پاسخی به حمله بی‌اساس وب‌سایت اصول‌گرای مشرق به اپلیکیشن بام بانک ملی

بانک ملی بعد از این که همتی مدیرعامل این بانک شد و تغییراتی که در آن ایجاد شد، به کانونی برای حمله اصول‌گراها و طرفداران دولت قبل تبدیل گشت. یک روز نماینده‌های مجلس حامی دولت پیشین که از قطع شدن وام‌های بی‌حساب و کتاب عصبانی بودند، پرونده همتی را در دستور کار قرار دادند. حتی زمانی که بانک ملی در یک اقدام درست سینه سپر کرد که فرهنگ اشتباه کامزد نگرفتن را اصلاح کند، به کانون بیشترین هجمه‌های رسانه‌ای تبدیل شد. هرچند که بانک ملی کتک یک کار درست را خورد، اما سرسختانه ایستادند و گواه درستی کارشان همین بس که بعد از ملی بقیه بانک‌ها یکی پس از دیگری الگوی بانک ملی را تکرار کردند. بانک ملی که گفته می‌شود بزرگ‌ترین بانک جهان اسلام است در سال‌های گذشته هرگز در جایگاه واقعی خودش نبوده است و هر کسی از ظن خود همراه این بانک شده است. اگر قبول داشته باشیم که تغییر درد دارد، این واقعیت را به روشنی می‌توانیم در این روزهای بانک ملی ببینیم. بانکی که تصور می‌رود باید بدترین سرویس‌ها را داشته باشد، به یک‌باره و به کمک تیمی چابک اپلیکشن و سامانه‌ای به مشتریان خود ارائه کرد که تقریبا جزو بهترین‌ها در ایران است و به جرئت می‌توان گفت نه فقط از بانک‌های تنبل و کم‌تحرک دولتی جلوتر است بلکه از بیشتر بانک‌های خصوصی یک سروگردن بالاتر است. اما این به مذاق برخی خوش نیامده و هر روز از سویی این سامانه را مورد حمله قرار می‌دهند و بهانه آخر آنها هم عدم توجه به هشدارهای پلیس فتا است. این که پلیس فتا با توجه به عمر اندکی که دارد، از نظر دانش فنی و عملیاتی در چه جایگاهی قرار دارد بماند برای بعد. پلیس فتا از زمانی که تاسیس شده با سیاست معرفی مواردی که توانسته کشف و افشا کند به دنبال کسب جایگاهی برای خود است و در بین استانداردهای فنی و روال‌هایی که بیش از چند دهه در دنیا سابقه دارد، حرف زیادی برای گفتن ندارد. پلیس فتا تاکنون به گفتن یک سری گزاره کلی اکتفا کرده است و دستورالعمل و استاندارد خاصی منتشر نکرده است. بگذریم.

در آخرین اقدام وب‌سایت مشرق که حامی دولت قبل است، در متنی مدعی شده است که سامانه بام امن نیست. مشرق نوشته است:

خطر سرقت اطلاعات؛
بی‌توجهی «بام» بانک ملی به هشدار مهم پلیس فتا
نبودن امکان استفاده از کیبورد مجازی در سرویس «بام» بانک ملی، از جمله ابهاماتی است که ضریب امنیت این سامانه در موقع استفاده کاربران عادی را با ابهاماتی مواجه می‌کند.

در این متن آمده است:

با بررسی نحوه فعالیت «بام» این سوال را می‌توان مطرح کرد که با وجود افزایش روزافزون جرایم سایبری و بانکی و نبودن دانش امنیتی کافی بخش عمده‌ای از کاربران ایرانی اینگونه سرویس‌ها و از طرفی وجود ابزارهای گوناگون دسترسی غیرمجاز به اطلاعات دیگران مانند انواع کی‌لاگر‌ها (نرم‌افزار خواندن کیبورد) چگونه این سرویس با امکانات فراوان شامل (انتقال پول، تعیین مبلغ و تاریخ چک، مدیریت مالی شخصی و خلاصه حساب‌ها) فاقد ساز و کارهای امنیتی لازم است؟

پیش از این حمیدرضا مختاریان مدیر پروژه سامانه بانکداری اینترنتی بام گفته بود:

