الأمان في أنظمة الدفع الإلكتروني، طرائق الدفع الإلكترونية وثغراتها

مع مرور الأيام، تزداد شعبية المدفوعات عبر الإنترنت (1)؛ إذ إنّ الدفع الإلكتروني هو طريقة نستطيع من خلالها الدفع لأي شخص عبر الإنترنت لشراء السلع والخدمات دون تحويل مادي للنقد والشيكات (2)، وتتنوع أنظمة الدفع الإلكتروني لتحقيق مستوى قوي من الأمان، وبالوقت ذاته؛ إنّ إجراءات الهجمات وإستراتيجياتها متقدمة (3)، فما مقدار الأمان من السرقة إلكترونيًّا في أثناء الدفع عبر الإنترنت؟

تؤدي المعاملة عبر الإنترنت اليوم دورًا حيويًّا من حيث التسوق ودفع الفواتير وتحويل الأموال وغيرها، ولا يزال هناك بعض الأشخاص الذين يستخدمون الإنترنت ولكنهم يتجنبون الشراء عبره لأنهم يخشون سرقة معلوماتهم المالية، ولذلك؛ يجب اتخاذ احتياطات إضافية لضمان الحفاظ على المعلومات الشخصية بأمان وبعيدًا عن أيدي الأشخاص الخطأ (1).

يرى المُختصون في الأمن السيبراني (Cyber ​​Security) أنه مع تزايد استخدام الدفع عبر الإنترنت تزداد فرص إساءة استخدام شبكات الدفع وسرقة المعلومات؛ إذ تحدث العديد من الهجمات الإلكترونية عن طريق بحث المجرمين عن نقاط الضعف في التكنولوجيا واستغلالها وارتكاب الجرائم الإلكترونية (1).

عندما يشتري الزبون سلعة ما ويدفع للتاجر ثمن السلعة بواسطة بطاقة؛ حينها تسمى العملية معاملة البطاقة (Card-present-transaction (CP، ويعني هذا أنّ عملية الدفع أُنجِزت على نحو مباشر عبر الإنترنت. أما في حال استخدام أجهزة قارئة للبطاقة (على سبيل المثال SET/ EMV أو EMV / CAP) سيكون التصنيف على أنّها معاملة غير موجودة  (Card-not-present (CNP لأنه في مثل هذه البروتوكولات لا تُقدَّم البطاقة إلى التاجر ولا تُنجَز المعاملة عبر نقطة بيع فعلية Point-Of-Sell (POS) (3)، علمًا أنّ SET هو بروتوكول المعاملة الإلكترونية الآمنة ( Secure Electronic Transaction SET)؛ فمن خلاله تُسترجَع البيانات بسهولة وتُخزَّن بيانات العميل بواسطة المحفظة الإلكترونية، وهو معيار تقني مفتوح للتجارة، طُوِّر بواسطة VISA و Master Card؛ إذ تنشئ الشهادة الرقمية تغييرًا في الثقة في أثناء المعاملة وتتحقق من حاملي البطاقات وصلاحية التاجر (2).

وقد ثبت بوضوح أنّ الهجمات واسعةُ النطاق على الهواتف المحمولة وأجهزة الكمبيوتر الشخصية، وتحدث غالبية الهجمات في أثناء تنزيل التطبيقات من قبل المستخدمين العاديين الذين ليسوا على قدر كافٍ من المعرفة بالهجمات على الإنترنت، أو ليسوا على دراية بمجرمي الإنترنت، وذلك بسبب أجهزة المستخدم -مثل الهواتف المحمولة- التي تُخترَق في أثناء تثبيت تطبيقات مثل الألعاب (1). 

كيف تُنجَز المعاملة CP؟

تُرسَل معلومات البطاقة إلى بوابة الدفع، وبعد التحقق ترسل البوابة تفويض المعاملة (Transaction Authorization) إلى التاجر مع إيصال إلى حامل البطاقة، وفي مثل هذه المعاملة لا يكون التاجر مسؤولًا عن الخسائر في حالة الاحتيال من قبل العميل، وذلك بسبب تفويض بوابة الدفع (3).

تعتمد معاملة البطاقة CP النظامَ السائد EMV) Europay-MasterCard-Visa) (يُطلَق عليه أحيانًا اسم Chip وPIN)، وهذا النظام هو مجموعة بروتوكولات معقدة ومجموعة من الشروط للتفاعل بين بطاقة الائتمان الذكية ومحطة الدفع، ويمكن للتاجر استخدام محطة واحدة فقط لجميع العلامات التجارية للبطاقات، ويعتمد الجانب المادي لـ EMV على ISO / IEC 7816 (وهو معيار دولي يرتبط بالبطاقات الإلكترونية) (3). 

