رمز دوم پویا، گرهی از مشكلات امنیتی تراكنشها باز میكند؟
چالش یك بار مصرفها
بانك مركزی شهریور ۹۷ با همكاری مركز كاشف، بازوی اجرایی بانك مركزی در حوزه امنیت اطلاعات بانكی، سند «الزامات رمزهای پویا در تراكنشهای مبتنی بر كارت» را منتشر كرد. براساس زمانبندی این سند و ماده ۵۸ آن مقرر شد از اول آذر ۹۷، مسؤولیت جبران خسارت مالباختگان در ارتباط با رمز دوم كارت بانكی در صورت عدم رعایت الزامات مندرج در این سند به موسسه اعتباری و بانك ارائهدهنده كارت بانكی منتقل شود. همچنین بانكها ملزم شدند تا اول خرداد ۹۸، رمز دوم ایستا را برای تمام تراكنشها حذف كنند. اما اردیبهشت امسال و تنها چندروز مانده به پایان مهلت بانكها برای حذف رمز ایستا، بانك مركزی با توجه به چالشهای زیرساختی كه در راه اجرای طرح وجود داشت، این مهلت را تمدید و البته تاكید كرد جبران خسارت مالباختگان در صورت تأیید مرجع قضایی برعهده بانكها خواهد بود. پس از گذشت حدود شش ماه، چند روز پیش، خبرهای متعددی مبنی بر افزایش تعداد جرایم فیشینگ و برداشت مبالغ متعددی بدون اطلاع كاربران از حساب آنها منتشر شد. با انتشار این اخبار، بانك مركزی با انتشار اطلاعیهای خبر داد انجام تراكنشهای بانكی و پرداخت از ابتدای دی سال جاری فقط با رمز دوم پویا امكانپذیر خواهد بود.
راهحلی برای كلاهبرداریهای مالی
سرهنگ تورج كاظمی، رئیس پلیس فتای استان تهران جدیدترین آمار برداشت مبالغ متعدد بدون اطلاع كاربران از حساب آنها را ارائه كرد و گفت: «بیش از ۶۰درصد پروندههای پلیس فتا مربوط به فیشینگ است كه اجرای رمز دوم یكبار مصرف از سوی بانك مركزی تعداد این جرایم را به صفر میرساند و امنیت را افزایش میدهد. مبالغ این كلاهبرداریها بهطور معمول یك تا صد میلیون تومان است، اما همواره كلاهبرداران تا میزان سقف قابل برداشت نسبت به برداشت از حساب مالباختگان اقدام كردهاند.»
كاظمی درباره خبری كه مبنی بر هكشدن حسابهای بانكی منتشر شده بود، گفت: «میزان فیشینگ در روزهای اخیر نسبت به گذشته تفاوت چندانی نداشته و رشد خاصی را تجربه نكرده، اما میزان فیشینگ در این روزها نسبت به مدت مشابه سال گذشته با رشد مواجه بوده است. خبری كه تحت عنوان خالی شدن حسابهای بانكی و حمله هكری بود، صرفاً فیشینگ از تعدادی كارت بانكی بود كه اطلاعات آنها با سهلانگاری كاربران در نرمافزارها و درگاههای پرداخت جعلی سرقت شده بود و در یك زمان برداشت غیرمجاز انجام شد كه پیگیر موضوع هستیم.»
بهطور كلی و فارغ از آنچه در این مدت گذشت، میتوان گفت به دلیل افزایش حجم پروندههای شكایتی در حوزه كلاهبرداری مالی از طریق تراكنشهای بدون حضور كارت، بانك مركزی دنبال راهكاری برای افزایش امنیت و رفع دغدغهها بود كه در همین راستا پویاسازی رمزهای بانكی با همكاری كاشف پیگیری شد، اما نبود زیرساختهای لازم برای انجام این كار، باعث شد اجرای این طرح حدود یك سال به تعویق بیفتد. البته در این میان، بانك مركزی هم با اعلام بندهایی جدید در این سند تجدیدنظر كرد و برای مبالغ پرداختی، سقف 500 هزار تومان قائل شد.
البته گفته میشود با اجرا نشدن رمز یكبار مصرف برای تراكنشهای كمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا باز هم كاهش پیدا نخواهد كرد، زیرا روزانه با سقف ۵۰۰ هزار تومان كلاهبرداری انجام میشود. كارشناسان صنعت بانكی و پرداخت اعتقاد دارند ایده الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم باید بهگونهای پیادهسازی شود كه مشتری اگر تراكنش بالای ۵۰۰ هزار تومان را با رمز دوم یكبارمصرف انجام داد بعد از آن هم بتواند دیگر تراكنشهای زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد كه این موضوع در اجرای این طرح عملیاتی نشده است.
