پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
نقطه کور امنیت در بانکداری الکترونیک کجاست؟
در اوایل ماه می دادستانان فدرال چند مرد را به جرم دزدی بزرگ از بانک محاکمه کردند؛ به گفته دادستانان دزدان اطلاعات دزدیدهشده از حسابها را وارد کارتهای دارای نوار مغناطیسی کردند و با استفاده از آن 45 میلیون دلار از دستگاههای خودپرداز سراسر جهان سرقت کردند.
این اتفاق سبب شد مؤسسات مالی مراحل امنیتی خود را دوباره بازبینی کنند و از سوی دیگر توجه کارشناسان و دستاندرکاران صنعت بانکداری به این نکته جلب شد که آمریکا به جای استفاده از روش امن تراشه و کد (EMV) که در دیگر نقاط دنیا استفاده میشود؛ هنوز هم روی کارتهای دارای نوار مغناطیسی تکیه میکند. هرچند بانکها سعی دارند روشهای بانکداری خود را تغییر دهند؛ اما باید یک نقطه کور در مسیر امنیتی را نیز در نظر بگیرند؛ این حقیقت که دزدیدن اطلاعات بانکی بسیار راحتتر از دزدیدن اطلاعات فیسبوک یک مشتری است.
.
حمایت از خودمان در برابر خودمان
این حقیقتی بنیادین درباره امنیت شبکه است که هیچ سیستمی در صنایع مختلف کاملاً ایمن نیست. دلیل این امر یک نقطهضعف جهانی است: تا زمانی که کاربران اصرار دارند ایمیلهای فیشینگ را باز کنند؛ کلمات رمز ضعیف انتخاب میکنند و کامپیوتر خود را در برابر ویروسها حمایت نمیکنند؛ هکرها راهی برای ورود مییابند. بنابراین نوآوریهای جدید در بخش امنیت آنلاین روی راهحلهایی متمرکزشدهاند که مشتریان را در برابر خودشان حمایت کنند.
یکی از این راهحلها، شیوه احراز هویت 2 عاملی است که هدف آن حمایت از مشتری حتی در هنگامی است که اطلاعات ورود به سیستم دزدیدهشده است. این روش به طور کلی شامل فرستادن رمز دوم و موقت به موبایل فرد است؛ با این فرض که دزد کلمه رمز هرکسی که باشد، به تلفن همراه مشتری دسترسی ندارد. در سالهای اخیر فیسبوک و گوگل هر دو سیستمهای 2 عاملی را اجرا میکنند. بانکها نیز باید از همین روند پیروی کنند.
.
زمان آن فرا رسیده که بانکها برای اجرای روندهای امنیتی بهتر پیشقدم شوند
موسسه جاولین استراتژیاند ریسرچ که در حوزه ارائه مشاوره برای خدمات مالی فعالیت میکند؛ تحقیقی را میان 25 موسسه مالی برتر آمریکایی انجام داده است. نتایج این تحقیق نشان میدهد فقط 8 موسسه به کاربر اجازه میدهند فرایند احراز هویت مخصوصی را در تلفنهای همراهشان اجرا کنند. این فهرست شامل مؤسسات بزرگی مانند بانک آمریکا، جی پی مورگان، پی ان سی و چیس است اما هنوز 17 بانک دیگر این فرایند را عملی نکردهاند مانند کاپیتال وان، اچ اس بی سی و تی دی بانک. چستر وینسویکی محقق امنیتی در موسسه سوفوس دراینباره میگوید: هنگامی که ما روند امنیتی بهتری برای فیسبوک و جی میل فراهم میکنیم؛ پس دیگر زمان آن فرا رسیده که بانکها هم برای اجرای روندهای امنیتی بهتر پیشقدم شوند. مشتریان وقتی میشنوند دسترسی به اطلاعات حساب بانکی راحت تر از اطلاعات فیسبوک است؛ بسیار شگفتزده میشوند.