تسير الـEMV على أربع خطوات رئيسة:

- الخطوة الأولى هي قراءة البيانات المطلوبة من البطاقة بواسطة الجهاز للمعالجة، ولذلك؛ تطلب محطة الدفع من البطاقة الذكية البيانات المطلوبة. 

- الخطوة الثانية هي التأكد من صحة البطاقة، ولهذا هناك ثلاث طرائق تُسمّى أساليب مصادقة البطاقة (Card Authentication Methods (CAM:

  - مصادقة البيانات الثابتة SDA) Static-Data-Authentication): هي أبسط طريقة لمصادقة البطاقة، ولكن لا تنفذ طريقة تشفير المفتاح العام في جانب البطاقة، لأنه لا يوجد سوى بيانات تطبيق ثابتة موقّعة من قبل البنك المصدر ومخزّنة في البطاقة. وبسبب استخدام شهادة ثابتة؛ من السهل نسخها واستخدامها في بطاقة مزيّفة بما في ذلك تطبيق يقبل أي رمز PIN (رقم التعريف الشخصي)، وهكذا يكون الهجوم ضد SDA عن طريق نسخ الشهادة الثابتة وكتابتها على بطاقة مزيفة، ونتيجة لذلك؛ تستجيب البطاقة "نعم" لأي رمز أُدخِل بصرف النظر عن رقم التعريف الشخصي الذي أُدخِل، ويمكن حماية هذا النوع من الهجوم بالمعاملة المباشرة عبر الإنترنت عن طريق اتصال التاجر بالبنك للتحقق من رمز مصادقة الرسالة الخاص بالبطاقة، ويُنفَّذ ذلك عن طريق مفتاح مشترك بين البطاقة الذكية والبنك المصدر.

   - مصادقة البيانات الديناميكية DDA) Dynamic-Data-Authentication): على عكس SDA؛ تتطلب طريقة DDA تنفيذ خوارزمية تشفير المفتاح العام، وتحتاج هذه الطريقة إلى إنشاء برنامج تشفير فريد ديناميكي لكل معاملة، وتحتوي كل بطاقة على مفتاح سري لتأكيد أصالتها. ومن ناحية أخرى، تحتوي كل وحدة طرفية على مفتاح VISA أو MasterCard العمومي للتحقق من شهادة البطاقة باستخدام سلسلة شهادات قصيرة، ولكن حتى في حالة استخدام DDA؛ من الممكن الهجوم على معيار EMV في حالة المعاملة غير المتصلة بالإنترنت.

  - برنامج تشفير البيانات المشترك مع تطبيق التشفير CDA Combined-DDA-with-Application-Cryptogram: 

تشبه معالجة CDA طريقةَ DDA ولكن مع خطوة إضافية؛ إذ يجب أن تنشئ البطاقة التوقيعَ الديناميكي الثاني لتأكيد أنّ البطاقة التي صودِقت بالفعل تُستخدَم في عملية تفويض المعاملة الحالية لضمان الأمان ضد هجمات أكثر تعقيدًا، ويجب أن تكون البطاقة الذكية قادرة على أداء خوارزمية تشفير RSA.

- الخطوة الثالثة هي التحقق من حامل البطاقة عن طريق التفاوض بين البطاقة والمحطة لاختيار طريقة تحقق ممكنة من حامل البطاقة، ويُطلَق على عنصر البيانات للحفاظ على طريقة التحقق المحددة اسم  (Cardholder Verification Method (CVM (طريقة التحقق من حامل البطاقة)؛ إذ تتمثل الطرائق المعتادة الممكنة لمصادقة حامل البطاقة في إدخال رقم التعريف الشخصي أو توقيع حامل البطاقة أو لا شيء على الإطلاق.

- أما الخطوة الأخيرة فهي التفويض بالمعاملة؛ إذ تؤكد المحطة أنّ حامل البطاقة لديه رصيد كافٍ للمعاملة الحالية.

توجد كثيرٌ من المشكلات على أنظمة الدفع الإلكتروني، وللتغلب عليها يمكن الانتباه إلى بعض المواضيع كالتشفير؛ إذ إنّ التسوق عبر الإنترنت حساسٌّ للغاية لفكرة أن التجارة الإلكترونية غير آمنة، إضافة إلى استخدام الأطراف المشاركة في المدفوعات عبر الإنترنت التوقيعات الرقمية في معاملاتها من أجل ضمان مصادقة المعلومات، والاتصال بالبنك الذي أصدر بطاقة الائتمان للتحقق من صلاحية بطاقة الائتمان؛ فإذا كان لدى التجار عبر الإنترنت أيُّ شكوك في أحد الطلبات ويحتاجون تأكيدَ تفاصيل الطلب، يمكنهم الاتصال بالبنك المصدر وطلب تأكيد تفاصيل الحساب العامة. وتكون هذه الإجراءات للتأكد من عدم سرقة البطاقة.

المصادر: