از ابتدای دی ماه امسال، رمزهای دوم ثابت کارتهای بانکی به پایان کار خود خواهند رسید و رمزهای دوم یک بار مصرف جانشین آنها میشوند. طرحی که بانک مرکزی، تمام بانکهای کشور را ملزم به اجرای آن کرده و تمام مشتریان بانکهای ایران که قصد خرید اینترنتی یا استفاده از رمزهای دوم خود را دارند باید از ابتدای زمستان نسبت به دریافت رمزهای جدید اقدام کنند.
شعار سال: از ابتدای دی ماه امسال، رمزهای دوم ثابت کارتهای بانکی به پایان کار خود خواهند رسید و رمزهای دوم یک بار مصرف جانشین آنها میشوند. طرحی که بانک مرکزی، تمام بانکهای کشور را ملزم به اجرای آن کرده و تمام مشتریان بانکهای ایران که قصد خرید اینترنتی یا استفاده از رمزهای دوم خود را دارند باید از ابتدای زمستان نسبت به دریافت رمزهای جدید اقدام کنند. حافظیگل، کارشناس و مشاور در حوزه پرداخت در گفتگو با «اعتماد» میگوید هر چند این طرح بسیار دیر اجرایی شده و هنوز نقاط ابهام فراوانی دارد، اما صرف اجرایش میتواند به کاهش کلاهبرداریهای اینترنتی یا فیشینگ کمک کند.
هر چند عمر کارتهای بانکی در اقتصاد ایران به سالها قبل بازمیگردد، اما در سالهای گذشته با افزایش قابل توجه سطح دسترسی به اینترنت، بهبود زیرساختها، افزایش تعداد فروشگاههای اینترنتی و توسعه استارتآپها، کارتهای بانکی بخش قابل توجهی از خریدهای روزمره مشتریان بانکها را به شکل غیرحضوری و اینترنتی مدیریت میکنند و برآوردها نشان میدهد که میزان نفوذ این شیوه تا حدی بالا رفته که قطعی چند روزه اینترنت در روزهای پایانی آبان بیش از ۳ میلیارد دلار به این صنعت ضربه زده است. با وجود مزایای قابل توجه خریدهای اینترنتی برای مشتریان و صاحبان محصول، این شیوه یک ایراد قابل توجه دارد و آن افزایش امکان کلاهبرداری اینترنتی است. با توجه به اینکه در خریدهای اینترنتی، سایت میزبان اطلاعات کارت افراد از جمله شماره ۱۶ رقمی، CVV۲، تاریخ انقضا و رمز دوم اینترنتی را از مشتری دریافت میکند در صورتی که صاحب کارت در هر بخش از این فرآیند اشتباهی مرتکب شود به راحتی امکان به سرقت رفتن اطلاعات کارت و تخلیه حسابها به وجود میآید. در بسیاری از فیشینگها، کلاهبرداران سایتی را مشابه با سایت اصلی طراحی میکنند و با استفاده از غفلت صاحب کارت، اطلاعات را به راحتی به سرقت میبرند.
سهم فیشینگ از جرایم سایبری
هر چند با توجه به بالا بودن تعداد کلاهبرداریهای اینترنتی، آمار دقیقی از فیشینگ در ایران وجود ندارد، اما بسیاری از تحلیلها نشان میدهد که عدد آن بسیار بالا رفته و در ماههای گذشته حتی افزایش یافته است. بر اساس برآوردی که در مرداد ماه امسال منتشر شد، در یک سال، بیش از ۵ هزار فیشینگ در اقتصاد ایران ثبت شده است. این در حالی است که با توجه به اینکه بسیاری از کلاهبرداریهای اینترنت، پولهایی کم را از تعداد زیادی از مشتریان بانکی میگیرند، بسیاری از مشتریان بانکها عملا برای شکایت و ثبت پرونده خود به پلیس فتا مراجعه نمیکنند. با این وجود پلیس فتا اعلام کرده حدود یک سوم از کل پروندههای سایبری کشور به دلیل فیشینگ تشکیل میشوند.
