نقطه کور امنیت در بانکداری الکترونیک کجاست؟

نویسنده: رسول قربانی در تاریخ 6 مرداد سال 1392 ساعت 12:22 0

در اوایل ماه می دادستانان فدرال چند مرد را به جرم دزدی بزرگ از بانک محاکمه کردند؛ به گفته دادستانان دزدان اطلاعات دزدیده‌شده از حساب‌ها را وارد کارت‌های دارای نوار مغناطیسی کردند و با استفاده از آن 45 میلیون دلار از دستگاه‌های خودپرداز سراسر جهان سرقت کردند.

این اتفاق سبب شد مؤسسات مالی مراحل امنیتی خود را دوباره بازبینی کنند و از سوی دیگر توجه کارشناسان و دست‌اندرکاران صنعت بانکداری به این نکته جلب شد که آمریکا به جای استفاده از روش امن تراشه و کد (EMV) که در دیگر نقاط دنیا استفاده می‌شود؛ هنوز هم روی کارت‌های دارای نوار مغناطیسی تکیه می‌کند. هرچند بانک‌ها سعی دارند روش‌های بانکداری خود را تغییر دهند؛ اما باید یک نقطه کور در مسیر امنیتی را نیز در نظر بگیرند؛ این حقیقت که دزدیدن اطلاعات بانکی بسیار راحت‌تر از دزدیدن اطلاعات فیس‌بوک یک مشتری است.

حمایت از خودمان در برابر خودمان

این حقیقتی بنیادین درباره امنیت شبکه است که هیچ سیستمی در صنایع مختلف کاملاً ایمن نیست. دلیل این امر یک نقطه‌ضعف جهانی است: تا زمانی که کاربران اصرار دارند ایمیل‌های فیشینگ را باز کنند؛ کلمات رمز ضعیف انتخاب می‌کنند و کامپیوتر خود را در برابر ویروس‌ها حمایت نمی‌کنند؛ هکرها راهی برای ورود می‌یابند. بنابراین نوآوری‌های جدید در بخش امنیت آنلاین روی راه‌حل‌هایی متمرکزشده‌اند که مشتریان را در برابر خودشان حمایت کنند.

یکی از این راه‌حل‌ها، شیوه احراز هویت 2 عاملی است که هدف آن حمایت از مشتری حتی در هنگامی است که اطلاعات ورود به سیستم دزدیده‌شده است. این روش به طور کلی شامل فرستادن رمز دوم و موقت به موبایل فرد است؛ با این فرض که دزد کلمه رمز هرکسی که باشد، به تلفن همراه مشتری دسترسی ندارد. در سال‌های اخیر فیس‌بوک و گوگل هر دو سیستم‌های 2 عاملی را اجرا می‌کنند. بانک‌ها نیز باید از همین روند پیروی کنند.

زمان آن فرا رسیده که بانک‌ها برای اجرای روندهای امنیتی بهتر پیش‌قدم شوند

موسسه جاولین استراتژی‌اند ریسرچ که در حوزه ارائه مشاوره برای خدمات مالی فعالیت می‌کند؛ تحقیقی را میان 25 موسسه مالی برتر آمریکایی انجام داده است. نتایج این تحقیق نشان می‌دهد فقط 8 موسسه به کاربر اجازه می‌دهند فرایند احراز هویت مخصوصی را در تلفن‌های همراهشان اجرا کنند. این فهرست شامل مؤسسات بزرگی مانند بانک آمریکا، جی پی مورگان، پی ان سی و چیس است اما هنوز 17 بانک دیگر این فرایند را عملی نکرده‌اند مانند کاپیتال وان، اچ اس بی سی و تی دی بانک. چستر وینسویکی محقق امنیتی در موسسه سوفوس دراین‌باره می‌گوید: هنگامی که ما روند امنیتی بهتری برای فیس‌بوک و جی میل فراهم می‌کنیم؛ پس دیگر زمان آن فرا رسیده که بانک‌ها هم برای اجرای روندهای امنیتی بهتر پیش‌قدم شوند. مشتریان وقتی می‌شنوند دسترسی به اطلاعات حساب بانکی راحت تر از اطلاعات فیس‌بوک است؛ بسیار شگفت‌زده می‌شوند.

