه یک کتک حسابی می خورید. یک روش هم برای جلوگیری از لو رفتن پسوردتان بگویم، هر دو تا دستتان را روی صفحه کلید عابر بانک قرار بدهید و هر بار که یک انگشتتان را روی یک کلید فشار می دهید سعی کنید دو سه تا دیگر از انگشت هایتان را هم بالا و پایین ببرید، سعی کنید کلیدها را با انگشت های مختلف فشار دهید. این روش دیدن پسورد را خیلی مشکل می کند.