محققان دانشگاه آکسفورد با نمایش کشف حفره امنیتی در سیستم های بانکی توانستند دستگاه های کارت خوان را شکسته و از آن عبور نمایند.
به گزارش بانکی دات ای ار به نقل از خبر آنلاین این حفره که محققان آکسفورد آنرا به طور عملی نشان دادند حاکی از آن است که مکانیزم موسوم به چیپ اند پین (Chip and Pin) روی انواع کارتهای اعتباری و کارتهای دبیت (Debit card) آسیب پذیر بوده و به راحتی قابل دور زدن است.
با کلک مذکور دستگاه های کارت خوان خرید انجام شده توسط کارت جعلی و یا دزدی را به رسمیت شناخته و آنرا تایید می کنند.ترمینال دستگاه گول خورده و هر نوع نقل و انتقال را بدون کنسل کردن و بدون دانستن شماره رمز PIN انجام می دهد و جمله معروف Verified by PIN روی دستگاه نوشته شده و پرینت خرید بیرون می آید. کلاهبردار می تواند با قرار دادن یک دستگاه بین کارت دزدی و ترمینال سیستم را فریب داده و به سیستم بفهمانند که رمز درست بوده و تایید می شود. ترمینال چه آنلاین بوده یا آفلاین گول می خورد. اگر صاحب اصلی کارت شکایت کند بدلیل تایید رمز شرکت بیمه یا بانک خسارتش را پرداخت نخواهند کرد.
سار دریمر از محققان این پروژه هشدار میدهد که برای این کار علم فنی زیادی لازم نیست و یک جنایتکار صنعتی براحتی می تواند کیت کلاهبرداری را ساخته و در بازار توزیع کند.در این تحقیق یوروکارت، مسترکارت و ویزا کارت سه کارت اصلی اعضای اتحادیه اروپا استفاده شد که همگی شکسته شدند. استیون ماردوک، سار دریمر، رز اندریون و مایک بوند چهار محقق لابراتوار کامپیوتر آمسفورد هستند که این تحقیق را انجام داده اند و قرار است نمایش انرا در سمپوزیوم IEEE در آوکلند در ماه می در امریکا انجام دهند.
محققان هشدار داده اند که در صورت عدم فیکس این مشکل مشتریان در اتحادیه اروپایی و امریکا و نیز کشورهایی که از این مکانیزم استفاده می کنند؛ در معرض خطر قرار گرفته و هر کسی به سادگی می تواند سر دستگاههای کارت خوان اعتباری کلاه گذارد.گروههای تامین کننده تجهیزات بانکی اما این استدلال را نپذیرفته و اعلام کرده اند که محققان اغراق کرده اند. گفته می شود حتما قطعه الکترونیکی باید روی تجهیزات نصب شود و دیگر اینکه این مکانیزم روی ماشینهای موسوم به ATM جواب نمی دهد و فقط ممکن است روی دستگاه های کارت خوان در فروشگاه ها کار کند.
Thaleschip and pin broken و Logic Group از جمله این شرکتها هستند که تاکید دارند ایت سیستم موفق بوده و میزان کلاهبرداری با آن بسیار پایین بوده است.آنها می گویند هر نوع نقل و انتقال وجه با رمز و پین در پی خرید جنس صورت می گیرد و امن تر از این روش موجود نیست.جی ابوت از کارشناسان امنیت سیستمهای بانکی در PwC می گوید به این راحتی هم که محققان گفته اند، نیست و پیاده سازی این روش ساده نسیت چرا که با فراخواندن صاحب کارت همه چیز ناتمام می شود و کلاهبرداران نمی توانند موفقیت حاصل نمایند.گفته می شود راه حل “چیپ اند پین” که در سال 2003 توسط انگلیس پذیرفته شد تا سال 2008 میزان کلاهبرداری از کارتها را تا 55 درصد کاسته و همچنین کشورهایی مانند امریکا هنوز از سیستم امضا و کارتهای مغناطیسی استفاده می کنند. استیو برونزویک یکی از مدیران در Thales که شرکتش 70 درصد از نقل و انتقالات مالی در سطح بین المللی را انجام میدهد در این باره می گوید تیم آکسفورد مزایای استفاده از مکانیزم Chip and PIN را نادیده گرفته است. به گفته وی آنها راهی را پیدا کرده اند که بدون داشتن پین است و این به معنی از دست دادن امنیت این مکانیزم توسط مشتریان نیست و البته راه نقل و انتقال از این روش بهترین در دنیا است. البته آنها به زعم استیو با نشان دادن ضعف سیستم کمک خوبی به توسعه آتی آن کرده اند.
واقعیت این است که هیچ سیستم امنیتی نمیتواند ادعا کند که کامل است و همیشه سه راه هزینه،آسان استفاده شدن و امنیت و صنعت بدنبال توسعه خود هستند. شرکتی بنام The Logic Group در انگلیس مسوول مدیریت بر 250 هزار پز یا دستگاه کارت خوان است و مدیرش گرثوکس نظری پرخاشجویانه نسبت به تیم تحقیق آکسفورد دارد. وی می گوید یک خروار از این اعلان خطرها را در پست مدیریتش دریافت کرده و در حالی که کلاهبرداران به ابداع روشهای جنایی در حوزه بانکداری الکترونیک می زنند، کارشناسان امنیت نیز در حال توسعه سیستم های خود هستند.
در سال اولی که مکانیزم چیپ اند پین وارد بازار شد ۴۸ درصد کلاهبرداری کم شد و بعد روشهای خلاف روی اینترنت بیشتر شد و بسیاری از شکافها بسته شد و استاندارد موسوم به PCI DSS PAYMRNT CARD برای تاجران بزرگ به سیستم اضافه شد. استیون مردوک یکی از اعضای تیم آکسفورد می گوید راه حل تغییر نرم افرازی است که وظیفه back-end سیستم بانکی را بر عهده دارد.البته تیم مذکور چندین راه حل را پیشنهاد کرده اند تا سیستم بهبود یابد.