پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
این روزها بحث اجباری شدن رمز دوم پویا مطرح است و درباره این موضوع انتقادات زیادی از سوی کارشناسان وجود دارد. برخی میگویند این طرح به افزایش امنیت کمک زیادی میکند ولی کارشناسان دیگر عواقب آن را پیشبینی میکنند و به اعتقاد آنها رمز دوم پویا میتواند مسائل دیگری را ایجاد کند.
برای شفافسازی بیشتر طرح رمز دوم پویا، مناظرهای با موضوع «رمز پویا: فرصت یا تهدید» در برنامه «چرخ» از شبکه چهار سیما پخش شد. این مناظره با حضور رضا قربانی، رئیس هیات مدیره موسسه تراکنش و عماد ایرانی، مدیرعامل شرکت فاش، تشکیل شد و مائده گیوهچین مدیریت پنل را برعهده داشت.
گیوهچین مناظره را با این سوال آغاز کرد که بانک مرکزی برای مسئله فیشینگ یا کلاهبرداری اینترنتی، این طرح را پیشنهاد داده و سؤال اینجاست که این راهکار چقدر میتواند از کلاهبرداریهای اینترنتی جلوگیری کند؟
ایرانی در پاسخ عنوان کرد: «کلاهبردای اینترنتی از دو طریق شکل میگیرد؛ یکی اینکه با توجه به وجود اشکال در فرآیندهای بانکی، فرد اقدام به کلاهبرداری میکند. دیگر اینکه خود فرد اطلاعات کارت بانکی را در اختیار کلاهبرداران قرار میدهد. تمام فیشینگهایی که امروزه مطرح است از نوع دوم است و با توجه به قوی بودن زیرساختهای بانکی کشور، کلاهبرداری از طریق ضعف زیرساختهای بانکی صفر است.»
او ادامه داد: «مهمترین موضوعی که در فیشینگ صورت میگیرد، ناآگاهی مردم است. رمز دوم هر 30 ثانیه یا 60 ثانیه در حال تغییر است. پس با توجه به این محدودیت زمانی، اگر فرد کلاهبردار قصد سرقت اطلاعات بانکی را داشته باشد، نمیتواند این کار را انجام بدهد و رمز دوم پویا میتواند 99 درصد فیشینگ را کاهش دهد. کاربرانی که اقدام به خرید اینترنتی میکنند، با این روش میتوانند از کارت خود محافظت کنند.»
رئیس هیات مدیر موسسه تراکنش عنوان کرد: «به نظر من این طرح مسائلی را ایجاد میکند. رمز دوم پویا قطعاً در دی ماه اجرا میشود اما مسائلی را در پی دارد. ما یک مشکل را حل میکنیم ولی مسائل بیشتری پس از آن ایجاد میشود. در فضای تخصصی ما یک بحث امنیت داریم و یک تقلب. در اینجا امنیت سیستمهای پرداخت، قابل قبول است و آنچه اکنون درباره آن صحبت میکنیم بحث تقلب است و اینکه مردم رمز خود را در اختیار افراد قرار میدهند. اما روشی که در پیش گرفتیم، پیچیدگیهای زیادی در آن وجود دارد.»
امنیت یک موضوع اختیاری است و نباید به صورت تحمیلی اعمال شود. ما باید برای افراد این امکان را ایجاد کنیم که در امنیت از روشهای مختلفی استفاده کنند ولی زمانی که به صورت متمرکز و اجباری به افراد تحمیل کنیم، حاشیههایی که در آن وجود دارد، گریبانگیر شخص استفاده کننده از آن میشود.
رضا قربانی، رئیس هیات مدیره موسسه تراکنش
در ادامه قربانی توضیح داد که در کل، سه نوع رمز وجود دارد. رمزی که ما در ذهن داریم، رمزهایی مانند اثر انگشت که خودمان در بازگشایی رمز نقش داریم، و نوع سوم اینکه خودمان مالک آن هستیم.
