فناوری اطلاعات

چراغ سبز به رمز یک‌بار مصرف بانکی

منبع: دنیای‌اقتصاد
بیش از نیمی از جرائم رایانه‌ای ایران مربوط به برداشت‌های غیرمجاز است.
 اواسط شهریورماه دادستان کل کشور بخشنامه‌ای خطاب به دادستان‌های عمومی و انقلاب سراسر کشور صادر کرد که براساس آن در پرونده‌های کلاهبرداری‌های رایانه‌ای در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا (رمز دوم کارت)، بانک موظف به پرداخت خسارت به فرد بزه دیده است.
 
 
این بخشنامه یکی از مهم‌ترین اقدامات قانونی برای افزایش ضریب امنیتی حساب‌های کاربران در تراکنش‌های غیر‌حضوری بانکی در سال‌های اخیر است آن‌هم در شرایطی که با توسعه شبکه کارتی کشور میزان کلاهبرداری از کارت‌های بانکی هم کاربران رشد قابل‌توجهی داشته است. در این بخشنامه آمده است  از تاریخ اول تیر ۹۸ بانک‌ها ضرورتا ملزم به استفاده از رمزهای پویا بوده و هرگونه استفاده از رمزهای دوم ایستا ممنوع اعلام و ادامه به‌کارگیری رمز دوم ایستا از مصادیق آسیب‌پذیری امنیتی خدمات بانکی محسوب شده و هرگونه سوءاستفاده از حساب‌های مشتریان به‌دلیل آسیب‌پذیری‌های امنیتی (ناشی از عدم اجرای الزمات رمزهای پویا) در سرویس‌های بانکی مستقیما به عهده بانک بوده و تایید مرجع قضایی (دادسرا) برای جبران خسارت مشتریان کفایت می‌کند. براساس این بخشنامه در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا به لحاظ عدم رعایت بخشنامه بانک مرکزی وعدم رفع آسیب‌پذیری امنیتی، دستور پرداخت خسارت بزه‌دیده صادر و از طریق سامانه کاشف به بانک متخلف ابلاغ شود. با چنین اقدامی احتمالا الزام بانک‌ها به ترویج رمز یکبار مصرف سرعت خواهد گرفت. این باعث افزایش ضریب امنیتی حساب کاربران می‌شود.
 
رشد جرائم بانکی ناشی از مدل بانکداری الکترونیکی
با توجه به مدل توسعه بانکداری الکترونیکی در کشور و فراگیر شدن کارت‌ها و رشد شبکه پرداخت جرایم مربوط به این حوزه نیز با شکل و انواع متنوع رو به رشد است. در نبود یا فراگیرنشدن سرویس‌های  پرداخت واسطی چون Paypal عمده تمرکز شبکه بانکی در حوزه بانکداری الکترونیکی در ایران بر توسعه خدمات کارت انجام گرفته است از سوی دیگر وجود سیستم پرداخت آنی این فرصت را برای کلاهبرداری‌ از اطلاعات بانکی افراد به شکل گسترده‌ای فراهم کرده است. مقامات انتظامی در برخی استان‌ها برداشت غیر‌مجاز از حساب افراد را بیشترین تعداد جرائم مجازی در سال ۹۷ اعلام کرده‌اند. این وضعیت در سال ۹۸ هم تشدید شده به‌طوری‌که فرمانده انتظامی تهران بزرگ اوایل امسال در یک نشست خبری گفت در نوروز ۹۸ شاهد افزایش ۹۰ درصدی جرائم در فضای مجازی بودیم که برداشت غیر‌مجاز اینترنتی از حساب بانکی در صدر آنها قرار داشت. رئیس پلیس فتا نیز در فروردین امسال اعلام کرد ۵۰ درصد جرائم اینترنتی مربوط به برداشت‌های اینترنتی و کلاهبرداری‌های اینترنتی  است.
 
هرچند جرائم رایانه‌ای با توسعه تکنولوژی رشد قابل‌توجهی در جهان پیدا کرده و مختص یک کشور نیست اما مدل خاص توسعه بانکداری الکترونیکی در ایران باعث شده مسیر کلاهبرداری و برداشت غیر‌مجاز ساده‌‌‌باشد. علی نیکبین یک کارشناس بانکداری الکترونیکی در گفت‌و‌گو با «دنیای‌اقتصاد» می‌گوید: مسیر رشد شبکه بانکی بر توسعه کارت نقدی و عمده فرهنگ بانکی قالب بر پرداخت آنی بنا شده و همین باعث شده شاهد اوج گرفتن تقلب و کلاهبرداری در این عرصه باشیم. از کلاهبرداری‌هایی که اخیرا تحت عنوان برنده شدن در مسابقات از افراد جامعه انجام می‌گیرد گرفته تا مدل‌های پیشرفته‌تری مثل استفاده از صفحات جعلی بانکی یا دستگاه‌های کپی‌کننده اطلاعات کارت که باعث ایجاد پرونده‌های قضایی متعددی شده است.
 
