سرقت از بانک

عليرغم تلاش مداوم بانك‌ها در مقابله با سرقت بانكي هنوز هم از اين ناحيه خسارات زيادي متوجه آنها مي‌شود و براي مسدود نمودن راه‌هاي پولشويي و كلاهبرداري، بانك‌ها بايد تغييرات اساسي اعمال كنند . با وجود توليد بعضي قوانين با ساختار ويژه مثل «سارپانس اگزلي» قانون فدرال امريكا به‌منظور نظارت، تنظيم و بازرسي شركت‌هاي دولتي، هنوز هم ميزان فعاليت‌هاي فريب‌آميز بانكي در جهان چشم‌گير است.

در دسامبر ۲۰۰۷ در ارتباط با يك سرقت بانكي ۱۹ نفر و از جمله يك بانكدار سوئيسي بانك UBS در برزيل دستگير شدند. پليس برزيل اعلام كرد بيش از چهار ميليون دلار پول نقد به سرقت رفته را باز‌پس‌گرفته‌است. در ميان متهمان اين پرونده تعدادي شركت‌هاي برزيلي هستند كه با پولشويي توسط بانك‌هاي سوئيس از پرداخت ماليات فرار كرده بودند و در اين پرونده شاخه خصوصي بانكداري اعتباري سوئيس و AIG مورد اتهام قرار گرفتند.

اين سرقت باعث توليد سومين دستورالعمل شد كه در آن مسووليت تمامي كلاهبرداري‌ها برعهده شركت‌ها نهاده و شركت‌ها موظف به كنترل اصالت و اعتبار مشتريان خود شدند .

 

پر كردن شكاف‌ها
هلن لرد -مديراطاعت از قوانين اختلاس شركت اكسپريان- تجهيز كننده تجزيه و تحليل‌هاي اطلاعاتي مي گويد: جنايتكاران سازمان يافته بسيار باهوش‌اند و از كوچكترين روزنه‌اي براي سرقت استفاده مي‌كنند و وجود تكنولوژي به روز مي‌تواند اين شكاف‌ها را ‌پر ‌نمايد.

با اخطار شركت‌هاي TJX (كمپاني‌هاي تجاري زنجيره‌اي در امريكا، كانادا و اروپا) مبني بر برخي مزاحمت‌ها به سيستم‌هاي كامپيوتري و سرقت اطلاعات مربوط به معاملات مشتريان، در ژانويه ۲۰۰۶ برخي قوانين مرتبط اصلاح شد. اين كلاهبرداري با به صدا در آمدن زنگ ارسال يك كارت هديه در زمان قبل از برداشت ۸ ميليون دلار و شكستن ديوار امنيتي ساير باجه‌ها به وقوع پيوست.

اين قبيل كلاهبرداري‌ها ، لزوم تدابير بيشتر به‌منظور كاستن موارد تخلف را گوشزد مي‌كند . TJX از استاندارد حفاظت اطلاعات كارت، تضمين كننده امنيتي اطلاعات پيروي مي‌كند.

هنگام طرح پرونده در حضور قاضي، مدارك حاكي از آن بود كه با وجود داشتن استاندارد حسابرسي در شركت‌هاي TJX از ۱۲ مورد استاندارد، تنها ۹ مورد رعايت شده‌است.

 

اطاعت از قانون
بررسي اطاعت از قانون و دستورالعمل در يك سازمان طبق فرآيند، فوق‌العاده كار دشواري است. اين گفته مايك فلوتون
-مدير توليد شركت open pages – تهيه‌كننده نرم‌افزار راه حل‌هاي تسلط بر تجارت است. از اين منظر سازمان‌ها نيازمند ابزاري هستند كه اين راه‌ها را براي آنها شفاف نموده، فرآيند ارزيابي كارشان مكانيزه شود. برايان گريگوري -مدير ارشد راه‌هاي فروش نرم‌افزارهاي مالي شركت EMEA اوراكل- نيز عقيده دارد هر چه فرآيند را بيشتر مكانيزه نماييد غلبه بر روش‌ها مشكل‌تر مي‌شود.

