راهکار امنیتی FAA چیست و چه ویژگی‌هایی دارد؟

سرقت‌های مالی آنلاین یک مشکل جهانی است و سالانه میلیارد‌ها دلار به موسسات مالی دنیا خسارت می‌زند. در ایران هم میزان این خسارت ده‌ها میلیارد تومان در سال است و از کل جرایم رایانه‌ای و اینترنتی ۴۷ درصد مربوط به سرقت از حساب‌های بانکی اشخاص از طریق اینترنت است و نرخ جرایم رایانه‌ای به شدت در حال افزایش است.

با گستردگی تهدیدهایی از قبیل فیشینگ (سایت‌های جعلی)، فارمینگ (برنامه‌های سرقت اطلاعات از روی کیبورد) و انواع بدافزار‌ها، پسوردهای استاتیکی کمترین امنیت را دارا هستند و بهترین راهکار موجود در حال حاضر برای بالابردن امنیت تراکنش‌های مالی، استفاده از رمز عبور یکبار مصرف یا OTP است؛ به این ترتیب که کاربران این کد چند رقمی را از طریق SMS و یا دستگاه‌های رمزیاب یا توکن دریافت می‌کنند تا علاوه بر وارد کردن مشخصات کارت بانکی و پسوورد و سوالهای امنیتی برای احراز هویت این کد را هم در صفحه لاگین وارد کنند.

اما مشکل OTP این است که این کد‌ها با استفاده از انواع حملات از قبیل فیشینگ و حملات مرد میانی (MITM) به سرقت می‌رود. مثلا تروجان‌هایی مانند Zeus خود را در مرورگر پنهان می‌کنند و وقتی که کاربر در صفحه بانکی‌اش لاگین کرد و تمام مشخصات خود از جمله پسوورد و سوال‌های امنیتی و OTP را وارد کرد، وارد عمل می‌شود و بدون اینکه کاربر بداند این کد را به سرقت می‌برد و خطایی از قبیل قطعی اتصال به اینترنت برای کاربر نمایش داده می‌شود. و یا اینکه کد یک بار مصرف بدون اینکه به سرقت برود مورد سوء استفاده قرار می‌گیرد. به این ترتیب که شماره حساب و مبلغ دستکاری می‌شود و یک انتقال کاملا قانونی (از دیدگاه سیستم‌های نظارتی بانک‌ها) صورت می‌گیرد و خود کاربر هم متوجه نمی‌شود.

حتی در کشورهای توسعه یافته نیز تا کنون هیچ راهکار فنی مبتنی بر برنامه‌نویسی برای مقابله با این سرقت‌ها به ثبت نرسیده و تمام راه‌ها کماکان قابل نفوذ هستند. اما در راه حل ابتکاری که این مقاله به آن اشاره دارد، با نام FAA (Freezing of Accounts and Amount)، لاگین کردن در صفحه بانک‌ها، درگاه‌های پرداخت اینترنتی (IPG) و سایر پرداخت‌های از راه دور در دو مرحله صورت می‌گیرد.

به این صورت که در مرحله اول کاربر نام کاربری، پسورد و همچنین شماره حساب و مبلغ را وارد می‌کند، سپس پیامکی شامل «نام دریافت کننده»، «مبلغ پرداختی» و «رمز یکبار مصرف (OTP)» از طرف بانک برای او فرستاده می‌شود (بصورت همزمان در یک پیامک). با داشتن این پیامک، مشتری اطلاعات ارسالی خود را چک می‌کند و اگر درست باشد OTP را وارد می‌کند. به این ترتیب شماره حساب پرداخت و هچنین مبلغ پرداختی فریز می‌شود و غیر قابل تغییر است. سپس وارد مرحله بعدی یعنی وارد کردن مشخصات کارت بانکی و ادامه مسیر پرداخت می‌شود.

این راهکار سرقت‌های اینترنتی از طریق فیشینگ، فارمینگ و همچنین از طریق تروجان‌های خطرناکی مانند زئوس را خنثی می‌کند و بدون نیاز به سرمایه‌گذاری خاصی، تنها با اندکی تغییرات ساده در وب‌سایت و درگاه پرداخت یک موسسه مالی قابل اجراست. مشتریان هم نیازی به استفاده از وسایل اضافی از قبیل توکن‌ها ندارند. یک مزیت دیگر هم این است که در راهکار FAA سرور بانک می‌تواند از یک کد رندوم به عنوان OTP برای جلسه کاری استفاده کند و نیازی به هیچ پیچیدگی خاصی برای ساخت OTP و یا نگرانی از سوء‌استفاده از محتوای پیامک قبل از اینکه به دست مشتری برسد وجود ندارد، چراکه نام دریافت کننده و مبلغ در پیامک ارسالی فریز شده است. به این ترتیب یکی از مشکلات بعضی از بانک‌ها برای عدم استفاده از OTP رفع می‌شود.

راهکار FAA علاوه بر افزایش امنیت انتقال‌های اینترنتی، در امنیت خریدهای اینترنتی هم قابل استفاده می‌باشد. به این ترتیب که کاربر بعد از انتخاب کالا وارد مرحله اول لاگین به درگاه پرداخت می‌شود. سپس یک پیامک شامل «نام مرجع خرید»، «مبلغ پرداختی» و «کد تایید یا‌‌ همان OTP» برای او فرستاده می‌شود تا کاربر با وارد کردن OTP و تکمیل سایر اطلاعات، خرید امنی داشته باشد.

مطمئنا چنین راهکارهایی سطح اعتماد به بانکداری اینترنتی را ارتقا می‌بخشد و باعث صرفه جویی در وقت و هزینه مشتریان، کاهش هزینه‌های بانک‌ها، کم کردن هزینه‌های قضایی و پلیسی و تبعاتی از این دست می‌شود. این طرح هم اکنون در حال طی مراحل نهایی ثبت در سازمان اسناد و املاک (اداره کل مالکیت صنعتی) است و در ناحیه آمریکای شمالی به همراه جزئیات اجرایی و الگوریتم تولید رمز به ثبت رسیده است و آماده بهره برداری در کشور می‌باشد.

نیما امیر شکاری، مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی

منبع: تسنیم