راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

خودتان مراقب رمز دوم پویای خود باشید

در دی‌ماه ۱۳۹۸ هنگامی که بانک مرکزی تصمیم گرفت رمز دوم پویا را به‌طور رسمی عملیاتی کند تا همه مجبور به استفاده از آن شوند، بنا بود تا موانع متعددی از جمله کلاهبرداری و فیشینگ را از سر راه کاربران بردارد. در ابتدا مدیران مربوطه از جمله شاپرک، پلیس فتا و سایر نهادهای مسئول صحبت از این موضوع می‌کردند که پرونده‌های مربوط به فیشینگ روندی به‌شدت کاهشی داشته و بخش عظیمی از بار این ماجرا از دوش شبکه بانکی کشور برداشته شده است. در حقیقت این اتفاق رخ داد و این ماجرا تا حد زیادی اثرگذاری جدی در بحث کاهش جرائم رایانه‌ای داشت.

اما رفته‌رفته به نظر می‌رسید که کلاهبرداران نیز خود را با شرایط وفق دادند و راه‌های دور زدن رمز دوم پویا را نیز ایجاد کردند. راه‌هایی که روزبه‌روز فراگیرتر می‌شود و به‌آسانی اطلاعات حساب در اختیار کلاهبرداران قرار می‌گیرد.

از لینک‌های اشتباه برای ورود به اینترنت‌بانکِ بانک‌های مرتبط گرفته تا ایجاد اپلیکیشن‌های تقلبی موبایل‌بانک از جمله اقداماتی به‌شمار می‌آید که در طول این دو سال کلاهبرداران آن را امتحان کردند و نتایج قابل توجهی را نیز برای آنها به همراه داشت. از طرفی دیگر این روزها برای بسیاری پیامک‌هایی ارسال می‌شود که پرونده قضایی شما در یک دادسرا به ثبت رسیده و برای اطلاع از آن به لینک زیر مراجعه کنید. پیامکی که قطعاً بسیاری را در قدم اول نگران می‌کند و در یک اقدام ناخودآگاه بسیاری به لینک جعلی که ایجاد شده، مراجعه می‌کنند و حتی اطلاعات حساب را نیز در آن وارد می‌کنند.

اخیراً نیز سرهنگ داوود معظمی گودرزی، رئیس‌ پلیس فتای تهران در گفت‌وگویی عنوان کرده بود که کماکان شایع‌ترین پرونده‌ها در پلیس فتا مربوط به جرائم حوزه مالی است. طبق گفته گودرزی بخش زیادی از کلاهبرداری‌های اخیر به اسم سامانه ثنا رخ داده است؛ بدین نحو که لینک‌های جعلی برای مردم ارسال شده و مردم در تله کلاهبرداران افتاده‌اند و اطلاعات حساب‌های خود را در اختیار آنها قرار داده‌اند. این کلاهبرداری‌ها حتی می‌تواند با اعداد خرد نیز صورت گیرد، ولی این اعداد و ارقام با حجم بسیار بالا می‌تواند یک کلاهبرداری بزرگ را رقم بزند. هرچند رئیس پلیس فتای استان تهران معتقد است که کلاهبرداران از عدم آگاهی مردم سوءاستفاده می‌کنند.

در حال حاضر در آستانه سال نو اقبال مردم نسبت به خرید‌های اینترنتی بیشتر و در این بین دقت‌ها نیز کمتر می‌شود و در این شلوغی پایان سال احتمال سوءاستفاده از خریداران افزایش می‌یابد.


تلاش برای فرهنگ‌سازی


سعید کلانتری، کارشناس کارت و پرداخت الکترونیکی در خصوص احتمال وقوع فیشینگ در شرایط کنونی و حتی با وجود رمز دوم پویا گفته است: «در خصوص بحث سوءاستفاده کلاهبرداران از خریداران، کماکان با وجود رمز دوم پویا این احتمال وجود دارد. به این منظور کلاهبرداران صفحات فیشینگ و تقلبی پرداخت جعلی درست کرده و از این طریق اقدام به کلاهبرداری می‌کنند. هرچند از آنجایی که مبلغ و پذیرنده در پیامک‌ بانک‌ها درج و برای دارنده کارت ارسال می‌شود، در این شرایط دارنده کارت باید دقت کند تا مورد سوءاستفاده قرار نگیرد.» 

سعید کلانتری

او در ادامه با اشاره به احتمال هک‌شدن سامانه‌های ارسال پیامک یا هریم نیز گفت: «اینکه سامانه‌های ارسال پیامک یا سامانه‌هایی مانند هریم مورد حمله هکری قرار گیرند، غیرممکن نیست، اما تاکنون اطلاعاتی موجود نیست که چنین اتفاقی رخ داده باشد.»

