چالش یک بار مصرف‌ها

راه‌حلی برای کلاهبرداری‌های مالی
سرهنگ تورج کاظمی، رئیس پلیس فتای استان تهران جدیدترین آمار برداشت مبالغ متعدد بدون اطلاع کاربران از حساب آنها را ارائه کرد و گفت: «بیش از ۶۰درصد پرونده‌های پلیس فتا مربوط به فیشینگ است که اجرای رمز دوم یک‌بار مصرف از سوی بانک مرکزی تعداد این جرایم را به صفر می‌رساند و امنیت را افزایش می‌دهد. مبالغ این کلاهبرداری‌ها به‌طور معمول یک تا صد میلیون تومان است، اما همواره کلاهبرداران تا میزان سقف قابل برداشت نسبت به برداشت از حساب مالباختگان اقدام کرده‌اند.»
کاظمی درباره خبری که مبنی بر هک‌شدن حساب‌های بانکی منتشر شده بود، گفت: «میزان فیشینگ در روزهای اخیر نسبت به گذشته تفاوت چندانی نداشته و رشد خاصی را تجربه نکرده، اما میزان فیشینگ در این روزها نسبت به مدت مشابه سال گذشته با رشد مواجه بوده است. خبری که تحت عنوان خالی شدن حساب‌های بانکی و حمله هکری بود، صرفاً فیشینگ از تعدادی کارت بانکی بود که اطلاعات آنها با سهل‌انگاری کاربران در نرم‌افزارها و درگاه‌های پرداخت جعلی سرقت شده بود و در یک زمان برداشت غیرمجاز انجام شد که پیگیر موضوع هستیم.»
به‌طور کلی و فارغ از آنچه در این مدت گذشت، می‌توان گفت به دلیل افزایش حجم پرونده‌های شکایتی در حوزه کلاهبرداری مالی از طریق تراکنش‌های بدون حضور کارت، بانک مرکزی دنبال راهکاری برای افزایش امنیت و رفع دغدغه‌ها بود که در همین راستا پویاسازی رمزهای بانکی با همکاری کاشف پیگیری شد، اما نبود زیرساخت‌های لازم برای انجام این کار، باعث شد اجرای این طرح حدود یک سال به تعویق بیفتد. البته در این میان، بانک مرکزی هم با اعلام بندهایی جدید در این سند تجدیدنظر کرد و برای مبالغ پرداختی، سقف 500 هزار تومان قائل شد.
البته گفته می‌شود با اجرا نشدن رمز یک‌بار مصرف برای تراکنش‌های کمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا باز هم کاهش پیدا نخواهد کرد، زیرا روزانه با سقف ۵۰۰ هزار تومان کلاهبرداری انجام می‌شود. کارشناسان صنعت بانکی و پرداخت اعتقاد دارند ایده الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم باید به‌گونه‌ای پیاده‌سازی شود که مشتری اگر تراکنش بالای ۵۰۰ هزار تومان را با رمز دوم یک‌بارمصرف انجام داد بعد از آن هم بتواند دیگر تراکنش‌های زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد که این موضوع در اجرای این طرح عملیاتی نشده است.

مشکلات احتمالی
قبل از این‌که به این موضوع اشاره کنیم که مردم چه‌طور می‌توانند این رمزها را دریافت کنند باید نکاتی را مدنظر قرار دهیم. نخست این‌که با اجرای این طرح، جمعیت قابل توجهی از کشور عملاً نمی‌توانند با رمزهای یک‌بارمصرف همگام شوند. افرادی که به علت کهولت سن، یادگیری شیوه‌های جدید اینترنتی برای آنها مشکل است، افرادی که جزو اقشار کم‌درآمد جامعه محسوب می‌شوند و توانایی خرید گوشی هوشمند را ندارند و همچنین روستاییانی که دسترسی کامل به اینترنت ندارند و به‌طور کلی طبقات محروم و ناتوان جامعه. چنانچه ارسال رمزهای دوم پویا نیز از طریق پیامک باشد باز هم مسائل امنیتی مطرح است، زیرا به جای بانک‌ها، API به برخی شرکت‌ها داده شده تا این رمزها را برای کاربران ارسال کنند و این کار، عملیات بانکی را با مشکلات امنیتی مواجه می‌کند. از سوی دیگر، در انجام تراکنش، سرعت عامل مهمی است و در‌حال حاضر در برخی بانک‌ها این زمان کمتر از صد میلی‌ثانیه است، اما طبیعتا ارسال پیامک از این سرعت می‌کاهد و انجام کار را با اختلال مواجه می‌کند.
از سوی دیگر، می‌توان ادعا کرد امنیت رمزهای دوم فعلی خیلی بیشتر از جایگزین‌های آن است. چون رمز را خود کاربر انتخاب می‌کند و احتمال لو رفتن آن کمتر از رمز یک‌بارمصرفی است که به گوشی شما پیامک می‌شود. فرض کنید گوشی فرد به سرقت برود تا به بانک برسد و کارت را باطل کند، حسابش خالی شده است.

