امنیت

بانکداری و پرداخت الکترونیک

تجارت الکترونیک

فناوری اطلاعات

November 26, 2019
15:03 سه شنبه، 5ام آذرماه 1398
کد خبر: 106275

باگ امنیتی در رمز یکبار مصرف/ پیامک امن نیست!

بررسی طرح رمز دوم پویا نشان می‌دهد که این طرح در برخی موارد مربوط به ارسال پیامک با مشکلات امنیتی روبرو است و می‌تواند حساب‌های بانکی مشتریان را به خطر بیندازد.
 
 بانک مرکزی بانک‌ها را موظف کرده تا طرح رمز دوم پویا را از ابتدای دی‌ماه سال جاری به صورت الزامی برای تمام مشتریان به اجرا درآورند.
 
این در حالی است که پیش‌تر این طرح قرار بود در ابتدای خردادماه اجرایی شود، اما به دلایلی به تعویق افتاد که یکی از مهم‌ترین دلایل آن را می‌توان عدم دسترسی تمامی مشتریان بانکی به گوشی‌های هوشمند دانست، چراکه در ابتدا قرار بود دریافت رمز دوم پویا توسط مشتریان از طریق اپلیکیشن‌های بانکی انجام شود.
 
بر اساس آمار به دست آمده حدود ۲۰ درصد از مشتریان بانکی دسترسی به گوشی‌های هوشمند ندارند و در همین راستا بانک مرکزی تصمیم گرفت با توسعه این طرح، امکان ارسال رمز دوم پویا را از دو طریق اپلیکیشن‌های بانکی و پیامک فراهم کند.
 
برای این کار مشتریان بانکی باید از یکی از سه راه مراجعه حضوری به شعبه، خودپرداز یا اینترنت‌بانک‌هایی که تایید هویت دو مرحله‌ای دارند، شماره تلفن همراه خود را تایید کنند که البته برای تغییر شماره تلفن همراه، مراجعه به شعبه الزامی است.
 
بانک مرکزی این طرح را برای کاهش آمار فیشینگ و جلوگری از کلاهبرداری‌های مشابه و به عبارت دیگر افزایش ضریب امنیتی تراکنش‌های بدون حضور کارت اجرا می‌کند و این در حالی است که در بخشی از شکل اجرای این طرح، مشکلات امنیتی مهمی وجود دارد.
 
مشتریانی که اقدام به دریافت رمز دوم پویا از طریق اپلیکیشن‌های بانکی می‌کنند، باید پس از ورود به اپلیکیشن و وارد کردن نام کاربری و رمز عبور که از بانک‌ دریافت کرده‌اند یا روش‌های دیگری چون اثر انگشت، رمز دوم پویا را از طریق اپلیکیشن‌ دریافت کنند.
 
البته این نرم‌افزارها برای ارسال رمز به صورت آفلاین عمل کرده و نیازی به دسترسی به اینترنت ندارند.
 
حال آنکه افرادی که فاقد گوشی هوشمند هستند یا به هر دلیلی می‌خواهند از طریق پیامک رمز دوم پویای خود را دریافت کنند، با کلیک روی دکمه‌ای که در درگاه پرداخت اینترنتی یا سایر تراکنش‌های بدون حضور کارت تعبیه می‌شود، می‌توانند رمز دوم را به صورت پیامک دریافت کنند.
 
به این ترتیب، در صورتی که گوشی تلفن همراه و کارت بانکی فردی به سرقت رفته، مفقود شود یا به هر دلیلی در اختیار شخص دیگری باشد، آن شخص می‌تواند تنها با داشتن شماره کارت، CVV۲ و تاریخ انقضا که همه آن‌ها روی کارت بانکی درج شده، حتی بدون در اختیار داشتن کارت و فقط با گوشی فرد اقدام به سرقت از کارت بانکی فرد کند.
 
این در حالی است که تنها راهکار حاضر برای جلوگیری از این موضوع، سوزاندن سریع سیم کارت یا کارت بانکی به سرقت رفته است، در حالی که ممکن است سرقت یا مفقودی در ساعات غیرکاری یا روزهای تعطیل اتفاق بیفتد که در آن صورت فرد دسترسی به شعب بانکی یا تلفن همراه برای از بین بردن کارت بانکی یا سیم کارت خود ندارد.
 
از سوی دیگر در حال حاضر بسیاری از گوشی‌های تلفن همراه دارای قفل ایمنی صفحه نمایش هستند، اما اعلان‌های (Notification) پیامک و سایر پیام‌رسان‌های آن‌ها حتی در صورت قفل بودن گوشی روی صفحه ظاهر می‌شود، بنابراین تمامی مشتریان بانکی باید با مراجعه به تنظیمات گوشی تلفن همراه خود، محتوای اعلان‌های خود را در زمان قفل بودن صفحه نمایش پنهان کنند.
 
اما باید این را در نظر داشت که برخی گوشی‌های تلفن همراه قدیمی که هوشمند هم نیستند، سیستم قفل صفحه نمایش به صورت رمزگذاری ندارند و به سادگی می‌توان به آن‌ها دسترسی پیدا کرد.
 
راه‌کار چیست؟
 
در این زمینه بانک مرکزی هنوز راهکاری ارائه نکرده و بر همین اساس مردم باید این موضوع را مدنظر قرار دهند که تا حد امکان از اپلیکیشن‌های بانکی برای دریافت رمز دوم استفاده کنند. ‌
 
همچنین بانک‌ها نیز باید با توجه به سوابق مشتریانی که از طریق اپلیکیشن‌ اقدام به دریافت رمز دوم کرده‌اند، در صورت درخواست ارسال پیامک، آن‌ها را ملزم به استفاده از اپلیکشن برای دریافت رمز کنند، چراکه ممکن است، مشتری قبلا از طریق اپلیکیشن رمز خود را گرفته باشد، اما فرد سودجو درخواست پیامک برای انجام عملیات را بدهد.
 
البته این موضوع می‌تواند از سوی دیگر اخلال در کار مشتریان ایجاد کند، برای مثال ممکن است فعالیت یک اپلیکیشن بانکی به هر دلیلی روی گوشی فردی متوقف شود و فرد بخواهد از پیامک استفاده کند که در این مورد با مشکل مواجه خواهد شد.
 
شاید بهترین راه این باشد که درخواست ارسال پیامک برای مشتریانی که قبلا از اپلیکیشن‌ استفاده کرده‌اند فقط در زمان ساعات کاری بانک و پس از وقفه‌ای چند ساعته در دسترس باشد.
 
به هر حال این توصیه به مردم می‌شود که از اپلیکیشن‌های بانکی به جای پیامک برای دریافت رمز دوم استفاده کنند، هرچند که بانک مرکزی و بانک‌ها نیز باید برای این مشکلات پاسخ‌گو باشند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.