يكي از موارد تكنولوژي‌هاي جالب توجه براي تشخيص سرقت اطلاعاتي نمونه‌اي است كه در سطح ميز كار كارمند و يا با اتصال به شبكه داخلي سازمان از آن استفاده مي‌شود.

به منظور محافظت از آدرس صندوق پستي، مدلي توسط شركت «ونتيووفيدلس» توليد شده‌است. اين نرم افزار شامل بخش‌هايي است كه پيام‌هاي خروجي مربوط به شماره حساب و اطلاعات ويژه آن را كنترل كرده، اجازه دسترسي غيرمجاز را از آن سلب مي‌نمايد.

 

پولشويي
طبق گزارش صندوق بين المللي پول، همه ساله ۱۵۰ بيليون دلار درآمد ناشي از فعاليت‌هاي غير قانوني از طريق سيستم‌هاي مالي جهاني پولشويي مي‌شود و نيز طبق گزارش‌هاي تجميع شده ۵ ساله، نرخ هزينه‌هاي تشخيص دزدي در ۵ سال گذشته نشان از ۲۹ درصد رشد دارد.

آنتوني كربي -يکي از متفكرين اقتصادي فرانسه- در اين مورد مي گويد: بيشتر بانك‌هاي سرمايه گذار تصميم دارند حداقل يك چهارم و حداکثر يك سوم بودجه IT خود را صرف جلوگيري اززمينه‌هاي كلاهبرداري نمايند. موسسات مالي در ارزيابي شبكه‌هاي خارجي، خود را به سرعت دقيق و توانمند مي‌سازند. بيشتر سرقت‌هاي انجام شده در اين سازمان‌ها با اقدام يك تشكيلات جنايتكار و همكاري يك ارتباط داخلي عملي مي‌شود.

متخلفان آگاه
نيل داگسون -مدير ريسك و اطاعت از قوانين در شركت اما اراكل- مي گويد: سيستم‌هاي بانكي بيشتر براي دستگيري متخلفان آگاه برنامه‌ريزي شده و كمتر به جنايتكاراني كه دزدي آنها در حد سابقه دزدي از باجه‌ها مي‌باشدتمركز يافته‌است .
در حال حاضر به منظور كاهش ريسك كلاهبرداري داخلي، بانك‌ها از راه‌هايي مثل استفاده از نرم‌افزار جستجوي رفتارهاي مشكوك توسط يك كارمند و اخطار به قسمت فرمان استفاده مي‌كنند. از اقدامات ديگر، كنترل سابقه اعتبار و جرايم كاركنان جديد الاستخدام مي‌باشد.
موسسات مالي نسبت به نصب سيستم‌هاي كامپيوتري خود دقت و همت كافي به خرج‌نداده، كوتاهي در كنترل اين سيستم‌ها باعث خسارات مالي فراواني به آنها مي‌شود.

براي مثال بانك پست پك استراليا اعتراف كرد كه به دليل وجود مشكل كامپيوتري در سيستم‌هاي اين بانك، يكي از مشتريان اين بانك ۹ ميليون دلار بيشتر از مقدار موجودي خود از حساب برداشت نموده‌است.
تاكنون تنها در كشور انگلستان بيش از ۵۷ ميليون پوند معادل ۱۱۸ ميليون دلار به‌عنوان بازنشستگي و حمايت‌هاي درآمدي به افرادي كه در قيد حيات نيستند پرداخت شده‌است.

فلوتون يكي از صاحب نظران مي‌گويد: بيشتر اشتباهات و زيان‌هاي ناشي از تكنولوژي در سازمان‌ها در ارتباط با يكي از دو مقوله فرآيند و يا سياست است.

به‌منظور جلوگيري از پرداختي‌ها به افرادي كه مرحوم شده‌اند، سازمان‌ها بايد سياست‌هاي حسابرسي و كنترل دايمي اعمال كنند، البته تكنولوژي سيستم‌هاي مالي، فوق العاده پيچيده بوده و انتظار رفع صد در صد ريسك از فروشندگان تكنولوژي و IT بعيد به‌نظر مي‌رسد .