یکی از بزرگ‌ترین مشکلات پیش روی نسخه قبلی اینترنت‌بانک ملی این بود که توکن و فرآیند دریافت خود این سخت‌افزار باعث شده بود بانک ملی گروه بالقوه‌ای از مشتریانش را از دست بدهد. اولین نکته‌ای که وجود دارد این است که در سامانه بانکداری اینترنتی بام دیگر خبری از توکن نیست. چیزی مثل توکن به آن شکل سخت‌افزاری نه‌ تنها ازلحاظ هزینه به‌صرفه نبود بلکه از لحاظ تجربه کاربری هم مدل خوبی نبود و از طرف دیگر محدودیت‌هایی که داشت باعث می‌شد خیلی از مشتریان اصلاً دیگر رغبتی به استفاده از این سرویس نکنند. در کنار همه این‌ها، به دلیل گسترش استفاده مردم از تلفن همراه استفاده از یک سخت‌افزار به غیر از تلفن همراه برای تأیید دوعاملی، به‌نوعی غیرمنطقی است. دنیا به این سمت پیش می‌رود که اگر بخواهد تأیید دوعاملی بگیرد، مرحله دوم از طریق موبایل است چراکه هم شخصی و هم امن است.

به‌دلیل اینکه مراحل امنیتی و کنترل این سامانه از طریق ارسال پیامک به شماره تلفن همراه اعلام شده از سوی مشتری انجام می‌گیرد، لذا معرفی شماره همراه مربوطه به‌صورت کتبی به شعبه از الزامات ثبت‌نام مشتریان است و در عین حال مشتریانی که عضو سامانه‌های پیامکی بانک ملی ایران هستند، بدون نیاز به مراجعه به شعبه می‌توانند عضویت خود را در سامانه ثبت و فعال کنند.

حمیدرضا مختاریان در این زمینه یادداشتی برای راه پرداخت ارسال کرده است که در ادامه مشاهده می‌کنید:

یکی از مهم‌ترین دغدغه‌ها در توسعه سامانه بام موضوع امنیت بوده است. در حال حاضر این سامانه از امنیت کافی برخوردار بوده و نتایج تست‌های امنیتی انجام شده گواه این مدعا است. در خصوص عدم استفاده از صفحه کلید مجازی در این سامانه ذکر این نکته ضروری است که کاربرد اصلی صفحه کلید مجازی جلوگیری از عملکرد نسل قدیمی برنامه‌های KeyLogger است. این نسل بر روی کامپیوترهای میزبان نصب شده و کلیه کلیدهای تایپ شده از سوی کاربر را ذخیره می‌کرد. بر اساس تحقیقات به‌عمل آمده از سوی کار‌شناسان و با مطالعه سیر تحول برنامه‌های KeyLogger، مشخص گردید که KeyLogger‌های پیشرفته و جدید به امکاناتی همچون ضبط و ذخیره کلیدهای تایپ شده، کنترل و نظارت بر ClipBoard، تهیه Screen Snapshot از صفحات و حتی تهیه ویدئو از مانیتور کاربران و ضبط کلیه رخدادهای آن مجهز هستند و لذا نمایش صفحه کلید مجازی تنها حس کاذب امنیت را به کاربران منتقل می‌نماید و در عمل هیچ فایده‌ای جهت مقابله با نسل جدید برنامه‌های KeyLogger ندارد.

برنامه این بانک جهت ایجاد تجربه کاربری بهتر، امنیت بالا‌تر و جلوگیری از القای حس امنیت کاذب به مشتریان گرامی، اطلاع رسانی ادواری و مستمر جهت آگاه نمودن ایشان نسبت به موارد زیر است:

• از رایانه و تلفن همراه شخصی جهت ورود به سامانه استفاده گردد.
• از آنتی ویروس‌های قوی و با مجوز استفاده شده و بروز رسانی منظم آن‌ها مورد توجه جدی قرار گیرد.
• در خصوص عدم افشای کلمه عبور برای دیگران توصیه اکید می‌گردد.
• از گزینه خروج بعد از اتمام کار در سامانه استفاده شود.
• عدم یادداشت و قرار دادن کلمه عبور در کنار نام کاربری توصیه می‌گردد.
• عدم انتخاب نام کاربری و کلمه عبور ساده و عمومی توصیه می‌گردد.

در ضمن بررسی وضعیت ۴ بانک بر‌تر کشور آمریکا در زمینه استفاده از کلید مجازی نشان از این دارد که هیچ یک از این بانک‌ها از صفحه کلید مجازی استفاده نمی‌کنند که تصاویر مربوطه موید این امر است.