سرقت اطلاعات کارتهای بانکی در ایران بزهی رایج شده است، صفحات و درگاههای جعلی پرداخت یکی از رایجترین شیوه های سرقت اطلاعات بانکی افراد است. این تخلفات آنچنان رایج است که از چندی پیش صحبت از فعال شدن سیستم پیامکی (یا رمز یکبار مصرف) برای پرداختها شده است. اما این شیوه نیز بی ایراد نیست ضمن آنکه ارسال رمز پیامکی برای هر پرداخت هزینه زیادی برای سیستم بانکی یا کاربران خواهد داشت میتواند در مواردی هم مثل تاخیر یا عدم رسیدن پیامک یا در دسترس نبودن موبایل مشکلاتی را ایجاد کند.
حال اجازه دهید نگاهی به یک روش ساده برای کمتر کردن این مشکلات داشته باشیم. ابتدا لازم است اشاره کنم که در کشورهای دیگر نیز چنین مشکلاتی وجود داشته است و پروتکلهای امنیتی خاصی هم برای آن در نظر گرفته شده است که شاید یکی از رایج ترین آنها 3D secure است. معمولاٌ در این روشها از یک لایه اضافه برای ورود پسورد یا سیستم پیامکی استفاده می شود و البته با توجه به تفاوت سیستم پرداخت در ایران با خارج از کشور (در دیگر کشورها ممکن است اطلاعات کارت مستقیم در خود سایت فروشگاه وارد شود برخلاف ایران که اطلاعات مستقیم در درگاه بانکی وارد می شود) ممکن است این روشها چندان در ایران قابل پیاده سازی نباشد یا کارساز نباشد. اما در هر حال روش های ساده ای برای افزودن یک لایه امنیتی وجود دارد.
یک روش ساده را بسیاری از ما در سرویسهایی ساده ای مثل ایمیل (در سرویسهایی مانند Gmail یا Outlook.com ) تجربه کرده ایم. بدین شکل که وقتی شما یک ورود موفق به این سیستمها دارید سیستم شما (در واقع مرورگر یا اپ) کامپیوتر یا موبایل شما در یک لیست سپید قرار گرفته و شما در دفعات بعد یا بصورت خودکار وارد می شوید یا فقط پسورد را می زنید اما اگر از کامپیوتر دیگری بخصوص از IP کشور دیگری سعی کنید وارد این سیستمها شوید ممکن است برای شما یک کد تایید از طریق ایمیل یا خط موبایل ارسال شود تا این سرویسها مطمئن شوند که فعالیت مشکوکی صورت نمی گیرد.
همین شیوه ساده براحتی در سیستم پرداخت کارتی کشور هم قابل پیاده سازی است. فرض کنید شما از طریق سایت شاپرک (هر کدام از درگاههای بانکی زیر مجموعه) پرداختی موفق داشته اید در این حالت مرورگر شما جزو لیست سفید قرار میگرد اما اگر از مرورگر دیگری یا کامپیوتر یا موبایل دیگری بخواهید پرداختی از طریق کارت داشته باشید برای شما کد تایید (از طریق پیامک یا ایمیل یا اپ بانکی) ارسال می شود. در چنین حالتی حتی در صورت سرقت اطلاعات کارت بانکی سارق اطلاعات امکان پرداخت و خرید از طریق این اطلاعات را نخواهد داشت. در واقع در این شیوه یا شما قبلاً از طریق مرورگر کامپیوتر خود پرداختی موفق داشته اید و یا نیاز به کد تایید (مثلا پیامک) دارید.
حال اینکار چطور قابل پیاده سازی است؟
پیاده سازی نیز آسان است. در این روش یک ID یکتا (فرضا یک عدد یا رشته حرفی) به کاربر اختصاص داده می شود که در مرورگر کاربر (بصورت cookie ) ذخیره می شود. در صورت پرداخت موفق این ID یکتا در پروفایل کارت (نزد بانک یا درگاه پرداخت) به عنوان یک ID مورد تایید ثبت می شود و در پرداختهای بعدی در صورتی که ID ذخیره شده در مرورگر کاربر با یکی از ID های تایید شده قبلی یکی باشد نیاز به ارسال کد تایید یا رمز یکبار مصرف مجدد نیست. از آنجا که درگاههای بانکی کشور همگی زیر مجموعه دامنه شاپرک هستند پیاده سازی این شیوه عملاً برای همه درگاه های بانکی قابل پیاده سازی است (کوکی ها میتوانند در ساب دامنه ها و آدرسهای یک سایت به اشتراک گذاشته شوند) و بدون لحاظ اینکه کارت صادر شده از کدام بانک است و در درگاه کدام بانک اطلاعات وارد شده است با یک پروتکل یکسان امکان هویت سنجی وجود دارد. حال ممکن است در پشت صحنه بانکها این اطلاعات را با یکدیگر به اشتراک بگذارند (مثلا درگاه بانک الف همراه با مشخصات کارت کاربر آن ID یکتا را نیز برای بانک صادر کننده کارت ارسال کند) و یا خود شاپرک به عنوان یک واسط در این میان نقش بازی کند.
این شیوه ساده نه تنها نیاز به ارسال پیامک یا کد تایید برای کاربر در پرداختهای اینترنتی را بسیار کم میکند و آنرا محدود به دوره زمانی بلند مدت (مثلا یکسال یکبار یا شش ماه از آخرین پرداخت) و یا تغییر کامیپوتر یا موبایل و یا حذف کوکیها از مرورگر کند تا حد زیادی میتواند جلوی سرقت و سو استفاده از اطلاعات کارتهای سرقتی را بگیرد.
یک روش ساده برای کاهش سواستفاده از اطلاعات کارتهای بانکی
رمزارز بومی ، آیا تجربه تلخ موسسات مالی و اعتباری تکراری خواهد شد؟
یک ,اطلاعات ,بانکی ,پرداخت ,مرورگر ,کارت ,از طریق ,می شود ,کد تایید ,پیاده سازی ,در این ,اطلاعات کارتهای بانکی
درباره این سایت