مشكلات احتمالی
قبل از اینكه به این موضوع اشاره كنیم كه مردم چهطور میتوانند این رمزها را دریافت كنند باید نكاتی را مدنظر قرار دهیم. نخست اینكه با اجرای این طرح، جمعیت قابل توجهی از كشور عملاً نمیتوانند با رمزهای یكبارمصرف همگام شوند. افرادی كه به علت كهولت سن، یادگیری شیوههای جدید اینترنتی برای آنها مشكل است، افرادی كه جزو اقشار كمدرآمد جامعه محسوب میشوند و توانایی خرید گوشی هوشمند را ندارند و همچنین روستاییانی كه دسترسی كامل به اینترنت ندارند و بهطور كلی طبقات محروم و ناتوان جامعه. چنانچه ارسال رمزهای دوم پویا نیز از طریق پیامك باشد باز هم مسائل امنیتی مطرح است، زیرا به جای بانكها، API به برخی شركتها داده شده تا این رمزها را برای كاربران ارسال كنند و این كار، عملیات بانكی را با مشكلات امنیتی مواجه میكند. از سوی دیگر، در انجام تراكنش، سرعت عامل مهمی است و درحال حاضر در برخی بانكها این زمان كمتر از صد میلیثانیه است، اما طبیعتا ارسال پیامك از این سرعت میكاهد و انجام كار را با اختلال مواجه میكند.
از سوی دیگر، میتوان ادعا كرد امنیت رمزهای دوم فعلی خیلی بیشتر از جایگزینهای آن است. چون رمز را خود كاربر انتخاب میكند و احتمال لو رفتن آن كمتر از رمز یكبارمصرفی است كه به گوشی شما پیامك میشود. فرض كنید گوشی فرد به سرقت برود تا به بانك برسد و كارت را باطل كند، حسابش خالی شده است.
چگونگی دریافت رمز دوم پویا
به هر روی، در آماری كه بانك مركزی در دی ۹۷ منتشر كرد، در مجموع ۳۱۰ میلیون كارت بانكی توسط بانكها صادر شده است. بهاین ترتیب، بیشتر مردم با كارتهای بانكی سروكار دارند و احتمالا تعداد زیادی از آنها باید برای دریافت رمز دوم پویا اقدام كنند. برای این منظور برخی بانكها از چند ماه قبل اقدام به ارائه نرمافزارهایی كردهاند تا این امكان برای كاربران فراهم كنند. مراجعه به شعب بانك و اخذ شماره سریال و شماره فعالسازی نرمافزار رمز یكبار مصرف، استفاده از بستر كد USSD و شمارهگیری كدهای دستوری، استفاده از خدمت «نت بانك»، استفاده از روشهای توكن رمز یكبار مصرف (OTP)، یكبار رمز همراه (Mobile OTP) یا یكبار رمز پیامكی (SMS OTP) نیز از دیگر روشها برای استفاده از رمز دوم پویا است.
برای دریافت این رمزها باید به شعب بانك مراجعه كنید و از آنها راهنمایی بخواهید و این نكته را مد نظر قرار دهید كه هرگونه كلاهبرداری در این میان امری طبیعی است، بنابراین به پیامكهایی كه برای شما ارسال میشود یا تماسهایی كه با شما میگیرند، اعتنا نكنید.
راهكار دیگر كشورها برای حفظ امنیت پرداخت اینترنتی
ایران تنها كشور جهان است كه از رمز دوم ثابت برای خدمات بدون كارت و غیرحضوری استفاده میكند. كشور ما در هیچكدام از سیستمهای پرداخت بینالمللی حضور ندارد و همین امر وضعیت ایران را خاص میكند. بهطوریكه تنها كشوری كه رمز دوم در آن معنا دارد، كشور ماست. تقریبا یك دهه است كه در ایران، مردم با رمز دوم از خدمات بانكی استفاده میكنند. شبكه پرداخت بانكی در ایران چون داخلی است و دسترسی به خارج از كشور ندارد، توانسته با شیوه خاص خود در این سالها با تعیین رمز دوم ـ كه فقط دارنده كارت توانایی تغییر آن را دارد ـ وظایفش را تا حدود زیادی بهخوبی انجام دهد.
در بیشتر كشورهای جهان، چیزی تحت عنوان رمز دوم وجود ندارد و به رمز اول هم آنقدرها احتیاجی نیست. مثلا در كانادا تنها در خریدهای بالای صد دلار به رمز نیاز دارند. در خریدهای زیر صد دلار هم اگر حضوری باشد، با نزدیك كردن كارت بانكی به دستگاه كارتخوان خرید انجام میشود و در خرید اینترنتی و غیرحضوری هم با وارد كردن هویت صاحب كارت، شماره كارت و كد چهار رقمی (cvv2) خرید انجام میشود. در خرید اینترنتی اگر خرید بالای صد دلار باشد، از طریق بانك عامل پیامكی با مدت زمان محدود برای استفاده ارسال میشود تا فرد با وارد كردن آن از خدمات اینترنتی و بدون كارت بهرهمند شود.
