کار هکرها نیست، پای فیشینگ در میان است

محمود نوروزیه

خبرحمله هکری به حساب‌های بانکی در چند روز اخیر از چهره‌های رسانه‌ای شروع شد و رفته‌رفته دامنه اعتراض‌ها گسترده‌تر شد. هرچند جهان‌بان، سرپرست دادسرای جرایم رایانه‌ای استان تهران درباره تجمع مالباختگان یکی از بانک‌ها مقابل دادسرای جرایم رایانه‌ای اظهار کرد: «چنین موضوعی به آن صورتی که در فضای مجازی منتشر شده است صحت ندارد».

موضوع از آنجا شروع شد که یکی از روزنامه‌نگاران حوزه موسیقی از برداشت سه میلیون تومانی از حساب بانکی خود در روز پنجشنبه ( 16 ابان ماه) خبر داد؛ حمله‌ای که گفته می‌شود هکری است و به صدها نفر آسیب یک تا سه میلیون تومانی رسانده است.

بهمن بابازاده در حساب شخصی خود در توییتر نوشت: «پنجشنبه از حسابم در بانک ... سه میلیون تومان کسر شد. پیگیری کردم و کارتم را سوزاندم. پیگیری نشان داد حسابم هک شده و به فلان آدرس بروم با پرینت حساب. آمدم دادسرا و دیدم صف شکایت تا بیرون مجتمع آمده است. ظاهرا یک حمله بزرگ بانکی اتفاق افتاده. بیش از ۷۰۰ نفر اینجایند.»

سپس این فعال رسانه‌ای تصویری را در صفحه خود منتشر کرد که در آن صفی را نشان می‌داد که مقابل دادسرای عمومی و انقلاب ناحیه ۳۱ تهران ویژه جرایم رایانه‌ای و فناوری اطلاعات تشکیل شده بود؛ مال‌باخته‌هایی که برای پیگیری شکایت حمله به حساب‌های بانکی خود در پی هم ایستاده بودند. در ادامه نیز نوشت: «همه در صف اعتقاد دارند سر و صدای این ماجرا عمدا بیرون درز نکرده تا بی‌اعتمادی بانکی اتفاق نیافتد. هر لحظه به تعداد افراد در صف اضافه می‌شود. از یک تا سه میلیون تومان از حساب ملت کسر شده است. عمدتا کارت به کارت اینترنتی.» پس از آن رضا رشیدپور، مجری تلویزیون هم از هجوم هکر‌ها به حساب بانکی خود خبر داد؛ اما این بار نیز سرپرست دادسرای جرایم رایانه‌ای تهران آن را کذب خواند.

تکذیب هک حساب‌های بانکی 

پس از انتشار خبرهای اولیه در فضای مجازی، سرهنگ تورج کاظمی، رئیس پلیس فتای تهران بزرگ با بیان اینکه این موضوعی که به صورت وسیع در فضای مجازی منتشر شده است مورد بررسی قرار گرفته و از مقام قضایی نیز استعلامات در این خصوص اخذ شده است، عنوان کرد: «اخبار منتشر شده در این رابطه کذب محض است و در حال پیگری برخورد با منتشر کنندگان اخبار کذب در فضای مجازی هستیم. بحث هک حساب‌های بانکی و نفوذ در سیستم بانکی در میان نیست، موضوع فیشینگ و کلاهبرداری از حساب‌های هموطنان مدت‌هاست که از طریق درگاه‌های جعلی بانکی توسط مجرمان در حال انجام و شهروندان را مورد تهدید و آسیب قرار داده است. این خبر به صورت کذب در حال انتشار است که پیگیر هستیم با انتشاردهندگان این گونه اخبار هم برخورد قانونی صورت بگیرد.»

