راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

حساب‌هایی که با تله‌های اینترنتی صفر می‌شوند

گزارش عصر ارتباط د رمورد سواستفاده از کارت‌های بانکی: فقط یک‌سوم بانک‌ها رمز یک‌بار مصرف به مشتری می‌دهند؛

پیامکش را باز می‌کند و از خوشحالی چشمانش برق می‌زند. پیامک برایش پیغام خوشایندی آورده‌؛ برنده جایزه چند صد هزار تومانی شده است. فقط کافی است شماره کارت و رمز دومش را برای فرستنده پیام ارسال کند تا ظرف چند ثانیه حسابی که قرار است صفرهای بیشتری کنارش جای گیرد خالی از پول شود.

آن سوتر، دانشجویی که برای واریز اینترنتی شهریه‌اش پا به کافی‌نت گذاشته ظرف چند ساعت آینده مطلع می‌شود که حسابش خالی شده است.

اینها اخبار صفحات روزنامه‌ها است. حوادثی که در همین حوالی اتفاق می‌افتد. این روزها سارقان با زدن نقاب‌ به چهره، گرفتن اسلحه به دست یا بالا رفتن از دیوار خانه‌ها دست به سرقت نمی‌زنند. ترفندهای آنها شکل دیگری به خود گرفته است. اگر سری به صفحات حوادث بزنید متوجه روند رو به رشد کلاهبرداری‌های اینترنتی می‌شوید.

این موضوع آنقدر حائز اهمیت شده که حتی بانک مرکزی با صدور اطلاعیه‌ای به مردم هشدار داده تا در حفظ و نگهداری شماره کارت و رمز اینترنتی‌شان احتیاط بیشتری به خرج دهند تا جاییکه حتی طی هفته گذشته یکی از اپراتورهای تلفن‌همراه با فرستادن پیامکی به مشترکانش به آنها گوشزد می‌کند که شماره کارت، رمز دوم، CVV2 و تاریخ انقضای کارت بانکی‌شان را از طریق پیامک به هیچ شماره‌ای ارسال نکنند.

در بانک‌ها چه می‌گذرد؟

مشتریان شبکه بانکی برای استفاده از خدمات بانکداری اینترنتی با استفاده از دو روش شناسایی می‌شوند و اجازه دسترسی به حساب‌هایشان را پیدا می‌کنند؛ یا از بانک‌شان شناسه و رمز عادی می‌گیرند یا آنکه با شناسه و OTP (one time password) که به رمز یک‌بار مصرف معروف است اجازه ورود می‌یابند که اغلب آنها با استفاده از روش اول یعنی رمز ایستا اقدام به این کار می‌کنند چراکه بیشتر بانک‌ها با تکیه بر همین روش به مشتریانشان سرویس می‌دهند.

بانک‌های ملی، صادرات، کشاورزی، صنعت و معدن، دی و تات جزو معدود بانک‌هایی هستند که با در اختیار گذاشتن دستگاه‌های رمزیاب (توکن) برای مشتری با استفاده از رمزهای یک‌بار مصرف امکان دسترسی اینترنتی به حساب را برای مشتریانشان فراهم کرده‌اند. بانک تجارت هم فعلا این سرویس را به مشتریان حقوقی‌اش یعنی شرکت‌ها ارایه می‌دهد.

بانک رفاه کارگران هم در صورتی توکن می‌دهد که مشتری درخواست انتقال وجه اینترنتی بالای دو میلیون تومان داشته باشد در غیر این صورت باید از رمزهای ایستا یا عادی استفاده کند.

تفاوت رمزهای ایستا و یک بار مصرف همانطور که از نامشان پیداست در ثابت و متغیر بودن آنها است. رمزهای ایستا ثابت‌اند و فقط در صورتیکه مشتری آنها را تغییر دهد عوض می‌شوند اما رمزهای یک‌بار مصرف با استفاده از دستگاه‌های رمزیاب که در اختیار مشتری قرار می‌گیرد هر ۱۵ ثانیه یک بار تولید می‌شوند و رمز جدیدی به مشتری می‌دهند. استفاده از رمزهای یک بار مصرف امکان فیشینگ و جعل هویت را نسبت به رمزهای ایستا تا حد زیادی کاهش می‌دهد.

