آیا بانک‌ها موافق پرداخت خسارت به زیان‌دیدگان فیشینگ هستند؟

یکی از قربانیان فیشینگ درباره نتیجه پیگیری‌هایی که انجام داده گفته است که پس از چندماه پیگیری از مراجع قانونی به ما اعلام کردند که پرونده شما به یک باند بین‌المللی فیشینگ مربوط می‌شود که در ترکیه مستقر هستند، اما سرشاخه‌هایی در ایران دارند.

یکی دیگر از قربانیانی که حسابش توسط سارقان اینترنتی خالی شده نیز اظهار داشته که بارها این موضوع را پیگیری کردم، چند ماه منتظر پاسخ استعلام از بانک مرکزی، شاپرک و بانک‌های مربوطه شدم، اما هیچ نتیجه‌ای نگرفتم. در نهایت به ما اعلام کردند که سرقت‌ها از طریق کارت‌های بانکی سرقتی انجام شده و پول‌ها به حساب‌های دیگر منتقل شده‌اند.(+)

درحال حاضر سرقت‌های اینترنتی در صدر جرائم اینترنتی هستند؛ طبق آماری که اخیراً پلیس فتا اعلام کرده بیشترین جرائم اینترنتی در ایران مرتبط با کلاهبرداری اینترنتی از طریق فیشینگ است که 60 درصد را شامل می‌شود. همچنین جهش سرقت‌های اینترنتی در ماه‌های اخیر به‌طوری بوده که یک‌چهارم سرقت‌های انجام شده در یک سال منتهی به تیرماه گذشته، در نخستین ماه تابستان رخ داده است.

ببینید: چرا آمار پرونده‌های فیشینگ در ایران به مرز هشدار رسیده است؟

چندسالی است که بانک مرکزی راهکارهای جایگزین ارائه داده که تاکنون موفقیت چندانی کسب نکرده است. بانک مرکزی اعلام کرده بود طرح حذف رمز دوم‌های ایستا از اول خردادماه ۱۳۹۸ اجرایی می‌شود، به این طریق که برای انتقال بالای ۵۰۰ هزار تومان، نیاز به رمز دوم یک‌بارمصرف وجود دارد. این رمزها توسط اپلیکیشن‌های مخصوص هر بانک در اختیار مشتری قرار می‌گیرد و فقط ۶۰ ثانیه اعتبار دارد. همه چیز برای اجرای طرح، آماده به نظر می‌رسید، اما اواخر اردیبهشت ۱۳۹۸ اعلام شد به‌دلیل «مشکلات نرم‌افزاری، آموزشی و زیرساختی» فعلاً طرح به تعویق افتاده است.

بانک مرکزی قصد داشت رمزهای یک‌بارمصرف را از طریق اپلیکیشن‌های بانکی در اختیار مشتری‌ها قرار دهد تا به این ترتیب از کلاهبرداری‌های اینترنتی جلوگیری شود، اما ناآشنایی برخی شهروندان با شیوه استفاده از اپلیکیشن‌های رمز دوم یکبار مصرف، مشکلات نرم‌افزاری تلفن‌های همراه اپل به‌دلیل وجود تحریم‌ها و هوشمند نبودن گوشی‌های حدود ۲۴ میلیون نفر از شهروندان از جمله دلایل اصلی بروز وقفه در اجرای طرح رمز دوم یکبار مصرف است.

.

بانک وکیل مردم و پول نزد آن برای سپرده‌گذاران است

براساس بخشنامه‌ای که در رابطه با جبران خسارت زیان‌دیدگان فیشینگ از سوی بانک است «هرگونه سوءاستفاده از حساب‌های مشتریان به‌دلیل آسیب‌پذیری‌های امنیتی (ناشی از عدم اجرای الزامات رمزهای پویا) در سرویس‌های بانکی مستقیماً به عهده بانک بوده است. در این موارد تأیید مرجع قضایی (دادسرا)، برای جبران خسارت مشتریان کفایت می‌کند. لذا مقتضی است در پرونده‌های کلاهبرداری رایانه‌ای برداشت غیرمجاز از حساب‌های بانکی) که پس از الزامی شدن استفاده از رمزهای پویا تشکیل شده بررسی‌های لازم انجام شود و در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا به لحاظ عدم رعایت بخشنامه بانک مرکزی و عدم رفع آسیبپذیری امنیتی، دستور پرداخت خسارت بزه‌دیده صادر و از طریق سامانه کشف به بانک متخلف ابلاغ شود.»

یکی از مدیران فناوری اطلاعات بانک‌ها در این رابطه به راه پرداخت گفت: «برخی مشتریان بانک‌ها اطلاعات محرمانه کارت خود را در سایت‌های جعلی وارد می‌کنند و از این طریق اطلاعات اصلی افشا می‌شود که این موضوع بعضاً ناشی از بی‌دقتی برخی مشتریان است. به‌همین دلیل و با استناد به بخشنامه‌ای که از سوی بانک مرکزی و مراجع قانونی صادر شده، مشتریان به بانک‌ها مراجعه می‌کنند تا پول از دست رفته‌شان را دریافت کنند. در برخی موارد نیز عده‌ای با مراجعه به بانک ادعا می‌کنند که اطلاعات محرمانه کارت آنها افشا شده و از بانک درخواست می‌کنند که پولشان را برگردانند.»

