وعده بانک مرکزی برای عبور از بحران فیشینگ فعلا به محاق رفت
«ایستا»یی رمزدوم «پویا» در دقیقه ۹۰!
مهناز اعتدالی
بانک مرکزی با مطرح کردن دوباره طرح پویاسازی رمز دوم بعد از تداوم تعویقها از شهریور سال گذشته این بار با تاکید قوه قضاییه؛ قصد داشت هم زمان با شروع زمستان، از تولید رمزدوم پویا در هر 60 ثانیه رونمایی کند تا در این راستا با الزام نصب اپلیکیشن هر بانک شرایطی را مهیا کند که مشتریان بانکها با اطمینان از امنیت حساب خود رمزشان را فریاد بزنند.
در واقع ضربالاجل بانک مرکزی برای اجرای طرح رمزدوم پویا، به دلیل آمار بالای جرایم سایبری بود زیرا به گفته مهران محرمیان، معاون فناوریهای نوین بانک مرکزی «روزانه ۸۰۰ پرونده جدید در پلیس فتا ثبت میشود که بسیاری از آنها مربوط به فیشینگ و حدود ۲۰۰ تا ۳۰۰ مورد از این پروندهها مربوط به پایتخت است.»
اما در گذر از رمزهای ایستا این نکته مورد توجه قرار نگرفت که سرعت پایین اینترنت مهمترین مانع برای اجرای این طرح است چرا که گزارشهای مردمی نشان میدهد استفاده از رمزهای پویا ظرف 60 ثانیه منقضی میشود و این در حالی است که درگاههای پرداخت اینترنتی با تاخیر در پردازش اطلاعات، کاربران را ملزم به وارد کردن مجدد رمز پویا میکنند. در این بین فاصله درخواست تا زمان رسیدن مجدد رمز دوم پویا به دست مشتری و وارد کردن آن بیش از ۶۰ ثانیه طول میکشد که این موضوع موجب شده تا کارتهای بسیاری از مشتریان بانکها مسدود شود.
کارشناسان فناوری اطلاعات و ارتباطات در این زمینه معتقدند که نبود زیرساختهای لازم و اختلال در سیستم اپلیکیشنهای بانکی به عنوان یک سرعتگیر، اجرای این طرح را با موانع بسیار همراه کرده است زیرا کاربرد استفاده از رمزهای پویا برای بالابردن امنیت تراکنشها تعریف شده است و تنها ۶۰ ثانیه اعتبار دارد، در حالیکه سامانه امنیت بانکی بهگونهای طراحی شده که در صورت وارد کردن رمز پس از پایان ۶۰ ثانیه، سامانه امنیتی بانک این ورود را بهعنوان حمله امنیتی و تلاش برای ورود غیرمجاز به حساب مشتری قلمداد کرده و بعد از سه بار تکرار کارت را مسدود می کند.
از سوی دیگر اصرار بانکها برای نصب اپلیکیشن و نرمافزار اختصاصی علاوه بر سرگردانی و گلایه مشتریان بانکی؛ حافظههای داخلی و خارجی گوشیهای هوشمند را نیز با اختلال همراه کرده است. در این زمینه فعالیت 32 بانک در عرصه بانکداری در حالی که سرانه هر ایرانی حدود 5 کارت بانکی عنوان شده، شرایط سختی را برای مشتریان بانکها رقم زده است. زیرا علاوه بر فضای اشغال شده در گوشیهای هوشمند، عملکرد این اپلیکیشنها با پیچیدگی بسیار همراه است زیرا مشکلات فنی بسیاری از این نرمافزارها به دلیل ضربالاجل زمان اجرا در مورد نرمافزارهای مورد نیاز دو سیستم عامل اندروید و آیفون رفع نشده است به ویژه برای سیستم عاملios به علت انحصاری که در نصب نرمافزارهای ایرانی دارد با اختلالات متعددی همراه است.
براین اساس سرگردانی مشتریان بانکی در استفاده از رمز پویا خریدهای اینترنتی را نیز با اختلال پرداختی بسیار همراه کرده است که در صورت تداوم این وضعیت، کسب و کارهای اینترنتی با خسارات زیادی مواجه خواهند شد.