او توضیح داد: «تبدیل رمز ایستا به پویا، تبدیل به چیزی است که خودمان مالک آن هستیم. این تبدیل خطراتی را ایجاد خواهد کرد که ممکن است خیلی به آن توجه نشده باشد. زمانی که رمز به موبایل ما ارسال میشود، مسائلی را ایجاد میکند و ممکن است موبایل دست شخص دیگری قرار گیرد و پرداخت خود را انجام دهد.»
رمز یکبار مصرف با پیامک و اپلیکیشن ارسال میشود و افراد برای دسترسی به اپلیکیشن باید گوشی هوشمند داشته باشند. در ادامه این مناظره این مساله مطرح شد ارسال رمز دوم برای برخی افراد از جمله افراد مسنتر چه چالشهایی را ایجاد میکند؟
ایرانی در پاسخ عنوان کرد: «این طرح از دی ماه شروع میشود. دی ماه شروع طرحی است که قرار است امنیت مردم را بیشتر کند. کار کردن در فضای اینترنت و خرید غیر حضوری، اطلاعاتی لازم دارد و فرد باید در این زمینه دانشی داشته باشد و بداند که خرید را در چه سایتی، با چه امکانات و اخطارهایی روی گوشی یا کامپیوتر انجام میدهد. پس دانستن همه اینها، به مراتب دشوارتر از قرائت یک کد است. پیشنهاد میشود افرادی که این اطلاعات را ندارند از رمز دوم پویا استفاده نکنند؛ زیرا باید اطلاعاتی را نیز در خصوص فضای پرداخت غیر حضوری داشته باشند. پیشنهادات دیگری وجود دارد که در سطح دنیا پیاده شده است.»
او در ادامه ذکر کرد: «در تاریخچه پرداخت غیر حضوری افراد، پرداختهایی هستند که بهصورت مداوم انجام میشود مانند قبوض و شارژ اپراتورهای مخابرات. این روش پرداختها شاید بهتر باشد کارتی انجام نشود. در خارج از کشور ما، روش کارتبهکارت وجود ندارد. زمانی که پرداخت مستقیم بانک مرکزی و بانکهای تابعه راهاندازی شود، روش کارتبهکارت حذف میشود. پس برداشت مستقیم یا direct debit مشکلاتی که در روش کارتبهکارت وجود دارد را از میان بر میدارد. علاوه بر این، پرداختهایی مانند تاکسیهای اینترنتی یا فروشگاه اینترنتی خاص که تعدادشان محدود است و شناخته شده هستند، میتوانند از طریق بانک خود و با استفاده از رمز دوم کارت خود انجام شود.»
ایرانی در ادامه صحبتهای خود گفت: «در خصوص پرداختهای ناشناس، میتوان از روش تأخیر در پرداخت استفاده کرد و در زمان دیرتری برای این سایتها پرداخت انجام شود. برای مبالغ پایینتر از مبلغی خاص نیز میتوان از رمز دوم کارت استفاده کرد. بانک مرکزی در این خصوص جلسات کارشناسانه را تشکیل داده است؛ اما به دلیل اینکه این روشها به تغییراتی بیشتر از طرح رمز دوم پویا نیاز دارند، به بررسیهای بیشتری نیاز دارند و در آینده قرار است این طرحها پیاده شوند.»
گیوهچین از قربانی پرسید که در دنیا از چه فناوریهایی برای پرداخت استفاده میشود و چه زیرساختهایی دارند؟
او در جواب عنوان کرد: «بانک مرکزی رگولاتور بانکهاست نه مردم، مسائلی از جمله فیشینگ گریبان مردم شده و رمز دوم پویا نمیتواند راه حلی برای آن باشد. در دنیا بحث فیشینگ و دزدی هویت؛ بیشتر از ایران است و از درگاههای جعلی که مردم ناآگاهانه اطلاعات بانکی خود را وارد میکنند، این اتفاق میافتد. حالا سؤال اینجاست که شرکتهای پرداختی دنیا از جمله ویزا و مسترکارت، برای مقابله با فیشینگ چه میکنند؟ اینها دو درصد از سودشان را روی این موضوع گذاشتهاند چون ریسک آن را قبول کردند و اینکه فیشینگ قابل حل نیست.»