او در ادامه گفت: «بانک موظف است که همه این موارد را بررسی کند، اما نمی‌توان انتظار داشت که بانک هر پولی را بلافاصله برگرداند. این بررسی نیاز به زمان دارد، چراکه بانک، حافظ و وکیل منافع سپرده‌گذاران و پول نزد بانک از آن سپرده‌گذار است. هر بانکی باید در بخش‌های مالی، کسب‌وکاری و حقوقی این موارد را بررسی کند که این بررسی یک پروسه طولانی را طی می‌کند و بانک‌ها نمی‌توانند بلافاصله هر ادعایی را مبنی بر از دست رفتن پول مشتریان بپذیرند و آن را پرداخت کنند.»

به‌گفته او از اول آذرماه این تصمیم گرفته شده که بانک‌ها رمز دوم یکبارمصرف را اجباری کنند، اما این اجباری کردن هم نگرانی‌هایی را به وجود می‌آورد و ایجاد محدودیت در خدمات بانکداری می‌کند، درحالی‌که بانکداری الکترونیک آمده که این محدودیت‌ها را از بین ببرد.

.

بانک، عامل ایجاد فیشینگ نیست

محمدعلی بخشی‌زاده، معاون فناوری اطلاعات و بانکداری الکترونیک بانک دی نیز معتقد است اگر بدانیم دقیقاً مصادیقی که در فیشینگ اتفاق می افتد چیست، بهتر می‌توان تصمیم گرفت و متوجه شد که در این خصوص، بانک‌ها و ارائه دهندگان سرویس‌های پرداخت مقصر هستند یا سایر عوامل؟ اکنون از سوی بانک این راهکار ارائه شده است که مشتریان به جای رمز ایستا از رمز پویا استفاده کنند و سوء استفاده از اطلاعات کسب شده توسط فیشینگ را به حداقل برساند که البته این موضوع نیز بدون مشکل نبوده است. اما سؤال این است آیا ایرادی که اکنون از بانک‌ها به‌دلیل نداشتن رمز دوم پویا گرفته می‌شود صحیح است؟

او توضیح داد: «بحث فیشینگ بر روی درگاه‌های پرداخت اینترنتی، موبایلی و بقیه موارد اتفاق می افتد و مهم‌ترین دلیل آن کمتر بودن دانش مردم نسبت به کلاهبردارانی است که این کار را انجام می‌دهند. با این حال همه موارد متوجه بانک‌ها و شرکت‌های پرداخت نیست درحالی که مراجع قضایی همه مسئولیت‌ها رابرعهده بانک گذاشته است، اما اگر به دقت بررسی شود بسیاری از این موارد به‌طور مستقیم به بانک بر نمی‌گردد.»

به‌گفته بخشی‌زاده اگر اثبات شود که سوء استفاده از اطلاعات مشتریان به‌دلیل بی احتیاطی بانک رخ داده، بانک این مسئولیت را می‌پذیرد. اما اگر اطلاعات مشتری به هر دلیلی سرقت شود یا مشتری از طریق سایت‌های جعلی خودش آن اطلاعات را در اختیار بقیه قرار دهد، بانک عامل ایجاد این مشکل نیست. با این حال بانک می‌تواند برای به حداقل رساندن این مساله، رمز دوم یکبار مصرف را ارائه دهد. در این صورت بانک خدمتی را مضاعف بر خدمت‌های دیگر به مشتری ارائه می دهدکه امن‌تر است.

ببینید: آیا شهروندان ایرانی آماده حذف رمز دوم کارت‌های بانکی‌شان هستند؟

او عامل اصلی زیاد شدن فیشینگ را افزایش تعداد کلاهبرداران و بالا رفتن سطح دانش آنها دانست که متاسفانه بانک‌ها و جامعه نیز اقدام موثری جهت ارتقای سطح دانش مشتریان در این خصوص انجام نداده‌اند. او گفت: «اصل مشکل این است که دانش مشتری نسبت به فیشینگ کم است که بانک‌ها با ارائه سرویس رمز دوم یکبار مصرف سعی می‌کنند این مشکل را کمتر کنند.»

بخشی‌زاده اضافه کرد: «اکنون این توافق بین بانک‌ها صورت گرفته که آنها با کامل کردن نقص‌های موجود در نحوه ارائه رمز دوم یکبارمصرف و ایجاد فرهنگ‌سازی برای مشتری، از اول آذرماه سال جاری استفاده از رمز دوم یکبارمصرف را اجباری کنند که امیدواریم این امر به صورت یکپارچه در همه بانک‌ها اتفاق بیفتد.»