بانک‌هایی که احراز هویت 2 مرحله‌ای را به مشتریان ارائه نمی‌کنند؛ معمولاً سعی می‌کنند هویت مشتری با پاسخ دادن به سؤالات امنیتی احراز کنند که خود وی هنگام افتتاح حساب بانکی در اختیار بانک قرار داده است اما این سؤالات (از جمله نام مادر و نام حیوان مورد علاقه) از سوی کارشناسان مورد انتقاد قرار گرفته‌اند زیرا در عصر مبادله اطلاعات در رسانه‌های اجتماعی چندان موثر نیستند. شرلی اینسکو یکی از تحلیل گران صنعت بانکداری در گروه IT می‌گوید: هنگامی که کاربر سؤال امنیتی را در مؤسسات مالی ثبت می‌کند؛ نباید پاسخ آن را در رسانه‌های اجتماعی هم قرار دهد؛ بسیاری از بانک‌ها دیگر از سؤالات امنیتی استفاده نمی‌کنند زیرا سارقان می‌توانند به آسانی پاسخ آن‌ها را بیابند.

ردیاب‌های حرکتی در کیف پول!

اگر خبر بد آن است که بسیاری از بانک‌ها در زمینه جلوگیری از دسترسی به حساب بانکی، با زمانه خود پیش نمی روند؛ خبر خوش آن است که فرایندهای امنیتی ورود به سیستم تنها خطوط دفاع در برابر کلاه‌برداری نیستند. تری آستین، مدیر ارشد موسسه تحلیلی گاردین دراین‌باره می‌گوید: باید تصور کنید که سارقان در مرحله دسترسی به اطلاعات شما هستند؛ بنابراین به بنیان حمایتی نیاز دارید که با این واقعیت مقابله کند.

گاردین نیز همانند فرایندی که صادرکنندگان کارت اعتباری برای ردیابی کلاه‌برداری از کارت به کار می برند؛ پروفایلی فراهم کرده است که در آن توضیح می‌دهد به طور معمول چگونه مشتریان از حساب‌های آنلاین بانک خود استفاده می‌کنند. هنگامی که از حساب بانکی به شیوه‌ای غیرمعمول استفاده شود؛ موسسه می‌تواند آن را ردیابی کند. در اینجاست که زنگ‌های هشدار به صدا درمی‌آیند؛ این هشدارها برای فرایندهای مختلفی صادر می‌شود؛ از تبادلات عظیم تا ورود به بخشی از سایت بانکی می‌شوند که فرد هرگز به آن‌ها وارد نشده بوده است. حتی اگر الگوریتم‌ها سارقان را از دزدیدن پول نقد مشتری منصرف نکنند؛ مشتریان هنوز هم می‌توانند از خود دفاع کنند. طبق قوانین فدرال در اغلب پرونده‌ها مشتریان مسئول تبادلات کلاهبردارانه در حساب‌های بانکی خود نیستند.

با این وجود اگر فردی حساب مشتری را خالی کند؛ او باید یک هفته یا بیشتر منتظر بماند تا سرمایه‌اش مسترد شود. این امر یک اختلال بزرگ در زندگی مشتری محسوب می‌شود. از آنجا که مؤسسات مالی هزینه کلاه‌برداری را تقبل می‌کنند؛ باید انگیزه‌ای شفاف برای جلوگیری از سرقت داشته باشند. بنابراین به سؤال اصلی برمی‌گردیم: اگر فیس‌بوک و جی میل می‌توانند فرایند احراز هویت دومرحله‌ای را به کاربرانشان ارائه کنند؛ چرا برخی از بانک‌های بزرگ که سرمایه زیادی در اختیاردارند از این روند پیروی نمی‌کنند؟

سهولت استفاده در برابر امنیت

وینسوکی معتقد است یکی از دلایل این امر آن است که بانک‌ها نمی‌خواهند با اضافه کردن یک مانع ورودی سهولت استفاده از خدمات بانکداری آنلاین را به خطر بیندازند. هیچ بانکی نمی‌خواهد نخستین موسسه‌ای باشد که ورود مشتریان به حساب‌های بانکی‌شان را مشکل تر می‌کند. حتی بانک‌هایی که فرایند احراز هویت 2 مرحله‌ای را ارائه می‌کنند؛ از آن به عنوان پیش‌فرض در خدمات خود استفاده می‌نمایند. بر اساس گزارش امنیتی موسسه گاردین حتی بانک آمریکا بهترین شیوه امنیتی را فراهم می‌کند پیش از آنکه این ویژگی را فعال کند؛ به مدت زمانی نیاز دارد.

بسیاری از کاربران از لحاظ امنیتی هوشمند هستند؛ افرادی که به مرحله امنیتی بالاتری نیاز دارند (افراد بی‌دقتی که کلمات رمز را به صورت تکراری استفاده می‌کنند و دستگاه‌های کامپیوتر خود را بدون ایمنی رها می‌کنند) با این روش حداقل افزوده را به کار می برند. اگر بانک‌ها استفاده از فرایند دو مرحله را به انتخاب مشتری واگذار کنند؛ افرادی که احساس می‌کنند به این فرایند نیازی ندارند به گروهی تبدیل می‌شوند که از آن استفاده می‌کنند.

منبع: شاپرک