«ایستا»یی رمزدوم «پویا» در دقیقه ۹۰!

مهناز اعتدالی

بانک مرکزی با مطرح کردن دوباره طرح پویاسازی رمز دوم بعد از تداوم تعویق‌ها از شهریور سال گذشته این بار با تاکید قوه قضاییه؛ قصد داشت هم زمان با شروع زمستان، از تولید رمزدوم پویا در هر 60 ثانیه رونمایی کند تا در این راستا با الزام نصب اپلیکیشن هر بانک شرایطی را مهیا کند که مشتریان بانک‌ها با اطمینان از امنیت حساب خود رمزشان را فریاد بزنند.

در واقع ضرب‌الاجل بانک مرکزی برای اجرای طرح رمزدوم پویا، به دلیل آمار بالای جرایم سایبری بود زیرا به گفته مهران محرمیان، معاون فناوری‌های نوین بانک مرکزی    «روزانه ۸۰۰ پرونده جدید در پلیس فتا ثبت می‌شود که بسیاری از آن‌ها مربوط به فیشینگ و حدود ۲۰۰ تا ۳۰۰ مورد از این پرونده‌ها مربوط به پایتخت است.»

اما در گذر از رمزهای ایستا این نکته مورد توجه قرار نگرفت که سرعت پایین اینترنت مهمترین مانع برای اجرای این طرح است چرا که گزارش‌های مردمی نشان می‌دهد استفاده از رمزهای پویا ظرف 60 ثانیه منقضی می‌شود و این در حالی است که درگاه‌های پرداخت اینترنتی با تاخیر در پردازش اطلاعات، کاربران را ملزم به وارد کردن مجدد رمز پویا می‌کنند. در این بین فاصله درخواست تا زمان رسیدن مجدد رمز دوم پویا به دست مشتری و وارد کردن آن بیش از ۶۰ ثانیه طول می‌کشد که این موضوع موجب شده تا  کارت‌های بسیاری از مشتریان بانک‌ها مسدود شود.

کارشناسان فناوری اطلاعات و ارتباطات در این زمینه معتقدند که نبود زیرساخت‌های لازم و اختلال در سیستم اپلیکیشن‌های بانکی به عنوان یک سرعت‌گیر، اجرای این طرح را با موانع بسیار همراه کرده است زیرا کاربرد استفاده از رمزهای پویا برای بالابردن امنیت تراکنش‌ها تعریف شده است و تنها ۶۰ ثانیه اعتبار دارد، در حالیکه سامانه امنیت بانکی به‌گونه‌ای طراحی شده که در صورت وارد کردن رمز پس از پایان ۶۰ ثانیه، سامانه امنیتی بانک این ورود را به‌عنوان حمله امنیتی و تلاش برای ورود غیرمجاز به حساب مشتری قلمداد کرده و بعد از سه بار تکرار کارت را مسدود می کند.

از سوی دیگر اصرار بانک‌ها برای نصب اپلیکیشن و نرم‌افزار اختصاصی علاوه بر سرگردانی و گلایه مشتریان بانکی؛ حافظه‌های داخلی و خارجی گوشی‌های هوشمند را نیز با اختلال همراه کرده است. در این زمینه فعالیت 32 بانک در عرصه بانکداری در حالی که سرانه هر ایرانی حدود 5 کارت بانکی عنوان شده، شرایط سختی را برای مشتریان بانک‌ها رقم زده است. زیرا علاوه بر فضای اشغال شده در گوشی‌های هوشمند، عملکرد این اپلیکیشن‌ها با پیچیدگی بسیار همراه است زیرا مشکلات فنی بسیاری از این نرم‌افزارها به دلیل ضرب‌الاجل زمان اجرا در مورد نرم‌افزارهای مورد نیاز دو سیستم عامل اندروید و آیفون رفع نشده است به ویژه برای سیستم عاملios  به علت انحصاری که در نصب نرم‌افزارهای ایرانی دارد با اختلالات متعددی همراه است.

براین اساس سرگردانی مشتریان بانکی در استفاده از رمز پویا خریدهای اینترنتی را نیز با اختلال پرداختی بسیار همراه کرده است که در صورت تداوم این وضعیت، کسب و کارهای اینترنتی با خسارات زیادی مواجه خواهند شد.