زیرساختی که نیست

در حال حاضر خدمات بانکداری اینترنتی در ایران نفوذ محدودی دارد آن هم به دلیل اینکه سرویس‌های مهم بانکی را به لحاظ بسترهای امنیتی نمی‌توان در این فضا ارایه داد. ناصر حکیمی، مدیر اداره نظام‌های پرداخت بانک مرکزی با اشاره به اینکه رمزهای عبور ایستا برخلاف رمزهای یک‌بار مصرف، مشتری و بانک را دچار ریسک می‌کند در این خصوص، می‌گوید: «اغلب فیشینگ‌ها و جعل هویت‌ها با استفاده از همین رمزهای عبور ثابتی که در اختیار مشتریان قرار دارد، انجام می‌شود. اما رمزهای یک‌بار مصرف حاشیه امنیتی مناسبی به لحاظ حملات فیشینگ یا سرقت اطلاعات مشتری که ممکن است اتفاق بیفتد ایجاد می‌کنند».

 

اما ایرادی که به رمزهای یک‌بار مصرف وارد می‌شود سلیقه‌ای بودن آنهاست. یعنی بانک‌های مختلف رمزهای یک‌بار مصرف متفاوتی را به مشتریانشان عرضه می‌کنند که این کار هم برای مشتریان و هم برای بانک‌ها هزینه‌زا است.

حکیمی در ادامه اضافه می‌کند:‌ «هیچ زیرساخت مشترکی را نمی‌شود برای OTP فراهم کرد، بنابراین استاندارد مشخصی وجود ندارد و درنتیجه عدم وجود زیرساخت هم هزینه‌ها و هم اختلاف سلیقه بالا می‌رود».

حالا بانک مرکزی می‌خواهد با استفاده از صدور گواهی امضای الکترونیکی دست به ایجاد یک زیرساخت مشترک برای تمامی بانک‌ها بزند.

مدیر اداره نظام‌های پرداخت بانک مرکزی در این باره می‌گوید: «هدف ما این است که برای مشتریان بانک‌ها یک زیرساخت مشترکی ایجاد کنیم که هرکدام از مشتریان براساس اینکه حقیقی باشند یا حقوقی با یک کد مشخصی شناخته شوند و بنا به درخواست خودشان برایشان توکن یا گواهی امضای دیجیتال صادر شود».

از طرف دیگر، با توجه به اینکه یک سیستم مرکزی آنها را ثبت‌نام و برایشان گواهی صادر می‌کند بنابراین اگر مشتری از نظام بانکی یک گواهی بگیرد در تمام بانک‌ها برایش قابل استفاده خواهد بود.

چراغ‌های چشمک‌زنی برای مشتری

در سایت بانک‌ها هشدارهای بی‌شماری برای بالا بردن ضریب امنیتی خدمات اینترنتی به چشم می‌خورد.

هشدارهایی که به مشتریان گوشزد می‌کند از رمزهای ساده استفاده نکنند و به‌صورت دوره‌ای رمز اینترنتی‌شان را تغییر دهند. یا آنکه برای وارد کردن اطلاعات مربوط به حساب یا کارت خود، از جمله رمز اینترنتی به‌منظور جلوگیری از ذخیره اطلاعات در جاسوس‌افزارها (Key Logger) از صفحه‌کلید امن و مجازی موجود در سایت استفاده کنند.

بانک‌ها از مشتریانشان می‌خواهند که از مراجعه یا درج اطلاعات حساب یا کارت‌شان در وب‌سایت‌های متفرقه و ناشناس که دارای آدرس‌های به ظاهر معتبر و مانوس‌اند خودداری کنند، چرا که بسیاری از کلاهبرداری‌های اینترنتی با استفاده از سایت‌های جعلی برای دریافت اطلاعات حساس کاربران رخ می‌دهد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.