چراغ سبز به رمز یکبار مصرف بانکی
بیش از نیمی از جرائم رایانهای ایران مربوط به برداشتهای غیرمجاز است.
اواسط شهریورماه دادستان کل کشور بخشنامهای خطاب به دادستانهای عمومی و انقلاب سراسر کشور صادر کرد که براساس آن در پروندههای کلاهبرداریهای رایانهای در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا (رمز دوم کارت)، بانک موظف به پرداخت خسارت به فرد بزه دیده است.
این بخشنامه یکی از مهمترین اقدامات قانونی برای افزایش ضریب امنیتی حسابهای کاربران در تراکنشهای غیرحضوری بانکی در سالهای اخیر است آنهم در شرایطی که با توسعه شبکه کارتی کشور میزان کلاهبرداری از کارتهای بانکی هم کاربران رشد قابلتوجهی داشته است. در این بخشنامه آمده است از تاریخ اول تیر ۹۸ بانکها ضرورتا ملزم به استفاده از رمزهای پویا بوده و هرگونه استفاده از رمزهای دوم ایستا ممنوع اعلام و ادامه بهکارگیری رمز دوم ایستا از مصادیق آسیبپذیری امنیتی خدمات بانکی محسوب شده و هرگونه سوءاستفاده از حسابهای مشتریان بهدلیل آسیبپذیریهای امنیتی (ناشی از عدم اجرای الزمات رمزهای پویا) در سرویسهای بانکی مستقیما به عهده بانک بوده و تایید مرجع قضایی (دادسرا) برای جبران خسارت مشتریان کفایت میکند. براساس این بخشنامه در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا به لحاظ عدم رعایت بخشنامه بانک مرکزی وعدم رفع آسیبپذیری امنیتی، دستور پرداخت خسارت بزهدیده صادر و از طریق سامانه کاشف به بانک متخلف ابلاغ شود. با چنین اقدامی احتمالا الزام بانکها به ترویج رمز یکبار مصرف سرعت خواهد گرفت. این باعث افزایش ضریب امنیتی حساب کاربران میشود.
رشد جرائم بانکی ناشی از مدل بانکداری الکترونیکی
با توجه به مدل توسعه بانکداری الکترونیکی در کشور و فراگیر شدن کارتها و رشد شبکه پرداخت جرایم مربوط به این حوزه نیز با شکل و انواع متنوع رو به رشد است. در نبود یا فراگیرنشدن سرویسهای پرداخت واسطی چون Paypal عمده تمرکز شبکه بانکی در حوزه بانکداری الکترونیکی در ایران بر توسعه خدمات کارت انجام گرفته است از سوی دیگر وجود سیستم پرداخت آنی این فرصت را برای کلاهبرداری از اطلاعات بانکی افراد به شکل گستردهای فراهم کرده است. مقامات انتظامی در برخی استانها برداشت غیرمجاز از حساب افراد را بیشترین تعداد جرائم مجازی در سال ۹۷ اعلام کردهاند. این وضعیت در سال ۹۸ هم تشدید شده بهطوریکه فرمانده انتظامی تهران بزرگ اوایل امسال در یک نشست خبری گفت در نوروز ۹۸ شاهد افزایش ۹۰ درصدی جرائم در فضای مجازی بودیم که برداشت غیرمجاز اینترنتی از حساب بانکی در صدر آنها قرار داشت. رئیس پلیس فتا نیز در فروردین امسال اعلام کرد ۵۰ درصد جرائم اینترنتی مربوط به برداشتهای اینترنتی و کلاهبرداریهای اینترنتی است.
هرچند جرائم رایانهای با توسعه تکنولوژی رشد قابلتوجهی در جهان پیدا کرده و مختص یک کشور نیست اما مدل خاص توسعه بانکداری الکترونیکی در ایران باعث شده مسیر کلاهبرداری و برداشت غیرمجاز سادهباشد. علی نیکبین یک کارشناس بانکداری الکترونیکی در گفتوگو با «دنیایاقتصاد» میگوید: مسیر رشد شبکه بانکی بر توسعه کارت نقدی و عمده فرهنگ بانکی قالب بر پرداخت آنی بنا شده و همین باعث شده شاهد اوج گرفتن تقلب و کلاهبرداری در این عرصه باشیم. از کلاهبرداریهایی که اخیرا تحت عنوان برنده شدن در مسابقات از افراد جامعه انجام میگیرد گرفته تا مدلهای پیشرفتهتری مثل استفاده از صفحات جعلی بانکی یا دستگاههای کپیکننده اطلاعات کارت که باعث ایجاد پروندههای قضایی متعددی شده است.