ارسال رمز دوم پویای پیامکی از هفته دوم دی ماه

روزگذشته هم زمان با موعد اجرای طرح استفاده از رمز دوم پویا، عقب‌نشینی دوباره بانک مرکزی در شرایطی رقم خورد که پیش از این در اطلاعیه‌های منتشره بار‌ها اعلام  شده بود که استفاده از رمز دوم پویا از ابتدای دی ماه سال جاری برای همه اجباری است و از این تاریخ به بعد دیگر رمز دوم ایستا حذف خواهد شد.

رمزهای پویا برای بالابردن امنیت تراکنش‌ها تعریف شده است و تنها ۶۰ ثانیه اعتبار دارد، درحالی‌که سامانه امنیت بانکی به گونه‌ای طراحی شده که در صورت وارد کردن رمز پس از پایان ۶۰ ثانیه، این ورود به‌عنوان حمله امنیتی و تلاش غیرمجاز به حساب مشتری قلمداد شده و بعد از سه بار تکرار کارت مسدود می شود

اما به دلیل نبود زیرساخت‌های لازم، بانک مرکزی در اطلاعیه شماره ۷ منتشر شده در اول دی ماه ۱۳۹۸، تاکید کرده است «رمز دوم ایستا برای هموطنانی که تاکنون رمز دوم پویای خود را فعال نکرده‌اند، همچنان قابل استفاده است. براین اساس برای بالا بردن ضریب نفوذ طرح در آغاز اجرا، استفاده از «سرویس پیامک» برای دریافت رمز دوم پویا از هفته دوم دی‌ماه جاری آغاز و به تدریج با اتصال بانک‌های مختلف تا انتهای دی‌ماه به انجام می‌رسد.»

معاون فناوری بانک مرکزی نیز در صفحه شخصی خود در فضای مجازی عنوان کرد «رمز دوم پویا پیامکی را هفته دوم دی با یک بانک شروع می‌کنیم و آخر دی هم با تکمیل بانک‌ها، تمام خواهیم کرد. با سرعتی که مردم رمز دوم پویا را فعال می‌کنند، کسب و کارهای اینترنتی حداقل تاثیر را خواهند پذیرفت. یک کار تیمی بزرگ در حال انجام است و همه دارند به پایان فیشینگ کمک می‌کنند. پیش از این نیز مقرر بود از اوایل دی ماه خدمات‌رسانی بانک‌ها به مرزهای ایستا قطع و سپرده‌گذاران با دارا بودن رمز پویا امکان خرید اینترنتی را داشته باشند.»

چرا عملیات پویاسازی رمز دوم یک بار مصرف به تاخیر افتاد؟

بازبینی زمانی 15 روزه بانک مرکزی برای رفع اختلال در راه‌اندازی قسمتی از نرم‌افزار بانک‌ها، نقص راه‌اندازی سیستم هریم (پیامک ارسال رمز دوم یکبار مصرف)، عدم برنامه‌ریزی چند بانک و موسسه مالی برای همراهی با بانک مرکزی و احتمال هک نرم‌افزار صدور رمز دوم یکبار مصرف نصب شده در تلفن همراه مشتریان بانک‌ها، اعلام شده است.

در این زمینه عباس معمارنژاد، معاون امور بانک، بیمه و شرکت‌های دولتی وزارت امور اقتصادی و دارایی در گفت‌وگو با باشگاه خبرنگاران جوان اعلام کرد: «شاید یکی از دلایل این وقفه، آماده نبودن زیرساخت‌های بانکی بود که خوشبختانه طی ماه گذشته و تاکید جدی رئیس کل بانک مرکزی برای راه‌اندازی رمز دوم پویا، بانک‌ها به آماده‌سازی انواع نرم‌افزار صدور رمز دوم، تعریف الگوریتم USSD و همچنین اتصال به شبکه صدور رمز دوم به صورت پیامکی پرداختند. استفاده از رمز دوم یک بار مصرف از الزامات ایجاد امنیت در فضای پرداخت‌های اینترنتی است که البته با کمی وقفه مورد بهره‌برداری بانک مرکزی می‌رسد.»

بلایی به نام فیشینگ

پیش از این کاربران برای خرید اینترنتی ملزم بودند با ارایه چهار مولفه شماره کارت، رمز دوم کارت، CVV2 و تاریخ اعتبار کارت در سایت مورد نظر، به بانک ارائه‌دهنده خدمات اطمینان لازم را بدهند تا تراکنش لازم انجام پذیرد.

