حل مسئله فیشینگ با راه اندازی اجباری رمز دوم پویا

به گزارش جام جم آنلاین، بحث امنیت در تمام زمینه‌ها به عنوان یکی از ضرورت‌ها و نیازهای بشری همواره مطرح بوده است و به دلیل اهمیت این موضوع است که گاهی انتشار اخباری با مضمون و محتوای ناامنی می‌تواند بر اذهان عمومی تاثیر داشته و سبب تشویش و نگرانی افراد شود. در جامعه مدنی به طور قطع این اولین مطالبه شهروندان است و سازمان‌ها و نهادهای ذیربط وظیفه تامین این نیاز مهم را بر عهده دارند؛ اما گاهی در برخی موارد شاهدیم که با وجود تاکید مردم بر این مهم، باز هم اتفاقاتی رخ می‌دهد که امنیت آنها تهدید شده و موجب نگرانی‌شان می‌شود. یکی از مواردی که اخیرا در سطح ملی با آن مواجه شده‌ایم موضوع هک شدن حساب بانکی یا بهتر بگوییم معضل فیشینگ است، مساله‌ای که پیش از این هم به دفعات از طریق شکایات متعدد مردمی به دستگاه‌های قضائی عنوان شده بود اما این روزها تحت تاثیر جو رسانه‌ای بیش از پیش مورد توجه واقع شده است.

در همین رابطه باشگاه خبرنگاران جوان گفت‌وگویی با ابوالقاسم صادقی معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات کشور داشته که در ادامه ارائه شده است. اما قبل از آن برای شفافیت بیشتر تعریفی مختصر درخصوص تفاوت هک شدن بانک‌ها و فیشینگ بیان می‌شود.

با توجه به اطلاعیه پلیس فتا هک شدن یعنی هکر بانک ایکسی را هدف قرار داده، به سیستم آن نفوذ می‌کند تا بتواند دسترسی غیر مجاز بگیرد و از داخل سیستم بانک، پولی را جا به‌جا کند که چنین اتفاقی بی سابقه نیست. سیستم بانکی تحت این شرایط همچنان به فعالیت خود ادامه می‌دهد؛ در واقع درگاه‌های پرداختی که به صورت الکترونیکی در اختیار طرف ثالث از سوی شرکت‌های PSP قرار می‌گیرند، مورد سواستفاده واقع می‌شوند و کلاهبرداران با ایجاد یک درگاه غیر مجاز که ظاهری بسیار شبیه به درگاه‌های واقعی و قانونی دارد، اقدام به فریب کاربران می‌کنند؛ مانند فروشگاه‌های اینترنتی که افراد برای خرید از آنها استفاده می‌کنند، غافل از اینکه این یک صفحه جعلی است که در آن یک درگاه جعلی قرار داده شده است و اطلاعات شخصی درج شده در این صفحات از سوی کاربران، به دست یک هکر یا همان سارق می‌افتد.

این روزها با توجه به کوتاهی‌هایی که از سوی سیستم‌های بانکی رخ داده این کار متاسفانه بسیار متداول و آسان شده است تا جایی که شاهدیم در پاره‌ای از موارد نوجوانان به این کار مبادرت می‌ورزند. این حالت نامش فیشینگ است و به نوعی جعل و کلاهبرداری حساب می‌شود بنابراین به معنای هک شدن سیستم بانکی نیست بلکه اطلاعات کاربر است که افشا و مورد سوءاستفاده واقع شده است؛ و اینکه می گویند هک بانک نبوده و فیشینگ بوده است به این معناست.

ابوالقاسم صادقی معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات درخصوص نهادهای ذیربطی که وظیفه تامین امنیت سایبری و رسیدگی به جرائم یارانه و فضای مجازی را دارند، بیان کرد: "نهادهای امنیت سایبری که در حال حاضر فعال هستند، سازمان فناوری اطلاعات (مرکز ماهر)، مرکز افتا ریاست جمهوری و پلیس فتاست که وظایف هر نهاد و سازمانی مشخص است و عموما پلیس فتا به عنوان ضابط قضایی به مشکلات مردم و شرکت‌ها رسیدگی می‌کند. به همین ترتیب کلاهبرداری، سرقت، جعل و غیره در فضای مجازی را پلیس فتا رسیدگی می‌کند.

مکانیزم پرداخت در کشور بسیار قدیمی است

صادقی در ادامه در پاسخ به این سوال که چرا در کشورمان بروز چنین اتفاقاتی متداول بوده و به راحتی رخ می‌دهد، تصریح کرد: مکانیزم پرداخت در کشورما، بسیار قدیمی است که آسیب پذیری زیادی دارد و این در تمام دنیا مشخص شده است. در حال حاضر بانک‌های بزرگ دنیا رمز دوم پویا را که اصطلاحا آن را OTP می‌نامند فعال کرده و استفاده می‌کنند؛ رمز پویا امکان سوءاستفاده و برداشت غیرمجاز از حساب افراد را به صفر می‌رساند که با وجود آن هیچ درگاه جعلی امکان فعالیت ندارد چرا که رمز دوم را فقط مشتری می تواند تولید کند و توسط سارقان قابل شبیه سازی نیست. ایجاد این مهم از وظایف بانک مرکزی است که متاسفانه تاکنون انجام نشده است و با وجود تمام پیگیر‌هایی که از سوی نهادها و سازمان‌های مختلف انجام شده، سیستم بانکی تاکنون اقدامی نکرده است. قرار است از اول دی ماه سال جاری راه اندازی رمز دوم پویا اجباری شود امیدواریم که این اتفاق رخ دهد که اگر چنین شود مساله فیشینگ تا حد بسیار زیادی حل می‌شود.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات درباره این ادعای بانک‌ها مبنی بر عدم رضایت مشتریان برای ایجاد و دریافت رمز پویا، اظهار کرد: بهانه‌ای از این قبیل که مشتریان با رمز پویا دچار مشکل هستند و اقبالی برای ایجاد آن ندارند قابل قبول نیست، این دلیل مانند تعویض قفل در است یعنی بگوییم افراد با هر بار کلید جدیدی که در اختیارشان قرار می‌گیرد احساس راحتی ندارند و ترجیح می‌دهند که با همان کلید قبلی درب منزلشان را باز کنند حتی اگر یقین داشته باشند که امنیتشان در خطر است؛ طبیعی است که چنین دلیلی توجیه پذیر نیست. به طور قطع امنیت برای مردم همواره در اولویت بوده است.

وی افزود: این وظیفه بانک است که این موضوع را در میان مردم فرهنگسازی کند و ضرورتش را برای آن‌ها جا بیاندازد. اگر تصور می‌شود که این موضوع ممکن است برای مشتریان سوال شود، شفاف سازی‌ها و اطلاع رسانی‌های لازم را انجام دهند. طبق آمار قوه قضائیه روزانه حدود ۱۷۰۰ پرونده در خصوص جرائم رایانه‌ای مطرح می‌شود که بخش قابل توجهی از آن مروبط به عملیات فیشینگ است و مردم قربانی‌های اصلی این نوع کلاهبرداری‌ها هستند. چه کسی باید پاسخگو باشد؟ آیا سیستم بانکی در این میان هیچ احساس مسئولیتی ندارد؟

صادقی در پاسخ به این سوال که اگر در تاریخ مشخص شده، این اتفاق نیفتد و بانک مرکزی به وظیفه خود در این زمینه عمل نکند، چه خواهد شد، بیان کرد: پیشنهاد ما این است که شورای عالی فضای مجازی این موضوع را در دستور کار خود قرار دهد و رسما به آن ورود کند که اگر واقعا به هیچ ترتیبی نتوان این موضوع را اجرایی کرد، مساله در شورای عالی فضای مجازی مطرح و مصوب شود و یا در نهایت به صورت طرح و یا پیشنهادی وارد مجلس شود. البته این موضوع باید هر چه زودتر حل شود و سیستم بانکی اجازه ندارد بیش از این امنیت مردم را به بازی بگیرد و اینکه گفته می‌شود مردم استقبال نمی‌کنند کاملا رد می‌شود، چرا که امنیت برای مردم بسیار حائز اهمیت است.

معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در پایان خاطر نشان کرد: برآورد ما این نیست که مردم بخواهند در مقابل فعال سازی رمز پویا مقاومتی نشان دهند. بانک‌ها می‌توانند با برگزاری جلسات توجیهی حتی نشست‌ها و برنامه‌های گفت‌وگو محور تلویزیونی اطلاع رسانی کنند. امنیت مشتریان در تراکنش‌های اینترنتی اصل مطلب است و انتظار ما این است که بانک‌ها نسبت به ماهیت تراکنش‌هایی که انجام می‌شود احساس مسئولیت و دغدغه بیشتری داشته باشند؛ اینکه این ماهیت با چه هدفی انجام می‌شود و کسی که این تراکنش را انجام می‌دهد باید احساس مسئولیت کند.