در ادامه نیز جهان‌بان، سرپرست دادسرای جرایم رایانه‌ای استان تهران درباره تجمع مالباختگان یکی از بانک‌ها مقابل دادسرای جرایم رایانه‌ای با تاکید بر اینکه اکنون در حال رسیدگی به موضوع هستیم و اعلام می‌کنیم که تجمع چند صد نفره مقابل دادسرا کذب است؛ گفت: «چنین موضوعی به آن صورتی که در فضای مجازی منتشر شده است صحت ندارد. در خبر‌ها آمده است که حدود ۷۰۰ نفر مقابل دادسرای جرایم رایانه‌ای تجمع کرده‌اند در صورتی که این موضوع صحت ندارد. ممکن است تعداد کمی حدود ۲۰ تا ۳۰ نفر مقابل دادسرا تجمع کرده باشند که البته تجمع این تعداد مقابل دادسرا موضوعی عادی است.»

عملیاتی شدن رمزهای یک بار مصرف بدون زیرساخت

به دنبال انتشار اخبار هک حساب‌های بانکی از اواخر هفته گذشته، بانک مرکزی در اطلاعیه ای اعلام کرد که از ابتدای دی‌ماه انجام تراکنش‌های بانکی تنها با دارا بودن رمز پویا امکان‌پذیر است و این در حالی است که کارمندان شعب بانکی ‌می‌گویند زیرساخت‌های بانکی برای چنین عملیات بانکی فراهم نیست.

بانک مرکزی با اعلام شتابزده برای عملیاتی کردن رمزهای بانکی یکبار مصرف در نظام بانکی بدون آن که زیرساخت‌های آن آماده باشد، در واقع درصدد است تا بانک ها و موسسات اعتباری را در راستای ارتقای سطح امنیت تراکنش‌های بدون حضور کارت در اینترنت، با استفاده از امکان دریافت رمز دوم پویا یاری کند. البته بانک مرکزی از مردم هم خواسته که در عملیات تبادلات مالی و پرداخت‌های خود از طریق درگاه‌های اینترنتی، تنها از درگاه‌های مجاز بانکی استفاده کرده و از ارائه اطلاعات خود به درگاه‌های مشکوک خودداری کنند.

پیش از این سال گذشته موضوع استفاده از رمزهای یک بار مصرف در عملیات بانکی مطرح شد و بانک مرکزی فرمان اجرای آن را صادر کرد تا جایی که براساس آن مقرر شد از یکم خردادماه سال جاری به صورت اجباری در نظام بانکی پیاده‌سازی شود، اما بعد از مدتی اعلام شد اجبار استفاده از رمزهای پویا در شبکه بانکی متوقف شده و اجرای آن به زمان دیگری موکول می شود زیرا به زعم کارشناسان و مدیران بانکی زیرساخت لازم برای عملیاتی شدن این فرمان بانک مرکزی وجود نداشت.

هدف بانک مرکزی از اجرای رمزهای یک بار مصرف به منظور حمایت از کسب و کارهای نوپا، تسهیل فرآیند پرداخت غیرحضوری قبوض برای مشتریان بانک‌ها، موضوع رمز دوم یکبار مصرف به دلیل ممانعت از برخی سودجویی‌ها و بالابردن امنیت مطرح شد و البته زمانی بود که به طور خاص موضوع ساماندهی بازار ارز و معاملات نیز مورد توجه قرار داشت.

اما این امر در شرایطی قابل اجرا است که ضمن ایجاد زیرساخت لازم، بانک‌ها بتوانند با قبول مسئولیت هرگونه سوء‌استفاده از مسائل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی مانند صادرکنندگان قبض هستند، استفاده از رمزهای ایستا را فعال کنند.

رئیس‌کل بانک مرکزی: مسئولیت حفاظت از اطلاعات مشتریان به عهده بانک‌هاست و هرگونه ضرر و زیان وارده از این ناحیه به عهده آن‌هاست. بیش از ۳۰ بانک، فعال‌سازی رمز پویا را شروع کرده‌اند، اما به دلیل هوشمند نبودن بسیاری از موبایل‌ها، اجباری‌کردن استفاده از رمز پویا فعلا مقدور نیست 

رئیس‌کل بانک مرکزی در این زمینه اعلام کرده است که بیش از ۳۰ بانک، فعال‌سازی رمز پویا را شروع کرده‌اند، اما به دلیل هوشمند نبودن بسیاری از موبایل‌ها، اجباری‌کردن استفاده از رمز پویا در حال حاضر مقدور نیست.

