قامت شركة PlugWallet الإسرائيلية الناشئة بتطوير نظام دفع يتم إجراؤه مباشرة ضد خوادم الشركة، عندما لا يتلقى البائع معلومات المستخدم.
قضية الهاكر السعودي الذي كشف تفاصيل آلاف بطاقات الائتمان الإسرائيلية عبر الإنترنت أحدثت ضجة كبيرة صاحبها خوف كبير – هل يمكن أن يحدث هذا لأي منا؟ لماذا كان من السهل جدًا على المتسلل الوصول إلى المعلومات، وكيف يمكن للمرء الدفاع ضد مثل هذا الموقف، وكذلك البدائل - كيفية الدفع عبر الإنترنت بدون بطاقة ائتمان.
خلف الكواليس: كيف يعمل الدفع عبر الإنترنت
عالم الائتمان يقوم على الوساطة. في عملية الشراء عبر الإنترنت، تعمل شركات الائتمان كوسيط بين محفظتنا الافتراضية، وهي الحساب البنكي، والمتجر. أثناء عملية الشراء عبر الإنترنت، يمر رقم بطاقة الائتمان الخاصة بنا بعدة تكرارات: بعد كتابته على موقع المتجر، ينتقل إلى البوابة، التي ترسل المعلومات إلى شركات بطاقات الائتمان من أجل التحقق من تفاصيل العميل. بعد تلقي التأكيد، تعود المعلومات عبر نفس السلسلة إلى المتجر، ويمكن تنفيذ المعاملة.
في وقت الدفع، عندما نكتب معلومات بطاقتنا الائتمانية في المتجر عبر الإنترنت، إذا كان صاحب المتجر صادقًا بدرجة كافية، فسوف يتأكد من أن الموقع يتمتع بحماية أمنية (وفقًا لمعايير PCI الصارمة)، كما أنه كذلك ومن المرغوب فيه أن يتأكد من حذف معلوماتنا الائتمانية في نهاية عملية الشراء، وعدم حفظها على الخادم الخاص به إلى الأبد. وعلى شركات الائتمان نفسها واجب أخلاقي يتمثل في التأكد من أن المتاجر الافتراضية التي تعمل معها تحافظ على رموز الأمان.
ويبدو أن ما حدث في قضية الهاكر السعودي، هو عدم استيفاء كل هذه الشروط. على الرغم من أن شركات الائتمان آمنة للغاية، وهناك احتمال ضئيل أن يتمكن شخص ما من اقتحام الخادم الخاص بها مباشرة وسرقة التفاصيل من هناك، ولكن إذا لم تتأكد شركات الائتمان من أن مواقع التسوق تحافظ أيضًا على الأمان، إذن من السهل جدًا على المتسللين أن يسلكوا الطريق الالتفافي، ويصلوا إلى ثقب في الجدار - الأمن المعطل للمحلات التجارية.
ادفع دون الكشف عن بطاقة الائتمان
هناك العديد من طرق الدفع عبر الإنترنت. كما ذكرنا، الطريقة الأكثر شيوعًا هي من خلال بطاقات الائتمان. هناك طريقة أخرى، تعتمد أيضًا على الائتمان، وهي PayPal، والتي بموجبها يقوم العميل بإدخال رقم الائتمان الخاص به مرة واحدة - على منصة شركة PayPal. ثم يتلقى بعد ذلك رقم بطاقة افتراضية يمكنه من خلالها إجراء عمليات شراء على المواقع. في هذه الحالة، يتم إخفاء رقم بطاقة الائتمان خلف "قناع" آمن. الميزة هي أنه ليس من الضروري إعطاء المعلومات الائتمانية لكل متجر افتراضي، ولكن هناك عيوب: لا يمكن تنفيذ الطريقة إلا إذا كان العميل لديه بطاقة ائتمان، وثانيًا، أنها مكلفة نسبيًا، بسبب التسوية الرسوم المدفوعة لجميع الوسطاء على طول الطريق (PayPal وشركات الائتمان والبنك).