با وجود این کلانتری تأکید می‌کند که عدم آگاهی کاربران بیشترین ضربه را در این عرصه وارد می‌کند. او معتقد است: «پرداخت اینترنتی روزبه‌روز افزایش می‌یابد، ولی فرهنگ آن هنوز به‌طور کامل ایجاد نشده و هنوز بسیاری از کاربران نمی‌دانند در یک خرید اینترنتی به چه نکاتی دقت کنند و اگر شاپرک را متولی اصلی شبکه پرداخت الکترونیکی کشور در نظر بگیریم، وظیفه فرهنگ‌سازی، اطلاع‌رسانی و آگاهی‌بخشی کاربران نیز بر عهده این شرکت است که تاکنون در این راستا اقدامی مشاهده نشده است.»

او در بخش دیگری از صحبت‌های خود در خصوص به‌روزرسانی اقدامات کلاهبرداران سایبری گفت: «کلاهبرداران در حال تطبیق خود با شرایط هستند. از همین رو نمی‌توان از آنها توقع داشت که خود را به‌روز نکنند و متوقف شوند. از طرفی متأسفانه احساس می‌کنم کلاهبرداران به‌دلیل اینکه با برخورد ضعیف قوه قضائیه مواجه می‌شوند، راحت‌تر به کار خود ادامه می‌دهند. حتی در مواردی که شخصاً شماره را به پلیس فتا ارسال و اعلام کردم، کلاهبرداران نگرانی از این موضوع نداشتند.»

کلانتری در بخش پایانی سخنان خود معتقد است در نهایت با آگاهی‌بخشی در جامعه می‌توان بخش عمد‌ه‌ای از این موارد را کاهش داد.


مراقب رمز پویای خود باشید


پویا پوراعظم، مشاور و متخصص بانکداری و پرداخت دیجیتال نیز در گفت‌وگو با راه پرداخت از دلایل کلاهبرداری از طریق رمز پویا گفت و تأکید کرد که بخش اعظم این فرایند ناشی از عدم هوشیاری و دقت کاربران است. او در این خصوص گفت: «هرچند هک‌شدن رمز پویای کارت بانکی و زیرساخت‌های آن در فضای مجازی، تاکنون رخ نداده و عملاً هم هک‌شدن چنین زیرساختی، بسیار پیچیده و احتمالاً وقوع آن بسیار پایین و نزدیک به صفر است، اما این به معنای عدم امکان سوءاستفاده از رمز پویای کارت بانکی یا دور زدن کنترل‌های امنیتی به کار گرفته‌شده در آن به واسطه بهره‌گیری افراد مجرم از عدم هوشیاری و دقت کاربران، آلودگی گوشی هوشمند کاربران به اپلیکیشن‌های جعلی و مخرب و حتی در برخی موارد سوءاستفاده از نقاط ضعف ماهیتی در طراحی رمز پویا بر اساس مدل ارسال از طریق بستر پیامک، نیست.»

پویا پوراعظم

او در ادامه گفت: «طرح رمز پویا در ذات خود با وجود ویژگی‌های امنیتی مانند اطلاع‌رسانی خصوصیات تراکنش شامل مبلغ و مقصد به کاربر از طریق یک کانال ارتباطی مستقل از کانال انجام تراکنش و همچنین اتصال هر رمز پویای صادرشده برای یک تراکنش منحصربه‌فرد و مشخص که توسط دارنده کارت درخواست شده؛ قابلیت اطمینان و امنیت بالایی دارد، اما زمانی که طرح دریافت رمز از طریق کانال‌هایی مانند پیامک به روش قالب و فراگیر تبدیل شود، عملاً دارنده کارت در این شیوه دریافت رمز پویا، احراز هویت تک‌عامله می‌شود.»


ضعف امنیتی رمز دوم پویا


پوراعظم در ادامه با تأکید بر این چالش گفت: «در واقع به این مسئله باید توجه داشت که وقتی از طریق پیامک، رمز پویا برای مشتری ارسال و دریافت می‌شود، گوشی موبایل کاربر به واسطه سیم‌کارت (شماره همراه مجاز دارنده کارت که نزد بانک صادرکننده کارت ثبت شده است) پیامک حاوی رمز پویا را دریافت و در واقع گوشی همراه به‌تنهایی به‌عنوان یک عامل داشتنی احراز هویت محسوب می‌شود و دیگر خبری از عامل دانستنی مانند رمز ثابت یا PIN و…، نیست. از طرفی کد CVV2 را حداقل در وضعیت فعلی اکوسیستم پرداخت کارتی کشور، نمی‌توان عملاً به‌عنوان یک عامل قوی یا محرمانه برای احراز هویت دارنده کارت (از نوع عامل داشتنی) محسوب کرد. باید توجه داشت که ممکن است گوشی موبایل، محتوای پیامک را حتی در صورت قفل‌بودن گوشی، نمایش دهد و عملاً نیاز به PIN گوشی هم نباشد، ضمن آنکه کنترل اجباری روی قابلیت قفل گوشی (Lock) یا استفاده از PIN یا عوامل ذاتی مانند اثرانگشت روی گوشی همراه مشتری برای کنترل دسترسی به پیامک نیز وجود ندارد.»