نیکبین می‌گوید: نبود فرهنگ بانکی اعتباری باعث شده دربسیاری اوقات پول از دست رفته از حساب فرد بزه دیده دیگر برگشت‌پذیر نباشد در حالی که در سیستم‌های بانکی بسیاری از کشورها پرداخت آنی انجام نمی‌گیرد به همین دلیل فرصت بیشتری برای تحلیل و اطمینان از صحت تراکنش انجام گرفته وجود دارد. در کنار این اشکالات ساختاری شاهد فقدان تامین‌های امنیتی لازم برای امن کردن فضای تبادل مالی هم هستیم. رمزهای عبور ثابت یکی از نقاط اصلی نفوذ کلاهبرداران اینترنتی به حساب‌های کاربران است. نیکبین معتقد است: تفاوت جرائم رایانه‌ای در جهان و ایران در همین موضوع است که در مسیرهای تخلف اینترنتی در جهان پیچیده و مبتنی‌بر به‌کارگیری دانش و تجهیزات خاصی است که در اختیار افراد زیادی قرار ندارد اما در ایران به‌دلیل نبود شرایط عمومی امن حتی کلاهبرداران با دانش عمومی و بسیار پایین اقدام به کلاهبرداری‌های سنگین کرده‌اند. نمونه آن را یکی دو سال قبل دیدیم در پرونده‌ای  که کلاهبردارانی از داخل زندان قربانیان را به طمع گرفتن جایزه وادار به دادن رمز کارت می‌کردند و سپس حساب آنها را خالی می‌کردند.
 
پویش رمز یکبار مصرف
رمز یکبار مصرف قرار است مسیر دسترسی کلاهبرداران را به حساب اشخاص بسیار سخت کند هرچند احتمال آن را از بین نمی‌برد اما در صورت استفاده از این روش بخش عمده کاربران در برابر سطح گسترده‌ای از خطرات ناشی از لو رفتن رمز عبور و اطلاعات کارت بیمه می‌شوند. از این رو مقررات گذار شبکه بانکی بحث الزام بانک‌ها به راه‌اندازی این مسیر را از سال گذشته دنبال کرده و بانک‌ها را ملزم کرده که زیرساخت لازم برای فعال شدن آن را فراهم کنند. راه‌اندازی این فرآیند در بانک‌ها ساده نبوده و حتی یک‌بار در خرداد  امسال افتتاح این جریان به تعویق افتاد اما طی ماه‌های اخیر سرانجام اغلب بانک‌ها رمز یک‌بار مصرف را فعال کرده‌اند. رمز یک‌بار مصرف یا OTP یک رمز متغیر است که هربار هنگام استفاده از کارت یا خرید اینترنتی با بازکردن اپلیکیشن مخصوص آن را دریافت و از آن استفاده می‌کنید. این رمز پس از یکبار استفاده منقضی می‌شود و برای استفاده مجدد کارت باید دوباره اپلیکیشن بانکی تولید رمز را باز کرده و رمز جدیدی از آن دریافت کنید.
 
مزیت‌های استفاده از رمز یکبار مصرف کم نیست یکی از اصلی‌ترین مزایای آن این است که امکان سوءاستفاده از رمز کارت یا رمز دوم کارت کم می‌شود. سارقان و کلاهبرداران معمولا با شگردهای مختلف با به دست آوردن رمز دوم از طریق مهندسی اجتماعی یا برخی دستگاه‌های پوز تقلبی (کپی‌کننده کارت) یا دستکاری در خودپردازها از حساب افراد برداشت غیر‌مجاز انجام می‌دهند. در صورت استفاده فرد از رمز یکبار مصرف حتی در صورت لو رفتن رمز یا اطلاعات کارت یا کپی از کارت برداشت از حساب کاربر انجام نخواهد گرفت؛ چراکه رمز دوم فقط توسط اپلیکیشن روی موبایل کاربر تولید می‌شود.  یک نکته درباره فعال‌سازی رمز یکبار مصرف بانکی این است که در برخی موارد برای استفاده از آن نیاز به اینترنت وجود ندارد و تنها با بازکردن اپلیکیشن مورد نظر که دارای توکن مشترک با سیستم رمز بانکی است، صورت می‌گیرد. رمز یکبار مصرف در جهان تکنولوژی جدیدی نیست و سال‌هاست برخی گجت‌های سخت افزاری تولید رمز یکبار مصرف  OTP Token عمدتا برای مشتریان حقوقی مورد استفاده قرار می‌گرفت. حالا اما اپلیکیشن‌های تولید رمز این کار را انجام می‌دهند.
 