نیکبین میگوید: نبود فرهنگ بانکی اعتباری باعث شده دربسیاری اوقات پول از دست رفته از حساب فرد بزه دیده دیگر برگشتپذیر نباشد در حالی که در سیستمهای بانکی بسیاری از کشورها پرداخت آنی انجام نمیگیرد به همین دلیل فرصت بیشتری برای تحلیل و اطمینان از صحت تراکنش انجام گرفته وجود دارد. در کنار این اشکالات ساختاری شاهد فقدان تامینهای امنیتی لازم برای امن کردن فضای تبادل مالی هم هستیم. رمزهای عبور ثابت یکی از نقاط اصلی نفوذ کلاهبرداران اینترنتی به حسابهای کاربران است. نیکبین معتقد است: تفاوت جرائم رایانهای در جهان و ایران در همین موضوع است که در مسیرهای تخلف اینترنتی در جهان پیچیده و مبتنیبر بهکارگیری دانش و تجهیزات خاصی است که در اختیار افراد زیادی قرار ندارد اما در ایران بهدلیل نبود شرایط عمومی امن حتی کلاهبرداران با دانش عمومی و بسیار پایین اقدام به کلاهبرداریهای سنگین کردهاند. نمونه آن را یکی دو سال قبل دیدیم در پروندهای که کلاهبردارانی از داخل زندان قربانیان را به طمع گرفتن جایزه وادار به دادن رمز کارت میکردند و سپس حساب آنها را خالی میکردند.
پویش رمز یکبار مصرف
رمز یکبار مصرف قرار است مسیر دسترسی کلاهبرداران را به حساب اشخاص بسیار سخت کند هرچند احتمال آن را از بین نمیبرد اما در صورت استفاده از این روش بخش عمده کاربران در برابر سطح گستردهای از خطرات ناشی از لو رفتن رمز عبور و اطلاعات کارت بیمه میشوند. از این رو مقررات گذار شبکه بانکی بحث الزام بانکها به راهاندازی این مسیر را از سال گذشته دنبال کرده و بانکها را ملزم کرده که زیرساخت لازم برای فعال شدن آن را فراهم کنند. راهاندازی این فرآیند در بانکها ساده نبوده و حتی یکبار در خرداد امسال افتتاح این جریان به تعویق افتاد اما طی ماههای اخیر سرانجام اغلب بانکها رمز یکبار مصرف را فعال کردهاند. رمز یکبار مصرف یا OTP یک رمز متغیر است که هربار هنگام استفاده از کارت یا خرید اینترنتی با بازکردن اپلیکیشن مخصوص آن را دریافت و از آن استفاده میکنید. این رمز پس از یکبار استفاده منقضی میشود و برای استفاده مجدد کارت باید دوباره اپلیکیشن بانکی تولید رمز را باز کرده و رمز جدیدی از آن دریافت کنید.
مزیتهای استفاده از رمز یکبار مصرف کم نیست یکی از اصلیترین مزایای آن این است که امکان سوءاستفاده از رمز کارت یا رمز دوم کارت کم میشود. سارقان و کلاهبرداران معمولا با شگردهای مختلف با به دست آوردن رمز دوم از طریق مهندسی اجتماعی یا برخی دستگاههای پوز تقلبی (کپیکننده کارت) یا دستکاری در خودپردازها از حساب افراد برداشت غیرمجاز انجام میدهند. در صورت استفاده فرد از رمز یکبار مصرف حتی در صورت لو رفتن رمز یا اطلاعات کارت یا کپی از کارت برداشت از حساب کاربر انجام نخواهد گرفت؛ چراکه رمز دوم فقط توسط اپلیکیشن روی موبایل کاربر تولید میشود. یک نکته درباره فعالسازی رمز یکبار مصرف بانکی این است که در برخی موارد برای استفاده از آن نیاز به اینترنت وجود ندارد و تنها با بازکردن اپلیکیشن مورد نظر که دارای توکن مشترک با سیستم رمز بانکی است، صورت میگیرد. رمز یکبار مصرف در جهان تکنولوژی جدیدی نیست و سالهاست برخی گجتهای سخت افزاری تولید رمز یکبار مصرف OTP Token عمدتا برای مشتریان حقوقی مورد استفاده قرار میگرفت. حالا اما اپلیکیشنهای تولید رمز این کار را انجام میدهند.