ارسال رمز دوم پویای پیامکی از هفته دوم دی ماه
روزگذشته هم زمان با موعد اجرای طرح استفاده از رمز دوم پویا، عقبنشینی دوباره بانک مرکزی در شرایطی رقم خورد که پیش از این در اطلاعیههای منتشره بارها اعلام شده بود که استفاده از رمز دوم پویا از ابتدای دی ماه سال جاری برای همه اجباری است و از این تاریخ به بعد دیگر رمز دوم ایستا حذف خواهد شد.
رمزهای پویا برای بالابردن امنیت تراکنشها تعریف شده است و تنها ۶۰ ثانیه اعتبار دارد، درحالیکه سامانه امنیت بانکی به گونهای طراحی شده که در صورت وارد کردن رمز پس از پایان ۶۰ ثانیه، این ورود بهعنوان حمله امنیتی و تلاش غیرمجاز به حساب مشتری قلمداد شده و بعد از سه بار تکرار کارت مسدود می شود
اما به دلیل نبود زیرساختهای لازم، بانک مرکزی در اطلاعیه شماره ۷ منتشر شده در اول دی ماه ۱۳۹۸، تاکید کرده است «رمز دوم ایستا برای هموطنانی که تاکنون رمز دوم پویای خود را فعال نکردهاند، همچنان قابل استفاده است. براین اساس برای بالا بردن ضریب نفوذ طرح در آغاز اجرا، استفاده از «سرویس پیامک» برای دریافت رمز دوم پویا از هفته دوم دیماه جاری آغاز و به تدریج با اتصال بانکهای مختلف تا انتهای دیماه به انجام میرسد.»
معاون فناوری بانک مرکزی نیز در صفحه شخصی خود در فضای مجازی عنوان کرد «رمز دوم پویا پیامکی را هفته دوم دی با یک بانک شروع میکنیم و آخر دی هم با تکمیل بانکها، تمام خواهیم کرد. با سرعتی که مردم رمز دوم پویا را فعال میکنند، کسب و کارهای اینترنتی حداقل تاثیر را خواهند پذیرفت. یک کار تیمی بزرگ در حال انجام است و همه دارند به پایان فیشینگ کمک میکنند. پیش از این نیز مقرر بود از اوایل دی ماه خدماترسانی بانکها به مرزهای ایستا قطع و سپردهگذاران با دارا بودن رمز پویا امکان خرید اینترنتی را داشته باشند.»
چرا عملیات پویاسازی رمز دوم یک بار مصرف به تاخیر افتاد؟
بازبینی زمانی 15 روزه بانک مرکزی برای رفع اختلال در راهاندازی قسمتی از نرمافزار بانکها، نقص راهاندازی سیستم هریم (پیامک ارسال رمز دوم یکبار مصرف)، عدم برنامهریزی چند بانک و موسسه مالی برای همراهی با بانک مرکزی و احتمال هک نرمافزار صدور رمز دوم یکبار مصرف نصب شده در تلفن همراه مشتریان بانکها، اعلام شده است.
در این زمینه عباس معمارنژاد، معاون امور بانک، بیمه و شرکتهای دولتی وزارت امور اقتصادی و دارایی در گفتوگو با باشگاه خبرنگاران جوان اعلام کرد: «شاید یکی از دلایل این وقفه، آماده نبودن زیرساختهای بانکی بود که خوشبختانه طی ماه گذشته و تاکید جدی رئیس کل بانک مرکزی برای راهاندازی رمز دوم پویا، بانکها به آمادهسازی انواع نرمافزار صدور رمز دوم، تعریف الگوریتم USSD و همچنین اتصال به شبکه صدور رمز دوم به صورت پیامکی پرداختند. استفاده از رمز دوم یک بار مصرف از الزامات ایجاد امنیت در فضای پرداختهای اینترنتی است که البته با کمی وقفه مورد بهرهبرداری بانک مرکزی میرسد.»
بلایی به نام فیشینگ
پیش از این کاربران برای خرید اینترنتی ملزم بودند با ارایه چهار مولفه شماره کارت، رمز دوم کارت، CVV2 و تاریخ اعتبار کارت در سایت مورد نظر، به بانک ارائهدهنده خدمات اطمینان لازم را بدهند تا تراکنش لازم انجام پذیرد.