سرهنگ تورج كاظمی، رئیس پلیس فتای استان تهران جدیدترین آمار برداشت مبالغ متعدد بدون اطلاع كاربران از حساب آنها را ارائه كرد و گفت: «بیش از ۶۰درصد پروندههای پلیس فتا مربوط به فیشینگ است كه اجرای رمز دوم یكبار مصرف از سوی بانك مركزی تعداد این جرایم را به صفر میرساند و امنیت را افزایش میدهد. مبالغ این كلاهبرداریها بهطور معمول یك تا صد میلیون تومان است، اما همواره كلاهبرداران تا میزان سقف قابل برداشت نسبت به برداشت از حساب مالباختگان اقدام كردهاند.»
كاظمی درباره خبری كه مبنی بر هكشدن حسابهای بانكی منتشر شده بود، گفت: «میزان فیشینگ در روزهای اخیر نسبت به گذشته تفاوت چندانی نداشته و رشد خاصی را تجربه نكرده، اما میزان فیشینگ در این روزها نسبت به مدت مشابه سال گذشته با رشد مواجه بوده است. خبری كه تحت عنوان خالی شدن حسابهای بانكی و حمله هكری بود، صرفاً فیشینگ از تعدادی كارت بانكی بود كه اطلاعات آنها با سهلانگاری كاربران در نرمافزارها و درگاههای پرداخت جعلی سرقت شده بود و در یك زمان برداشت غیرمجاز انجام شد كه پیگیر موضوع هستیم.»
بهطور كلی و فارغ از آنچه در این مدت گذشت، میتوان گفت به دلیل افزایش حجم پروندههای شكایتی در حوزه كلاهبرداری مالی از طریق تراكنشهای بدون حضور كارت، بانك مركزی دنبال راهكاری برای افزایش امنیت و رفع دغدغهها بود كه در همین راستا پویاسازی رمزهای بانكی با همكاری كاشف پیگیری شد، اما نبود زیرساختهای لازم برای انجام این كار، باعث شد اجرای این طرح حدود یك سال به تعویق بیفتد. البته در این میان، بانك مركزی هم با اعلام بندهایی جدید در این سند تجدیدنظر كرد و برای مبالغ پرداختی، سقف 500 هزار تومان قائل شد.
البته گفته میشود با اجرا نشدن رمز یكبار مصرف برای تراكنشهای كمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا باز هم كاهش پیدا نخواهد كرد، زیرا روزانه با سقف ۵۰۰ هزار تومان كلاهبرداری انجام میشود. كارشناسان صنعت بانكی و پرداخت اعتقاد دارند ایده الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم باید بهگونهای پیادهسازی شود كه مشتری اگر تراكنش بالای ۵۰۰ هزار تومان را با رمز دوم یكبارمصرف انجام داد بعد از آن هم بتواند دیگر تراكنشهای زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد كه این موضوع در اجرای این طرح عملیاتی نشده است.
مشكلات احتمالی
قبل از اینكه به این موضوع اشاره كنیم كه مردم چهطور میتوانند این رمزها را دریافت كنند باید نكاتی را مدنظر قرار دهیم. نخست اینكه با اجرای این طرح، جمعیت قابل توجهی از كشور عملاً نمیتوانند با رمزهای یكبارمصرف همگام شوند. افرادی كه به علت كهولت سن، یادگیری شیوههای جدید اینترنتی برای آنها مشكل است، افرادی كه جزو اقشار كمدرآمد جامعه محسوب میشوند و توانایی خرید گوشی هوشمند را ندارند و همچنین روستاییانی كه دسترسی كامل به اینترنت ندارند و بهطور كلی طبقات محروم و ناتوان جامعه. چنانچه ارسال رمزهای دوم پویا نیز از طریق پیامك باشد باز هم مسائل امنیتی مطرح است، زیرا به جای بانكها، API به برخی شركتها داده شده تا این رمزها را برای كاربران ارسال كنند و این كار، عملیات بانكی را با مشكلات امنیتی مواجه میكند. از سوی دیگر، در انجام تراكنش، سرعت عامل مهمی است و درحال حاضر در برخی بانكها این زمان كمتر از صد میلیثانیه است، اما طبیعتا ارسال پیامك از این سرعت میكاهد و انجام كار را با اختلال مواجه میكند.