بانکهای متفاوت، روشهای متفاوت
مراحل راهاندازی رمز یکبار مصرف بسیار ساده است؛ اما ممکن است برخی پیچیدگیهای آن کاربران مسنتر و ناآشناتر به اپلیکیشن و موبایل را کمی سردرگم کند. بانکهای ایران به تدریج در حال راهاندازی این شیوه برای مشتریانشان هستند و عمدتا در داخل شعبه و همچنین از طریق سایت روشهای فعالسازی آن را توضیح دادهاند. با این حال احتمالا بهدلیل تعدد مراحل و عدم سادهسازی و شفافسازی مراحل توسط بانکها ممکن است بسیاری از کاربران حاضر به فعال کردن آن نشوند. متاسفانه فعلا هیچ اپلیکیشن جامعی برای فعال کردن رمز یکبار مصرف برای همه کارتهای بانکی وجود ندارد و هر بانک یک اپلیکیشن مخصوص به خود با روشهای نسبتا مشابه را برای فعالسازی به آن کار گرفته است. متاسفانه برخی بانکها مراجعه به شعبه را برای ایجاد یا غیرفعال کردن رمز یکبار مصرف در پروسه خود گذاشتهاند که همین فعال کردن آن را با دشواری مواجه میکند. به رغم اینکه اغلب بانکها مسیر استفاده از رمز یکبار مصرف را ایجاد کردهاند، اما نبود الزام باعث شده سادهسازی و فرهنگسازی لازم برای استفاده عموم کاربران از آن انجام نگیرد. همین احتمالا باعث خواهد شد که بسیاری از کاربران جرات و اعتماد و مهمتر از همه نیاز لازم را برای فعال کردن آن نداشته باشند.
اغلب بانکها هم برای کاربران سیستم عامل اندروید و هم برای آیاواس اپلیکیشنهای جداگانهای توسعه دادهاند. برخی روشهای متنوعی برای راحتی بیشتر مشتریان به کار گرفتهاند؛ مثلا استفاده از روشهای ترکیبی مانند اساماس از آن جمله است. در مقابل برخی هم کار را بسیار پیچیده و سخت کردهاند. بررسیهای «دنیایاقتصاد» نشان میدهد در برخی از بانکها مسیر فعالسازی رمز یکبار مصرف آنقدر سخت است که در صورت تغییر نکردن تعداد کاربران کمی حاضر به فعالسازی آن میشوند. نگاهی به تعداد کل فرآیندهای فعالسازی رمز یکبار مصرف و راهنماهای مفصل نوشته شده بانکها برای کاربران نشان میدهد این مسیر ساده و راحت تعریف نشده است و همین میتواند بزرگترین مانع استقبال کاربران از آن باشد بهخصوص که مراجعه خبرنگار «دنیایاقتصاد» به برخی شعب بانکها نیز نشان میداد حتی کارشناسان حاضر در خود بانکها هم تسلط لازم را برای اجرای این فرآیندها روی گوشی کاربران ندارند.
با این حال اقدام قوهقضائیه در مقصر شناختن بانکها در هنگام استفاده از رمز ایستا در کلاهبرداریهای اینترنتی احتمالا باعث خواهد شد بانکها تمام تلاششان را برای وادار کردن کاربران به فعال کردن این روش به کار گیرند. به این ترتیب انتظار میرود طی ماههای پیش رو روشهای سادهتر و کاربردیتر و تمهیدات فنی در جهت سهولت راهاندازی رمز یکبار مصرف توسط بانکها به کار گرفته شود.