بررسی طرح رمز دوم پویا نشان میدهد که این طرح در برخی موارد مربوط به ارسال پیامک با مشکلات امنیتی روبرو است و میتواند حسابهای بانکی مشتریان را به خطر بیندازد.
بانک مرکزی بانکها را موظف کرده تا طرح رمز دوم پویا را از ابتدای دیماه سال جاری به صورت الزامی برای تمام مشتریان به اجرا درآورند.
این در حالی است که پیشتر این طرح قرار بود در ابتدای خردادماه اجرایی شود، اما به دلایلی به تعویق افتاد که یکی از مهمترین دلایل آن را میتوان عدم دسترسی تمامی مشتریان بانکی به گوشیهای هوشمند دانست، چراکه در ابتدا قرار بود دریافت رمز دوم پویا توسط مشتریان از طریق اپلیکیشنهای بانکی انجام شود.
بر اساس آمار به دست آمده حدود ۲۰ درصد از مشتریان بانکی دسترسی به گوشیهای هوشمند ندارند و در همین راستا بانک مرکزی تصمیم گرفت با توسعه این طرح، امکان ارسال رمز دوم پویا را از دو طریق اپلیکیشنهای بانکی و پیامک فراهم کند.
برای این کار مشتریان بانکی باید از یکی از سه راه مراجعه حضوری به شعبه، خودپرداز یا اینترنتبانکهایی که تایید هویت دو مرحلهای دارند، شماره تلفن همراه خود را تایید کنند که البته برای تغییر شماره تلفن همراه، مراجعه به شعبه الزامی است.
بانک مرکزی این طرح را برای کاهش آمار فیشینگ و جلوگری از کلاهبرداریهای مشابه و به عبارت دیگر افزایش ضریب امنیتی تراکنشهای بدون حضور کارت اجرا میکند و این در حالی است که در بخشی از شکل اجرای این طرح، مشکلات امنیتی مهمی وجود دارد.
مشتریانی که اقدام به دریافت رمز دوم پویا از طریق اپلیکیشنهای بانکی میکنند، باید پس از ورود به اپلیکیشن و وارد کردن نام کاربری و رمز عبور که از بانک دریافت کردهاند یا روشهای دیگری چون اثر انگشت، رمز دوم پویا را از طریق اپلیکیشن دریافت کنند.
البته این نرمافزارها برای ارسال رمز به صورت آفلاین عمل کرده و نیازی به دسترسی به اینترنت ندارند.
حال آنکه افرادی که فاقد گوشی هوشمند هستند یا به هر دلیلی میخواهند از طریق پیامک رمز دوم پویای خود را دریافت کنند، با کلیک روی دکمهای که در درگاه پرداخت اینترنتی یا سایر تراکنشهای بدون حضور کارت تعبیه میشود، میتوانند رمز دوم را به صورت پیامک دریافت کنند.
به این ترتیب، در صورتی که گوشی تلفن همراه و کارت بانکی فردی به سرقت رفته، مفقود شود یا به هر دلیلی در اختیار شخص دیگری باشد، آن شخص میتواند تنها با داشتن شماره کارت، CVV۲ و تاریخ انقضا که همه آنها روی کارت بانکی درج شده، حتی بدون در اختیار داشتن کارت و فقط با گوشی فرد اقدام به سرقت از کارت بانکی فرد کند.
این در حالی است که تنها راهکار حاضر برای جلوگیری از این موضوع، سوزاندن سریع سیم کارت یا کارت بانکی به سرقت رفته است، در حالی که ممکن است سرقت یا مفقودی در ساعات غیرکاری یا روزهای تعطیل اتفاق بیفتد که در آن صورت فرد دسترسی به شعب بانکی یا تلفن همراه برای از بین بردن کارت بانکی یا سیم کارت خود ندارد.
از سوی دیگر در حال حاضر بسیاری از گوشیهای تلفن همراه دارای قفل ایمنی صفحه نمایش هستند، اما اعلانهای (Notification) پیامک و سایر پیامرسانهای آنها حتی در صورت قفل بودن گوشی روی صفحه ظاهر میشود، بنابراین تمامی مشتریان بانکی باید با مراجعه به تنظیمات گوشی تلفن همراه خود، محتوای اعلانهای خود را در زمان قفل بودن صفحه نمایش پنهان کنند.
اما باید این را در نظر داشت که برخی گوشیهای تلفن همراه قدیمی که هوشمند هم نیستند، سیستم قفل صفحه نمایش به صورت رمزگذاری ندارند و به سادگی میتوان به آنها دسترسی پیدا کرد.
راهکار چیست؟
در این زمینه بانک مرکزی هنوز راهکاری ارائه نکرده و بر همین اساس مردم باید این موضوع را مدنظر قرار دهند که تا حد امکان از اپلیکیشنهای بانکی برای دریافت رمز دوم استفاده کنند.
همچنین بانکها نیز باید با توجه به سوابق مشتریانی که از طریق اپلیکیشن اقدام به دریافت رمز دوم کردهاند، در صورت درخواست ارسال پیامک، آنها را ملزم به استفاده از اپلیکشن برای دریافت رمز کنند، چراکه ممکن است، مشتری قبلا از طریق اپلیکیشن رمز خود را گرفته باشد، اما فرد سودجو درخواست پیامک برای انجام عملیات را بدهد.
البته این موضوع میتواند از سوی دیگر اخلال در کار مشتریان ایجاد کند، برای مثال ممکن است فعالیت یک اپلیکیشن بانکی به هر دلیلی روی گوشی فردی متوقف شود و فرد بخواهد از پیامک استفاده کند که در این مورد با مشکل مواجه خواهد شد.
شاید بهترین راه این باشد که درخواست ارسال پیامک برای مشتریانی که قبلا از اپلیکیشن استفاده کردهاند فقط در زمان ساعات کاری بانک و پس از وقفهای چند ساعته در دسترس باشد.
به هر حال این توصیه به مردم میشود که از اپلیکیشنهای بانکی به جای پیامک برای دریافت رمز دوم استفاده کنند، هرچند که بانک مرکزی و بانکها نیز باید برای این مشکلات پاسخگو باشند.