چند نکته که باید درباره حفظ امنیت در شعب بانک‌ها و دستگاه‌های خودپرداز بدانید

یکی از ارزشمندترین دارایی‌های بانک‌ها، اعتبار آنها نزد مشتریان است. در بسیاری موارد، وقوع حوادث، منجر به خدشه‌دار شدن این اعتبار و در نتیجه از دست‌دادن مشتریان خواهد شد. بانک‌ها مانند هر موسسه اقتصادی دیگر، برای تأمین و ارتقای سطح امنیت، نیازمند مشارکت کارکنان خود هستند. از آنجا که کارکنان آموزش‌دیده و آگاه نقش موثری در رسیدن به این هدف دارند، آموزش امری ضروری و اجتناب‌ناپذیر است.

نکته بسیار مهمی که در اینجا باید به آن اشاره شود این است که بر خلاف تصور عموم، خطرهایی که با آنها مواجه هستیم، محدود به خطرهای عمدی ناشی از سرقت نیست؛ بلکه عرصه گسترده‌تری شامل حوادث عمدی و غیر عمدی، انسانی یا محیطی را در بر می‌گیرد. همچنین لازم است بدانیم که در اکثر مواقع، حملات هجومی یا تهدیدکننده با استفاده از آسیب‌پذیری‌ها و نقاط ضعف صورت می‌گیرد. بنابراین، هر آسیب‌پذیری، هر چند جزئی می‌تواند در وقوع حملات تهدیدکننده نقش بسزایی داشته باشد.

روش‌های برقراری امنیت فیزیکی در بانک‌ها

امنیت فیزیکی به معنای حفاظت از کارکنان، اجزای سخت‌افزاری، برنامه‌ها، شبکه‌های داده‌ها و در برابر شرایط و رخدادهای فیزیکی مانند آتش و بلایای طبیعی، سرقت، خرابکاری و ترور است که می‌تواند باعث آسیب جدی به سازمان شود.

گاهی اهمیت امنیت فیزیکی دست کم گرفته می‌شود و در مقابل بیشتر به مباحث ایمنی فناوری اطلاعات و راه‌های ربایش یا تغییر آن نظیر ویروس‌ها، تروجان‌ها، بدافزارها و غیره پرداخته می‌شود.

سه روش اصلی در برقراری امنیت فیزیکی وجود دارد:

۱. موانع را می‌توان در مقابل راه مهاجمان قرار داد.

۲. ایمن‌کردن تجهیزات در شعب می‌تواند آن را از بلایای طبیعی و تصادفات حفظ کند.

۳. استفاده از قفل‌ها، دیوارها، فنس‌کشی، تجهیزات ضد حریق و یا سیستم آبپاشی ضد حریق و غیره می‌تواند امنیت را افزایش دهد.

شناسایی و احراز هویت مراجعان شعبه

با توجه به اینکه مؤسسات مالی و بانک‌ها همواره از ناحیه افراد خاطی در معرض تهدید و آسیب هستند، به‌منظور جلوگیری از چنین امری، ضرورت دارد نکات زیر به‌طور دقیق رعایت شود.

۱. افتتاح حساب توسط افراد واجد صلاحیت و با رعایت موارد زیر صورت گیرد:

رؤیت دقیق اصل مدارک افتتاح حساب توسط پایوران (کارکنان ارشد) شعبه

 استعلام و تأیید نشانی متقاضی به نحو مقتضی

 اخذ شماره تلفن ثابت از مشتری و استعلام آن (تماس با آن شماره)

اخذ امضای معرف برای افتتاح حساب جاری

۲. به منظور احراز هویت مشتریانی که حساب‌های آنان در سایر شعب مفتوح است و برای بهره‌مندی از خدمات بانکی مانند دریافت با فعال‌سازی کارت بانکی، درخواست دستگاه رمزیاب (توکن)، اخذ رمز حساب و غیره به شعب بانک مراجعه می‌کنند، باید نسبت به تطابق اطلاعات اظهاری مراجعه‌کننده با اطلاعات موجود در سیستم همراه با اخذ مدارک شناسایی اقدام شود. شایان ذکر است که مطابقت امضای مراجعه‌کننده با امضای موجود در سیستم، ملاک احراز هویت افراد نیست. در هنگام احراز هویت مراجعان به شعب موارد زیر رعایت شود:

مراجعان به بانک باید برای انجام کلیه امور بانکی در باجه‌ها شناسایی و احراز هویت شوند.