«با توجه به اینکه مردم ناآگاه رمز خود را در اختیار افراد سودجو قرار میدهند، چه راهکار و زیرساختی وجود دارد که سرقت اطلاعات را کاهش دهد؟» قربانی در پاسخ گفت: «زمانی که وارد فروشگاهی میشویم و برای پرداخت خرید خود رمز کارت را با صدای بلند اعلام میکنیم، اگر دستگاه اسکن در آنجا داشته باشد، فرد سودجو میتواند مشابه کارت ما را بسازد. ما باید قبول کنیم که درصدی از تراکنشها دچار مشکل میشوند و این مسائل نباید به پلیس فتا برود. در ایران نهادی به نام شاپرک وجود دارد که بابت تراکنشها درآمدی کسب میکند. با توجه به اینکه شاپرک این درآمد را دارد، باید درصدی از آن را به افرادی که طعمه فیشینگ شدند اختصاص دهد.»
قربانی در پاسخ به اینکه این کار منجر میشود مردم بحث امنیت را دیگر جدی نگیرند خاطرنشان که اکنون بانکها مسئول مشکلات ناشی از رمز دوم پویا شدهاند.
ایرانی با بیان اینکه پرداخت دو بخش اصلی حضوری و غیر حضوری دارد گفت: «در پرداخت حضوری در دنیا از کارت چیپدار و کارتهای بانکی که ما داریم استفاده میشود. اختلالات بانکی این حوزه کم و شبکه بانکی ما به دنیا نزدیک است و مردم در این زمینه آگاهی دارند. ما موقعی بانک مرکزی و شاپرک را در خصوص فیشینگ مسئول میدانیم که تمامی موضوعات و راهکارها توسط مردم اجرا شود. پلیس فتا و بانک مرکزی بارها به مردم اعلام کردند که در شبکهای اجتماعی خصوصاً شبکههای اجتماعی خارجی اقدام به خرید کالا نکنند. زیرا آنها از مشتریان میخواهند که تمامی اطلاعات کارت را در اختیارشان قرار دهند تا خدماتشان را ارائه کنند. این درحالی است که ما نمیتوانیم در این خصوص بانک مرکزی، بانکها و شاپرک را مسئول بدانیم. در رمز دوم پویا، پلیس فتا اعلام کرد که از این پس من بانک را مسئول فیشینگ میدانم.»
اقایون مثلا علمای این حوزه در این متن بالا گفتن ” رمز دوم هر ۳۰ ثانیه یا ۶۰ ثانیه در حال تغییر است. پس با توجه به این محدودیت زمانی، اگر فرد کلاهبردار قصد سرقت اطلاعات بانکی را داشته باشد، نمیتواند این کار را انجام بدهد و رمز دوم پویا میتواند ۹۹ درصد فیشینگ را کاهش دهد ” اخه یکی نیست بهشون بگه اگه IQ مدیرانی که این طرح رو ارایه دادن اندازه فقط یک تک سلولی بود متوجه میشدن که 30 تا 60 ثانیه زمانیه که خود کاربر بدبخت هم نمیتونه کار کنه چه برسه به دزده اقایون امنیت رو بجای اینکه سمت سرور های بانک ببرن انداختن گردن کاربر این روش اگه فقط 10 روز برای 100 نفر بصورت پایلوت تست میشد مشکلاتش میزد بیرون مردم درگیر مشکلات این روش نمیشدن که برای یک کارت به کارت ساده یا یک خرید اینترنتی ساده با موبایلشون بیشتر از 30 بار هی نرن اینور انور رمز کپی کنن چون تو 60 ثانیه تا بخوای اطلاعات خرید و کارت به کارت رو پر کنی رمز مثلا پویا پریده ضمناً برای جلوگیری از فیشینگ 5 دقیقه هم آقا دزده نمیتونه کاری بکنه ( البته بماند که دزدی ها و اختلاس ها بیشتر از فیشینگ بانک ها رو تخلیه کرده )
واقعا این کاربر عزیز درست می فرمایند من الان دوساعت تلاش می کنم یک شارژ بگیرم تا بیام اطلاعات کارت رو وارد کنم رمز پووووویا پریده . آخه کسی که ۶۰ثانیه برای این رمز تعریف کرده فکر سرعت دیزلی اینترنت رو نکرده