هناك طريقة أخرى تسمى COD (الدفع عند الاستلام) ولا تتطلب بطاقة ائتمان. في هذه العملية، يطلب العميل منتجًا من موقع ويب معين، ولا يدفع ثمنه إلا عند استلامه، من خلال رسول يعمل كوسيط في المعاملة. بهذه الطريقة، يجب على البائع في المتجر أن يعتقد أن العميل ينوي الدفع، ثم يرسل رسولًا لتسليم المنتج وإعادة المبلغ بالمال (على غرار طلب البيتزا - يصل الرسول ويأخذ النقود). المشكلة الرئيسية هنا جغرافية، لأن هناك حاجة إلى قرب معين بين العميل والمتجر الفعلي لكي يتحقق ذلك. ثانياً، يجب أن يكون لدى البائع نوع من الثقة في العميل، لأنه لا يستطيع المخاطرة بإرسال سعاة إذا لم يكن متأكداً من أنه سيتلقى أمواله.
تعتمد طريقة eBillme أيضًا على الدفع نقدًا، ولكن ليست هناك حاجة إلى خدمة البريد السريع. وهنا يقوم راكب الأمواج بطلب منتج ما عبر الموقع الإلكتروني، وعند توقيع المعاملة، يحصل على رمز. باستخدام الرمز، يقوم بالدفع في كشك أو بنك، ثم يتلقى المنتج في البريد. هذه الطريقة منتشرة بشكل رئيسي في الولايات المتحدة الأمريكية، في متاجر مثل Seven Eleven وWestern Union. وهي تعمل على نطاق واسع في الهند أيضًا.
الدفع المسبق هو أيضًا طريقة مماثلة، ولكن هنا يتم عكس ترتيب الأحداث - يقوم العميل أولاً بإيداع النقود، ثم يذهب ويقوم بالشراء باستخدام بطاقة محملة (في تشبيه عالم الاتصالات، هذا مشابه لـ Tuckman). الميزة الواضحة هي أنه حتى لو تم اقتحام الأموال وسرقتها، فهي تقتصر على المبلغ الذي أودعه العميل فقط، فلا يمكن السرقة أكثر من ذلك.
تعمل شركة PlugWallet الإسرائيلية الناشئة بهذه الطريقة. وفقًا ليوفال رون، نائب رئيس التكنولوجيا في شركة Flagwalt، "نظرًا لأن الدفع يتم معنا مباشرة على خوادم الشركة، فإن البائع لا يتلقى معلومات المستخدم. كل شيء يحدث مباشرة أمام خوادم فلاجوالت."
يوضح رون: "نظرًا لأنها بطاقة تعتمد على النقد، فلا يوجد تعرض لبطاقة الائتمان هنا، ولا يهم ما إذا كان لديك بطاقة ائتمان أم لا". "يقوم العميل بتحميل حسابه بالمبلغ الذي يريده في محطات الشحن (في المتجر أو في الكشك)، ثم يقوم بالشراء باستخدام الهاتف الذكي أو الكمبيوتر."
وفقًا لرون، "لقد أدركنا سريعًا أن إحدى المشكلات المتعلقة بطرق الدفع الحالية عبر الإنترنت هي أنها تعتمد على بطاقات الائتمان وتتضمن عدة وسطاء. وفي فلافولت، وبما أن الدفع يتم نقدًا مباشرة أمام خوادم الشركة، فإن رسوم المقاصة تأخذ في الاعتبار وسيطًا واحدًا فقط، وهذا يقلل الرسوم بحوالي 70٪ -90٪.
لماذا يجلس فلاجوالت على السحابة؟ أليس الأمر أكثر خطورة؟
"على العكس تماما. يقع خادمنا على منصة خدمة أمازون (AWS)، التي توفر خدمات الأمان. تستثمر أمازون ملايين الدولارات لتأمين خوادمها، ولديها مجموعة من الخبراء الذين تتمثل مهمتهم في التأكد من أمان الخادم. في مثل هذه الحالة، لا يستحق الأمر بالنسبة لي، كشركة، أن أمتلك خادمًا خاصًا بي وأؤمنه، ولكن من الأفضل استئجار خدمات الأمان في السحابة. لدي فقط مسؤولية تأمين طلبي."
وفيما يتعلق بالأمن، يضيف رون: "بالإضافة إلى اسم المستخدم ورقم المرور، هناك مفتاح يعمل فقط من الجهاز الخاص بالعميل، لذلك حتى لو قام أحد المتسللين بالاختراق وكشف اسم المستخدم وكلمة المرور، فيجب عليه أيضًا سرقة الجهاز من خلاله". التي تتم فيها عمليات الشراء، وهو ما يجعل بالطبع من الصعب جدًا على الجميع فكرة الاقتحام".