او با اشاره به ضعف‌های امنیتی موجود در بحث رمز پویا ادامه داد: «آنچه اکنون در حال رخ‌دادن است، سوءاستفاده از یک ضعف امنیتی در ذات معماری احراز هویت دارنده کارت از طریق رمز پویا بر بستر پیامکی است و لزوماً به معنای هک‌شدن زیرساخت آن نیست.  آن هم تهدید سوءاستفاده از اطلاعات کارت بانکی و انجام تراکنش غیرمجاز از طریق حملات فیشینگ آنی و حملاتی از نوع مردی در میانه (Man-In-the-Middle) است. در این نوع تهدید، فرد مجرم به‌صورت برخط با فریب کاربر و هدایت فرد به سمت صفحات جعلی (فروشگاه یا درگاه پرداخت جعلی اینترنتی)، اطلاعات ثابت کارت شامل تاریخ انقضا و کد CVV2 را به دست آورده و با آلوده‌کردن گوشی کاربر به یک بدافزار مخرب و ایجاد دسترسی غیرمجاز به پیامک‌های دریافتی، به‌صورت خودکار و سیستمی از رمزپویا که برای دارنده کارت ارسال می‌شود، در یک تراکنش مجرمانه استفاده می‌کند.»


تهدید تراکنش متقلبانه


پوراعظم در بخش دیگری از صحبت‌های خود با اشاره به تهدید انجام تراکنش متقلبانه از طریق دسترسی غیرمجاز به عوامل احراز هویت و امکان سرقت این عوامل (در خصوص دریافت رمز دوم پویا از طریق پیامک) گفت: «با ذکر مثالی عرض می‌کنم، اگر کسی برای زمان خیلی کوتاه، مثلاً نهایتاً دو دقیقه به گوشی همراه شما دسترسی داشته باشد یا در موارد گم‌شدن یا سرقت گوشی و زمانی که گوشی به هر دلیل قفل نباشد یا اساساً قابلیت قفل نداشته باشد؛ این شخص می‌تواند در یک درگاه خرید اینترنتی یا ابزار پرداخت، درخواست رمز پویا را از طریق سامانه هریم برای شماره کارت شما بدهد و رمز دریافت‌شده از طریق پیامک را از روی گوشی خوانده و تراکنشی را انجام دهد و حتی پس از آن هم پیامک رمز پویای دریافت‌شده را از روی گوشی همراه شما حذف کند.»


راهکار چیست؟


او در پایان با اشاره به راهکارهای موجود برای جلوگیری از این اتفاق گفت: «یکی از اصلی‌ترین راه‌حل‌های مقابله با این دست تهدیدات به‌خصوص در موضوع آلودگی گوشی هوشمند به بدافزارها، هوشیاری و دقت کاربران در نصب نرم‌افزارها و اپلیکیشن‌های معتبر و مجاز است. اما این دلیل نمی‌شود که نظام بانکی به‌خصوص بانک‌ها در راستای بالا‌ بردن سطح امنیت قابلیت‌های رمز پویای کارت بانکی و موارد مشابه، اقدامات امکان‌پذیر را انجام نداده و در اختیار مشتریان قرار ندهند.

برای نمونه اگر برنامک رمزساز به‌‌صورت آنلاین کار کند و رمز یک‌بارمصرف توسط سرویس برخط بانک صادرکننده، بر بستر اینترنت و از طریق برنامک به دارنده کارت تحویل داده شود، می‌توان همین برنامک رمزساز را با سامانه هریم یکپارچه کرد؛ به‌طوری که بانک رمز پویای تولیدشده را به جای پیامک، از طریق سرویس اپلیکیشن موبایلی رمزساز، بر بستر اینترنت و به وسیله قابلیت پوش‌نوتیفیکیشن برای کاربر ارسال کند.

در این روش نسبت به ارسال رمز پویا از طریق پیامک، مزایای امنیتی مانند استفاده از عوامل احراز هویت کاربر مانند PIN یا اثرانگشت و همچنین بهره‌برداری از بستر امن رمزنگاری‌شده مانند TLS، وجود خواهد داشت. البته روش‌ها و سازوکارهای دیگری برای مقابله حداکثری با این تهدیدات می‌توان متصور بود که بخشی از آنها ممکن است در محدوده زیرساخت‌های بین‌بانکی رمز پویا مانند سامانه هریم و درگاه‌های پرداخت شاپرکی، به تغییراتی نیاز داشته باشد.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.