به چهره مشتریان مستقیم نگریسته شود تا حس کنند که چهره آنها مورد شناسایی دقیق قرار می‌گیرد. این توجه کارکنان، احساس مراقبت کامل در محدوده بانک را به سارقان منتقل می‌کند.

بر اساس بخشنامه بانک مرکزی از ابتدای سال ۱۳۸۶ انجام هرگونه خدمات بانکی برای اتباع ایرانی باید با کارت ملی صورت گیرد. از این رو، هرگونه پرداخت از حساب‌های بانکی منوط به ارائه اصل کارت ملی و درج شماره ملی در ظهر اسناد پرداخت است.

ارائه هرگونه خدمات غیرمالی بانکی منوط به ارائه درخواست کتبی و احراز هویت کامل با کارت ملی است (درخواست ترجیحاً در دسته برگه روزانه نگهداری شود) و شماره سریال شناسنامه باید با دقت بررسی و ثبت شود

کد ملی پس از رؤیت، ثبت شود.

عددهای موجود در شناسنامه و کد ملی مطابقت داده شود.

شماره ثبت، تاریخ ثبت و محل ثبت شرکت‌ها با دقت نوشته شود.

شماره گذرنامه، تاریخ و محل صدور گذرنامه برای اتباع خارجی فراموش نشود.

مهر ورود به کشور برای گذرنامه افراد غیر ایرانی دیده شود. چنانچه گذرنامه‌های فاقد این مهر باشد، جعلی و نشان‌دهنده ورود غیر قانونی دارنده آن است.

هنگام پرداخت وجه چک‌های متمرکز در سایر شعب، غیر از شعبه افتتاح‌کننده، از آورنده چک حتی اگر صاحب حساب باشد احراز هویت کامل به عمل آید.

در صورت پرداخت وجه از حساب مانده‌های مطالبه‌نشده به‌ویژه مانده‌های مطالبه‌نشده متوفی، دقت لازم در احراز هویت ذی‌نفع به‌عمل آید و گردش بدهکار حساب مذکور نیز به طور مداوم بررسی شود.

هنگام پرداخت وجه اسناد بانکی از قبیل چک‌های بانکی و بین بانکی حواله‌ها و غیره حتماً مدارک شناسایی قابل قبول دریافت شود. بنابراین، پرداخت وجه اسناد موصوف به صرف ملاحظه تصویر اسناد سجلی به دلیل سرعت و شلوغی شعب یا هردلیل دیگر ممنوع است.

۳. احراز هویت مراجعان متفرقه با مشتریان سایر بانک‌ها مشابه بند ۲ است و نمونه امضای مراجعه‌کننده در سیستم به بانک موجود نیست. پس لازم است با دقت بیشتری مشخصات کامل، نشانی، تلفن ثابت و تلفن همراه نسبت به احراز هویت آنها اقدام کرد.

۴. هنگام ارائه هرگونه خدمات بانکی ضمن اطمینان از اصالت مدارک شناسایی، نسبت به مطابقت «چهره افراد» با «عکس الصاقی در مدارک» دقت لازم به عمل آید.

۵. معمولاً اشخاصی که نیت سوء دارند با وضعی به واحدها مراجعه می‌کنند که به‌راحتی شناخته نشوند. برای مثال با عینک‌های تیره در باجه حضور می‌یابند یا از کلاه استفاده می‌کنند، تا چهره آنان به سهولت قابل تشخیص نباشد. از این رو در مواجهه با چنین مواردی اعمال دقت و هوشیاری بیشتر در احراز هویت افراد ضروری است.

۶. در صورتی که معرف متقاضی حساب جاری، در سایر شعب بانک دارای حساب جاری است، باید از صحت امضای معرف و مهر شعبه اطمینان حاصل شود. در ضمن از قبول تأییدیه به صورت دستی توسط متقاضی حساب، اجتناب و استعلام به‌صورت جداگانه از شعب ذیربط اخذ شود.

۷. چنانچه صاحبان حساب سپرده قرض‌الحسنه جاری می‌خواهند معرف سایر اشخاص باشند، باید کارت نمونه امضا را در حضور مسئولان شعبه امضا کنند. تأیید امضای این مشتریان، قبل از اطمینان از صحت امضا ممنوع است.