همتی تاکید کرده است که مسئولیت حفاظت از اطلاعات مشتریان به عهده بانک‌هاست و هرگونه ضرر و زیان وارده از این ناحیه به عهده آن‌هاست. بانک‌ها اطلاع‌رسانی درخصوص مزایای استفاده از رمز پویا را آغاز کرده‌اند و در حال حاضر رمز ایستا و رمز پویا توامان فعال هستند اما مشتریان به دلیل راحتی، ترجیح می‌دهند از رمز ایستا استفاده کنند.

برهمین اساس بانک مرکزی در بخشنامه مرتبط با اجرای رمزهای یکبار مصرف در نظام بانکی اعلام کرد که تأمین امنیت مشتریان نظام بانکی در تراکنش‌هایی که کارت بانکی وجود ندارد، برعهده بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری فضای سایبری- امنیتی در سرویس‌های بانکی، به عهده بانک است و در این موارد تأیید مرجع قضائی برای جبران خسارت مشتریان کفایت می‌کند.

رئیس‌کل بانک مرکزی با بیان اینکه رمز ایستا باید به گونه‌ای غیرفعال شود که موجب نگرانی مشتریان، در دریافت روزانه بیش از ۱۰ میلیون خدمت نشود، تصریح کرد که تعدادی از بانک‌ها هنوز به سرویس شاهکار برای انطباق شماره ملی و موبایل مشتریان خود متصل نیستند.

چالش‌های استفاده از رمزهای پویا

مشتریانی که نسبت به دریافت رمزهای پویا اقدام کرده اند می‌گویند در فرآیند دریافت پیامک‌های مرتبط با این رمزهای پویا مشکلات زیادی وجود دارد چرا که در مسیر فعال کردن رمز دوم کارت بانکی در دستگاه‌های خودپرداز به تازگی با گزینه‌ای مواجه شده‌اند با عنوان «رمزیک بار مصرف پویا» اما پس از فعال کردن این گزینه روی کارت بانکی، برای استفاده از آن باید پیامکی را به سرشماره مرتبط برای دریافت رمز بانکی ارسال کنند که به دلیل فراهم نبودن زیرساخت‌ها پاسخی از بانک صادرکننده دریافت نمی‌کنند و در اجرای عملیات پرداخت اینترنتی خود با مانع روبرو می‌شوند. 

اما در این میان ابهاماتی نیز وجود دارد و آن هم پرداخت هزینه دریافت رمز دوم است که بنا بر اعلام بانک مرکزی هزینه‌ای بابت دریافت آن از مشتری بانک‌ها اخذ نمی‌شود. شعب بانک نیز مسئولیتی نسبت به پرداخت این هزینه‌ها نپذیرفته‌اند و گویا قرار است بانک مرکزی هزینه تامین حدود 33 هزار تومانی سالانه آن را بابت راه‌اندازی سرویس تامین کند.

از سوی دیگر یکی از موانع عملیاتی شدن رمزپویا، هزینه زیادی بود که وزارت ارتباطات قرار بود از بانک‌ها برای تایید شماره تلفن افراد با کد ملی بگیرد که مشخص نیست این هزینه کاهش یافته است یا خیر؟

رییس پلیس فتا: بحث هک حساب‌های بانکی و نفوذ در سیستم بانکی در میان نیست، موضوع فیشینگ و کلاهبرداری از حساب‌های هموطنان مدت‌هاست که از طریق درگاه‌های جعلی بانکی توسط مجرمان در حال انجام و شهروندان را مورد تهدید و آسیب قرار داده است

سراغ درگاه‌های مشکوک نروید

از آنجاکه انجام تراکنش‌های بانکی و پرداخت از ابتدای دی‌ماه سال جاری تنها با رمز دوم پویا امکان‌پذیر خواهد بود، بانک مرکزی طی اطلاعیه‌ای اعلام کرد که ضروری است مشتریان به‌منظور دریافت رمز و تایید شماره تلفن همراه خود به بانک صادرکننده کارت خود مراجعه کنند.

همچنین در راستای پیشگیری از برداشت‌های غیرمجاز در فضای مجازی لازم است فقط از درگاه‌های مجاز بانکی و پرداخت استفاده و از ارائه اطلاعات در درگاه‌های مشکوک جدا خودداری کنند.