سیستم امنیتی تعریف شده توسط بانک مرکزی در سالهای اخیر با حداقل انحراف پاسخگوی این نیاز بود اما با باز شدن پای کلاهبرداران اینترنتی وافزایش پروندههای فیشینگ امنیت حسابهای کاربران با مشکل مواجه شد زیرا اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی از طریق جعل یک وبگاه، مورد تهدید قرار گرفت.
براین اصل رمز دوم ایستا که تاکنون مورد استفاده قرار میگرفت با تدابیر جدید بانک مرکزی به رمز دوم پویا تبدیل شد که برای هر تراکنش بانکی منحصربهفرد است. بنابراین اصل بانک مرکزی با صراحت اعلام کرد که در صورت دسترسی سارقان به اطلاعات بانکی کاربر از جمله شماره کارت، CVV2 و تاریخ کارت امکان ورود به حساب کاربران وجود ندارد چرا که دسترسی به رمز پویا ندارند.
اما مخالفان این طرح علاوه برانتقاد از تعجیل بانک مرکزی برای اجرای رمزدوم پویا درنبود زیرساختها، معتقدند که رمز دوم پویا در بانکداری جهان متداول نیست.
در این زمینه مهدی باریده، کارشناس حوزه IT و پرداخت آنلاین، در گفتگو با «شهروند» توضیح میدهد: «در دنیا برای جلوگیری از فیشینگ و کلاهبرداریهای اینترنتی از رمزهای دوم یکبار مصرف استفاده نمیشود؛ چون رمز دوم شخصی است و افراد آن را به خاطر میسپارند. از کارتهای بانکی آنچه در پرداختهای بانکی در دید عموم قرار دارد CVV2 است؛ به همین دلیل در دنیا این CVV2ها هستند که متغیرند و یکبار مصرف چون در معرض دید هستند و نه رمز دومی که افراد آن را به خاطر میسپارند.»
از نظر این کارشناس حوزه IT «برای اجرای رمز دوم پویا زیرساختهای بانکی به اندازه کافی مهیا نشدهاند. روشی یکپارچه و واحد برای گرفتن رمز دوم یکبار مصرف از بانکها در نظر گرفته نشده و هر بانکی اپلیکیشن و روش مخصوص به خود را دارد که همین مسائل باعث سردرگمی مردم شده است. تعداد بانکها زیاد است و گرفتن رمز دوم یکبار مصرف از همه آنها باعث خستهشدن مردم میشود. یکی دیگر از مشکلات این رمزهای دوم هم این است که مردم را مجبور به استفاده از گوشیهای هوشمند میکند و شما برای پرداختهای خود ناچار به استفاده از گوشیهای هوشمند میشوید. ضمن اینکه اگر گوشی همراه افراد به سرقت برود همه اطلاعات آنها لو میرود و افراد دیگر بهراحتی میتوانند به این اطلاعات دسترسی پیدا کنند که همه اینها نشان از مشکلات فنی این طرح دارند. از طرف دیگر افرادی که گوشیهای IOS دارند، نمیتوانند از این اپلیکیشنها استفاده کنند، مگر اینکه آنها را از قبل روی گوشیهای خود نصب کرده باشند.»
گویا پلیس فتا هم چندان به امنیت رمز دوم پویا در برطرف کردن خطر سودای فیشینگ اطمینان ندارد چراکه به کاربران اینترنتی توصیه کرده است تنها برای کارتهایی رمز دوم یکبار مصرف را فعال کنند که مبلغ بسیار کمی موجودی داشته باشند
اما گویا در این بین پلیس فتا هم چندان به امنیت رمز دوم پویا در برطرف کردن خطر سودای فیشینگ اطمینان ندارد چرا که در این راستا به کاربران اینترنتی توصیه کرده است که تنها برای کارتهایی رمز دوم یکبار مصرف را فعال کنند که مبلغ بسیار کمی موجودی داشته باشند و حتیالامکان برای تمام کارتهای بانکی رمز دوم در نظر گرفته نشود.
دیدگاه تان را بنویسید