موارد ایمنی دستگاه‌های خودپرداز و کارتخوان

۱. در زمان پول‌گذاری در دستگاه خودپرداز ضمن حفاظت از جعبه‌های پول دقت شود تا مشتریان از چگونگی پول‌گذاری و راه‌اندازی دستگاه اطلاع نیابند.

۲. حد مجاز نقدینگی دستگاه‌های خودپرداز و عدم نگهداری وجوه مازاد خارج از کاست‌های مربوطه و غیره رعایت شود.

۳. از افراد غیرمسئول برای پول گذاشتن در دستگاه‌های خودپرداز استفاده نشود.

۴. در هنگام پول‌گذاری دستگاه‌های خودپرداز سالنی که در خارج از شعب در سالن سازمان‌های طرف قرارداد شعبه نصب شده‌اند، لازم است ضمن هماهنگی قبلی با انتظامات سازمان مربوطه، حداقل دو نفر از کارکنان حضور داشته باشند. یکی از آنان مراقبت کند و فرد دوم اقدام به پول‌گذاری دستگاه کند.

۵. با توجه به تخریب دستگاه‌های خودپرداز در سرقت‌های انجام شده خصوصاً دستگاه‌هایی که در خارج از شعبه و در داخل سازمان‌های دیگر نصب است، از فعال بودن دوربین‌های سازمان ذی ربط، تأمین درستی دستگاه‌ها و حتی‌المقدور غیر قابل دسترس بودن در دستگاه برای مراجعان اطمینان یابند.

۶. دستگاه خودپرداز باید در محلی نصب شود که فعالیت‌هایی که در اطراف آن اتفاق می افتد، قابل رؤیت باشد.

۷. دستگاه‌های خودپرداز شعبه باید مجهز به قفل‌های ضدسرقت و همچنین سیستم هشدار در زمان جابه‌جایی و سرقت، سخت‌افزار آنتی اسکیمر، دوربین و سیستم ضبط تصاویر باشند.

۸. دستگاه خودپرداز باید به گونه‌ای باشد که امکان حفظ حریم خصوصی مشتری در حین استفاده از آن را فراهم سازد. بدین معنا که افرادی که در کنار خودپرداز یا در صف انتظار ایستاده‌اند. به‌راحتی نتوانند اطلاعات مشتری در حال استفاده از دستگاه را ببینند.

۹. برای مراقبت و بررسی اعمال مجرمانه و خلافکارانه احتمالی که با دستگاه خودپرداز صورت می‌گیرد، باید دوربین‌های مداربسته در اطراف آن نصب شود.

۱۰. دستگاه خودپرداز شعبه باید مرتباً بررسی شود و مشاهده هرگونه تغییر در آن (تغییر در کارتخوان، تغییر صفحه کلید یا دوربین نصب‌شده مشکوک روی دستگاه) مراتب بلافاصله مسئولان مربوطه اعلام شود.

تخلفات رایج در دستگاه‌های خودپرداز و کارتخوان

انواع تخلفات در دستگاه‌های خود پرداز (ATM Fraud)

تخلفات و کلاهبرداری‌های مربوط به دستگاه‌های خودپرداز از طریق Skimming: Shoulder surfing، Phishing، جاسازی سیستم‌های کشف اطلاعات (Trapping Devices) یا دوربین‌های مینیاتوری به منظور به دست آوردن کلمه عبور (Pin Code) و در نهایت از طریق کارت‌های تقلبی صورت می‌گیرد.

رخی از روش‌های شناخته شده سوءاستفاده از دستگاه‌های خودپرداز به شرح زیر است:

روش اسکیمینگ (Skimming)

کپی کردن اطلاعات نوار مغناطیسی کارت اعتباری مشتری از طریق کشیدن کارت از میان کارتخوان و استفاده از اطلاعات برای ساخت کارت تقلبی را اسکیمینگ (Skimming) گویند. اسکیمر قطعه‌ای سخت افزاری برای کپی اطلاعات کارت‌های بانکی است که چند سالی است وارد ایران شده و تاکنون تعداد زیادی از مشتریان را نقره داغ کرده است. در این روش سارقان با نصب اسکیمر روی دستگاه خودپرداز بانک‌ها تمام اطلاعات کارت بانکی که درون دستگاه وارد می‌شود را کپی می‌کنند و سپس با کپی آن روی یک کارت خام بدون اطلاع مشتری حساب بانکی او را خالی می‌کنند. با نصب آنتی‌ملبور بر روی خودپرداز از این شیوه کلاهبرداری جلوگیری می‌شود. نمونه‌هایی از اسکیمر در تصاویر بالا به نمایش گذاشته شده است.