شركة "فلاغوالت"، التي أسسها يوفال رون ووالده عاموس رون (الرئيس التنفيذي السابق لهيئة الموانئ) في عام 2008، تستهدف بشكل أساسي الأسواق النامية، حيث "يوجد في الواقع عدد أكبر بكثير من الأشخاص الذين لديهم إنترنت مقارنة بأولئك الذين لديهم بطاقات ائتمان". يقول يوفال: "65% من مستخدمي الشبكة المسجلين حول العالم ليس لديهم بطاقات ائتمان". "معظمهم موجود في البلدان النامية، مثل الهند والصين. إنهم يتجولون هناك ومعهم مبالغ نقدية ضخمة في أيديهم".
تعليقات 18
إن التحويل إلى شخص لا يعرف هوية المشتري لا يصلح إلا للمنتجات التي تكون عبارة عن ملفات كمبيوتر. وفي أي حالة أخرى، يجب على البائع التصرف ضد المشتري الذي تكون تفاصيله معروفة، لأنه يرسل بضائع مادية وهذا يحتاج إلى عنوان فعلي.
فيما يتعلق بعدم الكشف عن هويتك في تحويلات الأموال، لا تحتاج عادةً إلى تشفير التفاصيل على مستوى من يعرف ماذا. أستخدم بطاقة ائتمان مدفوعة مسبقًا وهي توفر كل إخفاء الهوية المطلوبة. عيب البطاقة المحملة في إسرائيل هو أن التحميل يتم من جانب واحد، مما يعني أنه لا توجد إمكانية لاسترداد الأموال في حالة إلغاء المعاملة. ولكن هذا ليس عيبًا أساسيًا في بطاقات الائتمان المدفوعة مسبقًا، ولكنه قرار اتخذه مصدرو بطاقات الائتمان المدفوعة مسبقًا لجعل البطاقات معيبة. لا أعرف ما هي سياسة بطاقات الائتمان المحملة في الخارج، فمن الممكن أن يكون هناك عدد أقل من العيوب هناك.
بخصوص باي بال. إنهم يقدمون خدمات المقاصة المجهولة ولكنهم يتقاضون رسومًا عالية مقابل خدمتهم. لذلك فهي مسألة وقت فقط حتى يقدم شخص ما خدمة منافسة أرخص (أراهن أن الصينيين يقدمون بالفعل خدمة منافسة لموقع eBay على Ali-Express).
خطوة مرحب بها من قبل الشركة. باعتباري متسوقًا منتظمًا عبر الإنترنت، فإن هذه المقالة تعزز ثقتي بنفسي وأتمنى أن يجذب هذا موجة جادة لعمليات شراء أكثر أمانًا.
هناك تقنية تحصيل أخرى، أبسط، دون أي وسيلة للدفع على الإطلاق. ما عليك سوى طلب رقم هاتف خاص تم تخصيصه لغرض إعداد الفواتير، ويتم التحصيل من خلال حساب هاتف المتصل. دون الكشف عن تفاصيل الدفع أو التفاصيل التعريفية. يبدو لي أن paycall هي الشركة الإسرائيلية الوحيدة التي تمتلك هذه التكنولوجيا (حتى الآن).
PAY PAL هو الأكثر أمانًا الذي أعرفه حاليًا. يمكنك إجراء المعاملات هناك حتى بدون بطاقة ائتمان، فهناك تحويلات جيدة جدًا ولا يتم تداول الإيصال على الشبكة (أو مع سعودي مجنون!).
يائيل،
شكرا على التوضيح. وإذا كانوا يعملون بطريقة الدفع المسبق، فأين ميزتهم النسبية مقارنة بالبطاقات البريدية؟ ما الذي يأملون في جمع الأموال عليه؟
مجرد تعليق صغير وفقًا لرون: أولئك الذين يتمتعون بالموهبة الكافية لتطوير أنظمة الكمبيوتر
ومن المناسب أن يعرف الفرق (بالعبرية) بين يساوي (=) وجدير بالاهتمام.