 

عمليات كنترلي
نظر به اينكه حملات سارقان اطلاعات به‌طور‌دايم در حال منظم‌تر شدن است، نياز بانك‌ها به اجراي عمليات كنترلي پويا و جامع مشتريان بيش از پيش احساس مي‌شود. اطلاعات موجود نشان‌دهنده آن است كه در‌حال حاضر هيچ بانكي اين‌گونه عمل نمي‌كند.

تنها راه مقابله با كلاهبرداري در سيستم بانكي، مجهز شدن به سياست‌هاي امنيتي مطمئن است. همواره بايد از طرف كاركنان نسبت به، به روز نمودن روش‌هاي تاريخ گذشته اقدام شود.
داشتن يك سيستم حجيم به خودي خود كافي نبوده بلكه بانك‌ها نيازمند ديدگاهي جامع نسبت به افراد و اجراي استانداردها و تكنولوژي مي‌باشند.

 

راههاي ذكر شده در ذيل جهت شناسایي و استفاده صحيح از كارتهاي عابربانك و مراقبت و پيشگيري از سوءاستفاده هاي احتمالي مي باشد .
دستگاههای معتبر عابر بانک و یا خود پرداز بانکی (یعنی ATM machines ) معمولا توسط شرکتهای معتبر و بزرگی همجون Diebold, NCR, Fujitsu ساخته میشوند. تمام آنها دارای کاست cassettes های حاوی اسکناس ، مثلا ۱۰ یا ۲۰ دلاری (یا واحد پولی آن کشور) هستند و این کاست ها توسط هیج نرم افزار کامپیوتری کنترل نمیشوند بلکه توسط تکنسین ها یا شرکتهای سازنده اش با سویج های مختلف در پشت هر کاست کدگذاری میشوند: مثلا بک کاست شامل ۲۰ دلاری است و دیگری ۱۰ دلاری و غیره.. بنابراین خود کاست ها اصلا نمی دانند که چه نوع اسکناسی در آنها گذاشته شده. یعنی کلا این ماشینها smart و هوشمند نیستند و “قبلا پروگرام شده اند” و پیغامهایی هم که روی صفحه اسکرین این ماشینها ظاهر میشه فقط از مرکز هدایت کننده صاحب آن ماشین ، مثلا بانک، از طریق شبکه و “نت ورک” ارسال میشه و خود دستگاه فادر به تغییرش نیست.

ATM ها دارای سنسورهایی هستند که ضخامت و کلفتی اسکناسهایی که در حال بیرون رفتن از کاستهای دستگاه هستند را تست می کند (مثلا ضخامت هر اسکناس بیست دلاری) و اگر ضخامت یک اسکناس که از یک کاست یا BIN خارج میشود مطابق با ضخامت پروگرام شده ای که به ان داده اند تیست ( یعنی مثلا این اسکناس ۲۰ دلاری نیست و ۱۰ دلاری است) فورا آن اسکناس را از دور خارج کرده و به یک BIN یا کاست دیگر هدایت می کند تا بعدا مسوول بانک آنرا در کاست مخصوص همان اسکناس بگذارد. ظاهرا تا اینجای قضیه چیزی قابل دستکاری نیست اما تا مدتهای ریادی default password – رمز و مستر اصلی عبور- این ماشینها در وب سایتهای شرکتهای سازنده شان (در کتایچه راهنما و repair manual شان) در اینترنت قرار داشته و برای همه قابل دسترسی بوده است!! اما زیاد کسی به آن توجهی نمی کرده..

الیته ماشیتهای دیگری که توسط شرکتهای ارزانتر ساخته شده اند مثلا “گیم ماشین” ها که معمولا نوجوانان زیاد با آنها در مغازه ها بازی می کنند از همان صفحه کلیدشان ” یعنی key pad ” شان فابل دستکاری و ریست Reset هستند و بچه های باهوش براحتی میتوانند مجانی بازی کنند. ولی ATM های بانکی را نمیشه از key pad شان دستکاری یا نفوذ کرد.
inside an atm machine ..روی این تصویر کلیک کنید و اجزای داخلی یک ATM ماشین را ببینید.