چگونگی دریافت رمز دوم پویا
به هر روی، در آماری که بانک مرکزی در دی ۹۷ منتشر کرد، در مجموع ۳۱۰ میلیون کارت بانکی توسط بانک‌ها صادر شده است. به‌این ترتیب، بیشتر مردم با کارت‌های بانکی سروکار دارند و احتمالا تعداد زیادی از آنها باید برای دریافت رمز دوم پویا اقدام کنند. برای این منظور برخی بانک‌ها از چند ماه قبل اقدام به ارائه نرم‌افزارهایی کرده‌اند تا این امکان برای کاربران فراهم کنند. مراجعه به شعب بانک و اخذ شماره سریال و شماره فعال‌سازی نرم‌افزار رمز یکبار مصرف، استفاده از بستر کد USSD و شماره‌گیری کدهای دستوری، استفاده از خدمت «نت بانک»، استفاده از روش‌های توکن رمز یک‌بار مصرف (OTP)، یک‌بار رمز همراه (Mobile OTP) یا یکبار رمز پیامکی (SMS OTP) نیز از دیگر روش‌ها برای استفاده از رمز دوم پویا است.
برای دریافت این رمزها باید به شعب بانک مراجعه کنید و از آنها راهنمایی بخواهید و این نکته را مد نظر قرار دهید که هرگونه کلاهبرداری در این میان امری طبیعی است، بنابراین به پیامک‌هایی که برای شما ارسال می‌شود یا تماس‌هایی که با شما می‌گیرند، اعتنا نکنید.

راهکار دیگر کشورها برای حفظ امنیت پرداخت اینترنتی
ایران تنها کشور جهان است که از رمز دوم ثابت برای خدمات بدون کارت و غیرحضوری استفاده می‌کند. کشور ما در هیچ‌کدام از سیستم‌های پرداخت بین‌المللی حضور ندارد و همین امر وضعیت ایران را خاص می‌کند. به‌طوری‌که تنها کشوری که رمز دوم در آن معنا دارد، کشور ماست. تقریبا یک دهه است که در ایران، مردم با رمز دوم از خدمات بانکی استفاده می‌کنند. شبکه پرداخت بانکی در ایران چون داخلی است و دسترسی به خارج از کشور ندارد، توانسته با شیوه خاص خود در این سال‌ها با تعیین رمز دوم ـ که فقط دارنده کارت توانایی تغییر آن را دارد ـ وظایفش را تا حدود زیادی به‌خوبی انجام دهد.
در بیشتر کشورهای جهان، چیزی تحت عنوان رمز دوم وجود ندارد و به رمز اول هم آن‌قدرها احتیاجی نیست. مثلا در کانادا تنها در خریدهای بالای صد دلار به رمز نیاز دارند. در خریدهای زیر صد دلار هم اگر حضوری باشد، با نزدیک کردن کارت بانکی به دستگاه کارتخوان خرید انجام می‌شود و در خرید اینترنتی و غیرحضوری هم با وارد کردن هویت صاحب کارت، شماره کارت و کد چهار رقمی (cvv2) خرید انجام می‌شود. در خرید اینترنتی اگر خرید بالای صد دلار باشد، از طریق بانک عامل پیامکی با مدت زمان محدود برای استفاده ارسال می‌شود تا فرد با وارد کردن آن از خدمات اینترنتی و بدون کارت بهره‌مند شود.

فاطمه تقوی