يائيل بيتار
لم أقترح عليه إجراء بحث، لكنني قلت فقط أنه سيكون من الأصح تقديمه
ويتم إعلام القراء أيضًا بما يحدث في العالم في أنظمة من هذا النوع
فيما يتعلق بالقرصنة والهاكرز، باختصار حقًا..
وإلا فقد يعني ذلك ضمنيًا من كلماتك أنك تصدق ذلك أخيرًا
لدينا نظام غير قابل للاختراق يضمن لنا الحماية الكاملة
في جميع العمليات المالية التي نقوم بها من خلالها.
أعتقد أنه كما فعلنا في التسعينات، خط خاص للانترنت وخط خاص للهاتف، الآن سيكون هناك خط هاتف مع ADSL أو HOT، وخط خاص في بيزك فقط لمعاملات الدفع المباشر، في تكلفة معينة سيكون لدينا خط الشراء! من الممكن أن يكون آمنًا أننا فقط أمام خادم بيزك المخصص سنعرف المعاملة
يمكنك التوسع كثيرًا في هذا الموضوع، لكن ببساطة قل أنه يمكن أن يكون حلاً جيدًا
الجديد هو أن الرجل من هذه الشركة الناشئة يريد جمع الأموال وإثارة الضجيج بعد عاصفة القرصنة لسرقة قاعدة بيانات بطاقة الائتمان ويعتقد أن قراء العلوم ساذجون.
أقترح نشر هذا على YNET حيث ستجد أشخاصًا عاديين ومن السهل التلاعب بهم، خاصة العاطفيين منهم الذين يكونون فعالين بشكل خاص بسبب الأحداث الأخيرة.
دعاية؟
ما الجديد هنا؟
أنت على حق، أقصد بطاقة الائتمان أو الحساب المصرفي.
مع PayPal لا تحتاج إلى بطاقة ائتمان، يمكنك تحويل الأموال مباشرة من الحساب البنكي إلى حساب PayPal.
ضوء،
أنت على حق، أي شيء يمكن اختراقه نظريًا. ولكن إذا قمت بتشفيرها بشكل جيد بما فيه الكفاية، فسيصبح من الصعب اختراقها.
إنه مثل أي باب في المنزل يمكن اقتحامه، ولكن الباب الذي يحتوي على الكثير من الدفاعات والمتطور (مثل التلع على سبيل المثال)، يكون اقتحامه أكثر صعوبة من مجرد باب خشبي بسيط بقفل بسيط.
فيما يتعلق باقتراح كتابة مقال حول القرصنة في التاريخ - لقد استوعبته، لكنني لست متأكدًا من أنه سيكون لدي الوقت للنشر عنه. أنتم بالطبع مدعوون إلى كتابة مقال شامل حول هذا الموضوع وإرساله إلى رئيس تحرير هيدان، آفي بيليزوفسكي.
رومي,
كما ترون، PayPal هي الطريقة الأولى التي قدمتها. لكنها تعمل في الواقع على بطاقات الائتمان. معنى الشراء بدون بطاقات الائتمان هو أنه إذا كان هناك عميل لا يملك بطاقة، أو يرغب في الشراء نقدا، فيمكن أن يتم ذلك من خلال الشبكة.
ولي الآخرين
لقد كتبت "إن شركة Flagwalt الناشئة تعمل بهذه الطريقة" - أي بطريقة الدفع المسبق.
يائيل بيتار
على حد علمي، أي معلومات/بيانات على الإنترنت ليست آمنة،
ويتم فك تشفير كافة طرق الحماية واختراقها في هذه المرحلة المتأخرة.
ومن الأعدل للقراء أن يعرضوا بجانب كل مقال حول هذا الموضوع،
جزء بسيط من تاريخ الاختراق والاختراق، من خلال أنظمة الكمبيوتر والاتصالات
مثل اختراق البنوك للبنتاغون والمؤسسات العامة والشركات،
وكما نعلم، فقد كانوا محميين جزئيًا بأفضل أنظمة الدفاع.
يُطلق على تطوير نظام بدون بطاقات ائتمان اسم PAYPAL وهو موجود منذ سنوات
ليس من الواضح بالنسبة لي من المقالة ما هو الفرق بين الدفع المسبق الذي يمكن شراؤه وتحميله من أي مكتب بريد وحل PlugWallet؟