ورود بانک مرکزی به فیشینگ
با افزایش آمار کلاهبرداریهای اینترنتی، بانک مرکزی سرانجام تصمیم گرفت خود مستقیما به این موضوع ورود کرده و بانکها را موظف به تغییر سیستم تخصیص رمزهای دوم کارتهایشان کند. هر چند ابتدا بنا بود این طرح در ماههای ابتدایی سال جاری کلید بخورد، اما طبق برنامهریزیهای صورت گرفته از اول دی ماه امسال، عمر رمزهای دوم و ثابت کارتهای بانکی تمام خواهد شد و مشتریان برای خرید اینترنتی باید رمزهای دوم پویا دریافت کنند.
بر اساس اطلاعات ارایه شده از سوی بانک مرکزی با پویاسازی رمزهای دوم کارتهای بانکی احتمال سوءاستفادهها به شدت کاهش مییابد و دارندگان کارتهای بانکی میتوانند به جای استفاده از یک رمز دوم ثابت (ایستا)، در هر بار خرید اینترنتی یا پرداختهای نیازمند رمز دوم از رمزهای متفاوتی (پویا) که بانک در اختیارشان قرار میدهد، استفاده کنند. شایان ذکر است این رمزها طول عمر محدودی (حداکثر ۱ دقیقه) داشته و یک بار مصرف هستند به این معنا که صرفا برای یک تراکنش قابل استفادهاند. گسترش فعالیت کلاهبرداران اینترنتی به حدی رسیده که حتی این دستورالعمل بانک مرکزی نیز از سوی آنها مورد سوءاستفاده قرار گرفته و با فرستادن پیام یا طراحی سایتهای غیرواقعی از مردم بابت دریافت رمز دوم پول میگیرند و همین امر باعث شده بانک مرکزی به مشتریان بانکها اعلام کند که هیچ هزینهای برای فعالسازی این رمزها از آنها گرفته نمیشود. در توضیحات بانک مرکزی آمده: با عنایت به اینکه کلاهبرداران از هر فرصتی برای سوءاستفاده بهره میگیرند لازم است دارندگان کارت ضمن حفظ هوشیاری، مراقب وبسایتها و پیامکهای جعلی با عناوین فریبندهای مانند پویاسازی رایگان رمزهای دوم بوده و تنها از روشهای اعلام شده توسط بانک خود برای فعالسازی و دریافت رمز دوم پویا استفاده کنند. شایان ذکر است هیچگونه فعالسازی رمز پویا در وبسایت بانک مرکزی انجام نمیشود. پویاسازی رمز دوم کارتهای بانکی فقط و فقط توسط بانکهای صادرکننده کارت صورت میپذیرد و فعالسازی رمز دوم پویا هیچگونه هزینهای برای مشتریان در بر نداشته و این خدمت توسط بانکها و موسسات اعتباری کشور، همراستا با تجربیات جهانی و با هدف صیانت از داراییهای مشتریان بانکی در مقابل فعالیتهای کلاهبردارانه فراهم شده است.
ضعف و قوتهای رمز پویا
با توجه به اینکه رمزهای جدید یک بار مصرف هستند و عمر آنها حداکثر به ۶۰ ثانیه میرسد، مشتریان بانکها نیاز به آن دارند که به فضایی آسان دسترسی پیدا کرده و با کمترین زمان، رمز خود را دریافت کنند. همین مساله در روزهای گذشته برای بعضی مشتریان تبدیل به سوالی بزرگ شده که نحوه دسترسی به این رمز چگونه خواهد بود و اپلیکیشنهای طراحی شده از سوی هر بانک چگونه باید مورد استفاده قرار گیرد. از سوی دیگر با توجه به اینکه تعداد زیادی از ایرانیان از چند کارت بانکی مختلف استفاده میکنند، چگونه باید بستر دریافت رمزهای پویا از تمامی این بانکها را فراهم کرد. همین سختیها و ابهامها میتواند در روزهای نخست یک شوک جدید به تجارت الکترونیک در ایران وارد کند.