از سوی دیگر، میتوان ادعا كرد امنیت رمزهای دوم فعلی خیلی بیشتر از جایگزینهای آن است. چون رمز را خود كاربر انتخاب میكند و احتمال لو رفتن آن كمتر از رمز یكبارمصرفی است كه به گوشی شما پیامك میشود. فرض كنید گوشی فرد به سرقت برود تا به بانك برسد و كارت را باطل كند، حسابش خالی شده است.
چگونگی دریافت رمز دوم پویا
به هر روی، در آماری كه بانك مركزی در دی ۹۷ منتشر كرد، در مجموع ۳۱۰ میلیون كارت بانكی توسط بانكها صادر شده است. بهاین ترتیب، بیشتر مردم با كارتهای بانكی سروكار دارند و احتمالا تعداد زیادی از آنها باید برای دریافت رمز دوم پویا اقدام كنند. برای این منظور برخی بانكها از چند ماه قبل اقدام به ارائه نرمافزارهایی كردهاند تا این امكان برای كاربران فراهم كنند. مراجعه به شعب بانك و اخذ شماره سریال و شماره فعالسازی نرمافزار رمز یكبار مصرف، استفاده از بستر كد USSD و شمارهگیری كدهای دستوری، استفاده از خدمت «نت بانك»، استفاده از روشهای توكن رمز یكبار مصرف (OTP)، یكبار رمز همراه (Mobile OTP) یا یكبار رمز پیامكی (SMS OTP) نیز از دیگر روشها برای استفاده از رمز دوم پویا است.
برای دریافت این رمزها باید به شعب بانك مراجعه كنید و از آنها راهنمایی بخواهید و این نكته را مد نظر قرار دهید كه هرگونه كلاهبرداری در این میان امری طبیعی است، بنابراین به پیامكهایی كه برای شما ارسال میشود یا تماسهایی كه با شما میگیرند، اعتنا نكنید.
راهكار دیگر كشورها برای حفظ امنیت پرداخت اینترنتی
ایران تنها كشور جهان است كه از رمز دوم ثابت برای خدمات بدون كارت و غیرحضوری استفاده میكند. كشور ما در هیچكدام از سیستمهای پرداخت بینالمللی حضور ندارد و همین امر وضعیت ایران را خاص میكند. بهطوریكه تنها كشوری كه رمز دوم در آن معنا دارد، كشور ماست. تقریبا یك دهه است كه در ایران، مردم با رمز دوم از خدمات بانكی استفاده میكنند. شبكه پرداخت بانكی در ایران چون داخلی است و دسترسی به خارج از كشور ندارد، توانسته با شیوه خاص خود در این سالها با تعیین رمز دوم ـ كه فقط دارنده كارت توانایی تغییر آن را دارد ـ وظایفش را تا حدود زیادی بهخوبی انجام دهد.
در بیشتر كشورهای جهان، چیزی تحت عنوان رمز دوم وجود ندارد و به رمز اول هم آنقدرها احتیاجی نیست. مثلا در كانادا تنها در خریدهای بالای صد دلار به رمز نیاز دارند. در خریدهای زیر صد دلار هم اگر حضوری باشد، با نزدیك كردن كارت بانكی به دستگاه كارتخوان خرید انجام میشود و در خرید اینترنتی و غیرحضوری هم با وارد كردن هویت صاحب كارت، شماره كارت و كد چهار رقمی (cvv2) خرید انجام میشود. در خرید اینترنتی اگر خرید بالای صد دلار باشد، از طریق بانك عامل پیامكی با مدت زمان محدود برای استفاده ارسال میشود تا فرد با وارد كردن آن از خدمات اینترنتی و بدون كارت بهرهمند شود.
ضمیمه نوجوانه
تیتر خبرها
-
تا صبح هم بازی میکردیم گل نمیخوردم
-
چالش یك بار مصرفها
-
نوبت ملی شدن صنعت «نت»
-
تعالی دوباره «جمعیت»
-
پنجی که یک بود
-
بوی بنزین در تالار وزارت كشور
-
سربلندهای آزمون سخت سوخت
-
مشکلات خاص؛ بیماران خاص
-
خرید با خیال راحت
-
پول كسبوكار جور میشه
-
تلویزیون در هوای خوزستان
-
چرا تلویزیون را به سینما ترجیح دادم؟
-
دولت «جمعیت» را ببیند
-
17 کشته در درگیری نیروهای ترکیه و شبهنظامیان کُرد در شمال سوریه
-
نوبت ملی شدن صنعت «نت»
-
حمله تند وزیر خارجه چین به آمریکا
-
مورالس: امیدوارم در سریعترین زمان ممکن به بولیوی بازگردم