سیستم امنیتی تعریف شده توسط بانک مرکزی در سال‌های اخیر با حداقل انحراف پاسخگوی این نیاز بود اما با باز شدن پای کلاه‌برداران اینترنتی وافزایش پرونده‌های فیشینگ امنیت حساب‌های کاربران با مشکل مواجه شد زیرا اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی از طریق جعل یک وبگاه، مورد تهدید قرار گرفت.

براین اصل رمز دوم ایستا که تاکنون مورد استفاده قرار می‌گرفت با تدابیر جدید بانک مرکزی به رمز دوم پویا تبدیل شد که برای هر تراکنش بانکی منحصر‌به‌فرد است. بنابراین اصل بانک مرکزی با صراحت اعلام کرد که در صورت دسترسی سارقان به اطلاعات بانکی کاربر از جمله شماره کارت، CVV2 و تاریخ کارت امکان ورود به حساب کاربران وجود ندارد چرا که دسترسی به رمز پویا ندارند.

اما مخالفان این طرح علاوه برانتقاد از تعجیل بانک مرکزی برای اجرای رمزدوم پویا درنبود زیرساخت‌ها، معتقدند که رمز دوم پویا در بانکداری جهان متداول نیست.

در این زمینه مهدی باریده، کارشناس حوزه IT و پرداخت آنلاین، در گفتگو با «شهروند» توضیح می‌دهد: «در دنیا برای جلوگیری از فیشینگ و کلاهبرداری‌های اینترنتی از رمزهای دوم یک‌بار مصرف استفاده نمی‌شود؛ چون رمز دوم شخصی است و افراد آن را به خاطر می‌سپارند. از کارت‌های بانکی آنچه در پرداخت‌های بانکی در دید عموم قرار دارد CVV2 است؛ به همین دلیل در دنیا این CVV2ها هستند که متغیرند و یک‌بار مصرف  چون در معرض دید هستند و  نه رمز دومی که افراد آن را به خاطر می‌سپارند.»

 از نظر این کارشناس حوزه IT «برای اجرای رمز دوم پویا زیرساخت‌های بانکی به اندازه کافی مهیا نشده‌اند. روشی یکپارچه و واحد برای گرفتن رمز دوم یک‎بار مصرف از بانک‌ها در نظر گرفته نشده و هر بانکی اپلیکیشن و روش مخصوص به خود را دارد که همین مسائل باعث سردرگمی مردم شده است. تعداد بانک‌ها زیاد است و گرفتن رمز دوم یک‌بار مصرف از همه آنها باعث خسته‌شدن مردم می‌شود. یکی دیگر از مشکلات این رمزهای دوم هم این است که مردم را مجبور به استفاده از گوشی‌های هوشمند می‌کند و شما برای پرداخت‌های خود ناچار به استفاده از گوشی‌های هوشمند می‌شوید. ضمن اینکه اگر گوشی همراه افراد به سرقت برود همه اطلاعات آنها لو می‌رود و افراد دیگر به‌راحتی می‌توانند به این اطلاعات دسترسی پیدا کنند که همه اینها نشان از مشکلات فنی این طرح دارند. از طرف دیگر افرادی که گوشی‌های IOS دارند، نمی‌توانند از این اپلیکیشن‌ها استفاده کنند، مگر اینکه آنها را از قبل روی گوشی‌های خود نصب کرده باشند.»

گویا پلیس فتا هم چندان به امنیت رمز دوم پویا در برطرف کردن خطر سودای فیشینگ اطمینان ندارد چراکه به کاربران اینترنتی توصیه کرده است تنها برای کارت‌هایی رمز دوم یک‌بار مصرف را فعال کنند که مبلغ بسیار کمی موجودی داشته باشند

اما گویا در این بین پلیس فتا هم چندان به امنیت رمز دوم پویا در برطرف کردن خطر سودای فیشینگ اطمینان ندارد چرا که در این راستا به کاربران اینترنتی توصیه کرده است که تنها برای کارت‌هایی رمز دوم یک‌بار مصرف را فعال کنند که مبلغ بسیار کمی موجودی داشته باشند و حتی‌الامکان برای تمام کارت‌های بانکی رمز دوم در نظر گرفته نشود.