بانک‌های متفاوت، روش‌های متفاوت
مراحل راه‌اندازی رمز یک‌بار مصرف بسیار ساده است؛ اما ممکن است برخی پیچیدگی‌های آن کاربران مسن‌تر و ناآشناتر به اپلیکیشن و موبایل را کمی سردرگم کند. بانک‌های ایران به تدریج در حال راه‌اندازی این شیوه برای مشتریانشان هستند و عمدتا در داخل شعبه و همچنین از طریق سایت روش‌های فعال‌سازی آن را توضیح داده‌اند. با این حال احتمالا به‌دلیل تعدد مراحل و عدم ساده‌سازی و شفاف‌سازی مراحل توسط بانک‌ها ممکن است بسیاری از کاربران حاضر به فعال کردن آن نشوند. متاسفانه فعلا هیچ اپلیکیشن جامعی برای فعال کردن رمز یک‌بار مصرف برای همه کارت‌های بانکی وجود ندارد و هر بانک یک اپلیکیشن مخصوص به خود با روش‌های نسبتا مشابه را برای فعالسازی به آن کار گرفته است. متاسفانه برخی بانک‌ها مراجعه به شعبه را برای ایجاد یا غیر‌فعال کردن رمز یک‌بار مصرف در پروسه خود گذاشته‌اند که همین فعال کردن آن را با دشواری مواجه می‌کند. به رغم اینکه اغلب بانک‌ها مسیر استفاده از رمز یک‌بار مصرف را ایجاد کرده‌اند، اما نبود الزام باعث شده ساده‌سازی و فرهنگ‌سازی لازم برای استفاده عموم کاربران از آن انجام نگیرد. همین احتمالا باعث خواهد شد که بسیاری از کاربران جرات و اعتماد و مهم‌تر از همه نیاز لازم را برای فعال کردن آن نداشته باشند.
 
اغلب بانک‌ها هم برای کاربران سیستم عامل اندروید و هم برای آی‌او‌اس اپلیکیشن‌های جداگانه‌ای توسعه داده‌اند. برخی روش‌های متنوعی برای راحتی بیشتر مشتریان به کار گرفته‌اند؛ مثلا استفاده از روش‌های ترکیبی مانند اس‌ام‌اس از آن جمله است. در مقابل برخی هم کار را بسیار پیچیده و سخت کرده‌اند. بررسی‌های «دنیای‌اقتصاد» نشان می‌دهد در برخی از بانک‌ها مسیر فعال‌سازی رمز یکبار مصرف آنقدر سخت است که در صورت تغییر نکردن تعداد کاربران کمی حاضر به فعال‌سازی آن می‌شوند. نگاهی به تعداد کل فرآیندهای فعال‌سازی رمز یکبار مصرف و راهنماهای مفصل نوشته شده بانک‌ها برای کاربران نشان می‌دهد این مسیر ساده و راحت تعریف نشده است  و همین می‌تواند بزرگ‌ترین مانع استقبال کاربران از آن باشد به‌خصوص که مراجعه خبرنگار «دنیای‌اقتصاد» به برخی شعب بانک‌ها نیز نشان می‌داد حتی کارشناسان حاضر در خود بانک‌ها هم تسلط لازم را برای اجرای این فرآیندها روی گوشی کاربران ندارند.
 
با این حال اقدام قوه‌قضائیه در مقصر شناختن بانک‌ها در هنگام استفاده از رمز ایستا در کلاهبرداری‌های اینترنتی احتمالا باعث خواهد شد بانک‌ها تمام تلاششان را برای وادار کردن کاربران به فعال کردن این روش به کار گیرند. به این ترتیب انتظار می‌رود طی ماه‌های پیش رو روش‌های ساده‌تر و کاربردی‌تر و تمهیدات فنی در جهت سهولت راه‌اندازی رمز یکبار مصرف توسط بانک‌ها به کار گرفته شود.

​​