بانکهایی که احراز هویت 2 مرحلهای را به مشتریان ارائه نمیکنند؛ معمولاً سعی میکنند هویت مشتری با پاسخ دادن به سؤالات امنیتی احراز کنند که خود وی هنگام افتتاح حساب بانکی در اختیار بانک قرار داده است اما این سؤالات (از جمله نام مادر و نام حیوان مورد علاقه) از سوی کارشناسان مورد انتقاد قرار گرفتهاند زیرا در عصر مبادله اطلاعات در رسانههای اجتماعی چندان موثر نیستند. شرلی اینسکو یکی از تحلیل گران صنعت بانکداری در گروه IT میگوید: هنگامی که کاربر سؤال امنیتی را در مؤسسات مالی ثبت میکند؛ نباید پاسخ آن را در رسانههای اجتماعی هم قرار دهد؛ بسیاری از بانکها دیگر از سؤالات امنیتی استفاده نمیکنند زیرا سارقان میتوانند به آسانی پاسخ آنها را بیابند.
.
ردیابهای حرکتی در کیف پول!
اگر خبر بد آن است که بسیاری از بانکها در زمینه جلوگیری از دسترسی به حساب بانکی، با زمانه خود پیش نمی روند؛ خبر خوش آن است که فرایندهای امنیتی ورود به سیستم تنها خطوط دفاع در برابر کلاهبرداری نیستند. تری آستین، مدیر ارشد موسسه تحلیلی گاردین دراینباره میگوید: باید تصور کنید که سارقان در مرحله دسترسی به اطلاعات شما هستند؛ بنابراین به بنیان حمایتی نیاز دارید که با این واقعیت مقابله کند.
گاردین نیز همانند فرایندی که صادرکنندگان کارت اعتباری برای ردیابی کلاهبرداری از کارت به کار می برند؛ پروفایلی فراهم کرده است که در آن توضیح میدهد به طور معمول چگونه مشتریان از حسابهای آنلاین بانک خود استفاده میکنند. هنگامی که از حساب بانکی به شیوهای غیرمعمول استفاده شود؛ موسسه میتواند آن را ردیابی کند. در اینجاست که زنگهای هشدار به صدا درمیآیند؛ این هشدارها برای فرایندهای مختلفی صادر میشود؛ از تبادلات عظیم تا ورود به بخشی از سایت بانکی میشوند که فرد هرگز به آنها وارد نشده بوده است. حتی اگر الگوریتمها سارقان را از دزدیدن پول نقد مشتری منصرف نکنند؛ مشتریان هنوز هم میتوانند از خود دفاع کنند. طبق قوانین فدرال در اغلب پروندهها مشتریان مسئول تبادلات کلاهبردارانه در حسابهای بانکی خود نیستند.
با این وجود اگر فردی حساب مشتری را خالی کند؛ او باید یک هفته یا بیشتر منتظر بماند تا سرمایهاش مسترد شود. این امر یک اختلال بزرگ در زندگی مشتری محسوب میشود. از آنجا که مؤسسات مالی هزینه کلاهبرداری را تقبل میکنند؛ باید انگیزهای شفاف برای جلوگیری از سرقت داشته باشند. بنابراین به سؤال اصلی برمیگردیم: اگر فیسبوک و جی میل میتوانند فرایند احراز هویت دومرحلهای را به کاربرانشان ارائه کنند؛ چرا برخی از بانکهای بزرگ که سرمایه زیادی در اختیاردارند از این روند پیروی نمیکنند؟
.
سهولت استفاده در برابر امنیت
وینسوکی معتقد است یکی از دلایل این امر آن است که بانکها نمیخواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمیخواهد نخستین موسسهای باشد که ورود مشتریان به حسابهای بانکیشان را مشکل تر میکند. حتی بانکهایی که فرایند احراز هویت 2 مرحلهای را ارائه میکنند؛ از آن به عنوان پیشفرض در خدمات خود استفاده مینمایند. بر اساس گزارش امنیتی موسسه گاردین حتی بانک آمریکا بهترین شیوه امنیتی را فراهم میکند پیش از آنکه این ویژگی را فعال کند؛ به مدت زمانی نیاز دارد.
بسیاری از کاربران از لحاظ امنیتی هوشمند هستند؛ افرادی که به مرحله امنیتی بالاتری نیاز دارند (افراد بیدقتی که کلمات رمز را به صورت تکراری استفاده میکنند و دستگاههای کامپیوتر خود را بدون ایمنی رها میکنند) با این روش حداقل افزوده را به کار می برند. اگر بانکها استفاده از فرایند دو مرحله را به انتخاب مشتری واگذار کنند؛ افرادی که احساس میکنند به این فرایند نیازی ندارند به گروهی تبدیل میشوند که از آن استفاده میکنند.
منبع: شاپرک