سیدادیب حافظیگل، کارشناس و مشاور در حوزه پرداخت در گفتگو با «اعتماد» از این دشواریها میگوید و معتقد است احتمالا در روزهای آینده باید آمادگی برای کاهش آمار تجارت الکترونیک وجود داشته باشد. او میگوید: بعد از شوکی که قطعی اینترنت به تجارت الکترونیک وارد کرد احتمالا تغییر ساختار رمزهای دوم نیز میتواند برای مدتی کوتاه شوکآفرین باشد. هر چند در نهایت چارهای جز این تصمیم وجود ندارد و همان طور که بسیاری از کشورهای جهان این مسیر را طی کردهاند ما نیز باید برای مقابله با فیشینگ به راهبردهای اینچنینی عمل کنیم. این کارشناس درباره نقاط ضعف اجرای این طرح نیز توضیح داد: در وهله اول باید در نظر داشت که سطح دانش فنی بسیاری از مردم در استفاده از فناوریهای نوین چندان بالا نیست و همان طور که در فیشینگهای گذشته شاهد آن بودهایم در فرآیند جدید نیز احتمال آنکه تعدادی از کلاهبرداران از طریق اپلیکیشن و سایتهای غیرواقعی اطلاعات مردم را اخذ کنند، وجود دارد. از سوی دیگر برخی بانکها فرآیند دریافت رمز پویا را پیچیده کردهاند. در شرایطی که امروز بسیاری از بانکها، اپلیکیشنهای مختص به خود را دارند برای دریافت رمز دوم اعلام شده که باید برنامهای جدید نصب شود که همین مساله موجب سردرگمی مشتریان خواهد شد.
حافظیگل ادامه داد: در بسیاری از کشورهای دنیا، رمز دوم از طریق پیامک به مشتری داده میشود و بانک هزینه این خدمت را نیز دریافت میکند، اما در ایران با توجه به اینکه ساختار دریافت هزینه از مشتری به درستی تعریف نشده ما میبینیم که روال به شکل عکس عمل میکند و بانکها در حال امتیاز دادن هستند. در کنار آن باید مشکلات دیگری را نیز اضافه کرد. برای مثال بسیاری از بانکها هنوز برنامهای که بتواند روی گوشیهای آیفون عمل کند، ارایه نکردهاند و با توجه به اینکه ۱۷ درصد دارندههای گوشی هوشمند در ایران از این برند استفاده میکنند احتمالا در روزهای ابتدایی برای آنها نیز محدودیتهایی به وجود خواهد آمد.
او با بیان اینکه برای مقابله با فیشینگ باید اقدامات پیشگیرانه اولویت داشته باشد، گفت: هر چند در شرایط فعلی، برنامهریزی صورت گرفته یکی از بهترین راهکارهای موجود بود و قطعا اثرات مثبت آن خود را نشان خواهد داد، اما در آینده برنامهها باید به سمتی برود که راههای ابتدایی شکلگیری فیشینگ محدود شود و از درمان به سمت پیشگیری حرکت کنیم.
با وجود ابهامات موجود، از ابتدای دی ماه، رمز دوم کارتها در ایران به شیوهای جدید تعیین خواهند شد و احتمالا پس از مدتی کوتاه، شیوه جدید جای خود را در خریدهای اینترنتی باز میکند، شیوهای که هدف اصلی آن کاهش کلاهبرداریهای اینترنتی است که در سالهای اخیر پروندههای بزرگ و کوچک فراوانی را در اقتصاد ایران باز کرده است.
شعار سال، با اندکی تلخیص و اضافات برگرفته از روزنامه اعتماد، تاریخ انتشار: 19 آذر 1398، کدخبر: 138566 ، www.etemadnewspaper.ir