روش شولدر سرفینگ (Shoulder surfing)

روش شولدر سرفینگ عبارت است از دزدن کلمه عبور دارنده کارت هنگام استفاده از دستگاه خودپرداز یا پایانه فروش از طریق مشاهده کاراکترهای وارده توسط کاربر.

روش فیشینگ (Phishing)

برخی از شیادان (Scammer) در روزهای تعطیل یا اوقات کم تردد با نصب قطعاتی شبیه قطعات دستگاه خودپرداز (ATM) یا دستگاه پایانه فروش (POS) روی دستگاه اصلی، اطلاعات شخصی سپرده‌گذار را دریافت می‌کنند. همچنین با در اختیار داشتن تجهیزات بی‌سیم نسبت به سرقت شماره کارت و کلمه عبور اقدام می‌کنند.

روش نصب دوربین بی‌سیم

روش دیگر شیادان، نصب دوربین بی‌سیم در اشیای جانبی نزدیک دستگاه‌های خودپرداز مانند جای بروشور یا مکان ریختن رسیدهای مشتریان با اشیای دیگر است، به نحوی که امکان تصویربرداری از صفحه کلید و صفحه نمایش دستگاه خودپرداز وجود داشته باشد. اطلاعات دریافت شده (کلمه عبور و شماره کارت به صورت بی‌سیم برای رایانه شیادان که در فاصله چند صد متری قرار می‌گیرند ارسال می‌شود و آنها قادر خواهند بود با کپی کردن کارت مشتریان، به حساب آنان دسترسی پیدا کنند.

روش کلک لبنانی (Lebanese loop)

در این روش شیادان با قرار دادن قطعه‌ای در مدخل ورودی کارتخوان و قرار گرفتن در پشت سر مشتری برای سرقت کارت و دیدن کلمه عبور اقدام می‌کنند. لایه بیرونی این قطعه مشابه دستگاه است و در آن نواری گذاشته شده که مانع از ورود کارت به قسمت‌های درونی دستگاه می‌شود. با کشیدن لایه بیرونی، کارت نیز با آن بیرون میاید. در این روش پس از گیر کردن کارت مشتری درون کارتخوان و انجام نشدن عملیات، زمانی که مشتری مستأصل می‌شود به پیشنهاد سارق برای رفع مشکل، دوباره کلمه عبور توسط مشتری وارد می‌شود؛ و کلمه عبور کارت سرقت می‌شود.

به پیشنهاد سارق، مشتری برای اطلاع موضوع به شعبه بانک، از محل خودپرداز دور می‌شود و در این هنگام سارق، قطعه و کارت را خارج می‌سازد و از دستگاه خودپرداز دیگری حساب مشتری را خالی می‌کند.

تخلفات در دستگاه‌های کارتخوان (POS Fraud)

نصب دستگاه‌های تقلبی برای دزدی اطلاعات و وجوه، تنها به دستگاه‌های خودپرداز محدود نمی‌شود. امروزه از طریق دستگاه‌های کارتخوان یا پوزهای فروشگاهی نیز امکان سرقت وجود دارد.

در این روش سارقان از طریق نصب مدارهای مغناطیسی روی دستگاههای کارتخوان، اطلاعات کارت مشتریان را در حافظه مدار ذخیره و با استفاده از دستگاه، آن را دریافت می‌کنند.

سپس با استفاده از کارت جعلی اقدام به برداشت وجه و خرید اینترنتی می‌کنند. برخی از کارتخوان‌ها تقلبی است و تنها اطلاعات مورد نیاز کارت‌ها را کپی می‌کند و یک صورتحساب مبنی بر خطای تراکنش به مشتری می‌دهد. از این رو، لازم است به مشتریان بانک تاکید شود که علاوه بر این که باید از فروشگاه‌های معتبر خرید کنند، کشیدن کارت و ورود رمز نیز توسط دارنده کارت انجام شود.