اما در سالهای اخیر هزاران نمونه از برداشتهای غیر مجاز از این عابر بانکها در دنیا اتفاق افتاده که جند نمونه معروف آنها از این قرارند. یعنی کسی از حساب بانکی شما پولی برداشته یا از کردیت کارت شما استفاده غیر مجاز کرده:

“Lebanese Loop”
Plastic Sleeves
/ Skimming Devices
Street Scam Frauds

Lebanese Loop .. لوپ لینانی.. این را ازین جهت که برای نخستین بار و بسیار زیاد در لبنان استفاده شده کلک لبنانی میگویند. و شامل کلک Plastic Sleeves توضیح داده شده در پایین است.

Plastic Sleeves ( آستین پلاستیکی )- شما کارتتان را داخل ماشین می کنید ولی هرچه که pin نامبرتان را وارد می کنید دستگاه به شما میگه که غلط است و کارت را هم به شما بر نمی گرداند. معمولا یک مشتری دیگر هم پشت سرتان منتظر ایستاده.. شما خسته و ناراحت و کلافه شده و آن ماشین را ترک کرده و تصمیم می گیرید که بعدا موضوع را به بانک گزارش

داده و کارتتان را از انها پس بگیرید. آن به ظاهر مشتری که پشت سرتان ایستاده بوده ممکن است که به شما پیشنهاد کمک هم بدهد و بگوید که این ماشین فبلا هم اینکار را با او کرده و او بلد است که چگونه مشکل را حل کند. او pin نامبرتان را از شما می پرسد یا ازتان میخواهد تا آن را دوباره تایپ کنید. اینجوری او pin نامبرتان را می فهمد ( و یا قبلا از پشت سرتان آنرا دیده است که چند بار وارد کرده اید)… باز هم دستگاه نه کارتتان را پس میدهد و نه pin نامبرتان را قبول می کند ۰ گیر کرده – و شما بالاخره آنجا را با جاگداشتن کارتتان در دستگاه ترک می کنید. و همان به ظاهر مشتری ، از حساب بانکی تان پول برداشت می کند و می رود.

نحوه این کلک ساده به اینصورت است که آن مشتری قبلا یک ورقه پلاستیکی بسیار نازک و تقریبا غیر فابل دید ( مثل یک آسیتین نامرعی) را توی سوراخ کارتخوان آن ماشین کرده و منتظر قربانی (یعنی شما) است. وقتی شما کارتتان را داخل دستگاه می کنید آن کارت در واقع مبره توی/ یا زیر آن ورقه پلاستیکی و دستگاه هم نمیتونه کارت شما را یخواند و بنابراین pin نامبرتان را هم نمیتونه بخواند . بعد از رقتن شما، آن مشتری به سادگی لبه ی برجسته یا کمی خم شده ی آن پلاستیک را (که شامل کارت شما هم هست) و به زحمت فابل دبدن است را از سوراخی دستگاه به بیرون می کشد و کارتتان را دوباره بدون ان پلاستیک به دستگاه وارد می کند و pin نامبرتان را هم که میداند و بقیه فضایا……حتی ممکن است که کسی هم پشت سرتان نباشد بلکه با استفاده از یک دوربین الکترونیکی بسیار کوچک و مخفی و “نقطه مانند” قبلا نصب شده در بالای ان دستگاه بتوانند pin نامبرتان را ببینند. پس هروفت که دستگاهی pin نامبرتان را بعد از چنذین بار وارد کردن تنوانست بخواند بلافاصله باید با شماره تلفنی که روی ان دستگاه است تماس گرفته و به بانک گزارش کنید و همانجا بمانید تا یکنفر از طرف ان بانک و یا یک پلیس بیاید و با ارایه کارت شناسایی اش به شما کمک کند.

ATM keypad overlay و ATM Card Skimmer (قرار دادن یک پوشش هوشمند روی keyPad دستگاه ATM )…… این پوشش به ظاهر معمولی، یک کارتخوان و اسکیمر است و فادر است تا تمام اطلاعات وارد شده از صفحه مگنت کارت شما در این keyPad را خوانده ( یعنی اسکیم کند ) و در خود ذخیره کرده و بعدا توسط کامپیوتر سارفان دانلوذ و برداشته و بازخوانی شده و کارت بانکی ای شبیه مال شما را بسازند و استفاده کنند.