اما و اگرهای الزام رمز یک‌بار مصرف بانکی

بانک مرکزی اعلام کرده که برای اجرای اجباری رمز دوم یک‌بار مصرف دیگر نمی‌توان صبر کرد و به این ترتیب‌ رمز دوم ایستا از ابتدای دی ماه غیرفعال می‌شود؛ این اجبار در حالی وضع شده که هنوز اما و اگرهایی درباره جایگزینی کامل رمز یک‌بار مصرف به جای رمزهای ثابت وجود دارد و موانع این الزام تا حدی است که ريیس کل بانک مرکزی هم به آن اذعان دارد.

استدلال بانک مرکزی برای الزامی شدن رمز دوم یک‌بار مصرف، این است که تعداد زیادی از شکایت‌هایی که به پلیس فتا می‌شود در خصوص سو‌ءاستفاده‌هایی است که از تراکنش‌های بانکی بدون کارت صورت می‌گیرد.

در واقع افزایش کلاهبرداری‌های اینترنتی آن هم با روش‌های جدید یکی از مهم‌ترین دلایلی است که بانک مرکزی را ترغیب به اجرای طرح رمزهای دوم یک‌بارمصرف در شبکه بانکی کرده است. رمز دوم یک‌بار مصرف، طرحی است که بعد از جلسات کارشناسی متعدد میان قوه قضايیه و نیروی انتظامی روی میز بانک مرکزی قرار گرفته است؛ ریشه این طرح نيز همان‌طور که اشاره شد، روش‌های نوین کلاهبرداری از حساب‌های بانکی مردم است، اما به هر حال اجرای این طرح به سادگی نیست و به همین دلیل است که بعد از آنکه نخستین موعد اجباری شدن، پیش از این خرداد ماه اعلام شده بود در آن زمان به سرانجام نرسید.

از سوی دیگر پرونده‌هایی که در قوه قضايیه در جریان است، حکایت از کلاهبرداری‌هایی دارد که طبق آن حساب‌های تعداد زیادی از مشتریان بانکی با استفاده از رمز دوم و CVV2 از سوی کلاهبرداران خالی شده است. از سال 86 که پرداخت‌های بدون کارت در ایران اجرایی شده است، برای خریدهای اینترنتی از چهار مولفه شماره کارت، رمز دوم،CVV2  و تاریخ انقضا استفاده می‌شود. البته برای تراکنش‌های تلفن بانک و موبایل بانک به علت امنیت بیشتر تنها دو مولفه شماره کارت و رمز دوم درخواست می‌شود.

براساس آمار، کلاهبرداری‌هایی که در این حوزه می‌شود به دلیل مشکلات امنیتی از قبیل هک شدن و ایرادهای سیستمی بانک‌ها نیست بلکه حجم بالای این کلاهبرداری‌ها به علت لو رفتن اطلاعات این چهار مولفه رخ می‌دهد؛ برای مثال کلاهبرداری از طریق فیشینگ با سوءاستفاده از مولفه‌های وارد شده در سایت‌های جعلی پرداخت انجام شده و کلاهبرداران با کمک این اطلاعات نسبت به برداشت از حساب اقدام می‌کنند.

بانک مرکزی برای جلوگیری از این قبیل کلاهبرداری‌ها و البته برای پیشگیری از سوءاستفاده از حساب‌های مشتریان بانکی، به این نتيجه رسید که یکی از این چهار مولفه، متغیر شود و اجرای طرح رمز دوم یک‌بار مصرف در دستور کار قرار گرفت و از بانک‌ها خواست که نسبت به اجرایی شدن طرح رمزهای یک‌بار مصرف همکاری‌های لازم را انجام دهند.

هرچند در ابتدا بانک‌ها زیر بار این اقدام نمی‌رفتند و خواستار دریافت کارمزد 20 هزار تومانی برای فعال کردن رمز یک‌بار مصرف مشتریان خود بودند ولی در نهایت و با مخالفت ريیس کل بانک مرکزی، بانک‌ها نیز آماده همکاری در این خصوص شدند.

حالا قرار است این کار بدون هیچ‌گونه هزینه‌ای انجام شود و به‌طور کلی هیچ‌گونه دستورالعملی از سوی بانک مرکزی برای اخذ کارمزد فعال‌سازی رمز دوم یک‌بار مصرف صادر نشده است. در این مورد هم استدلال بانک مرکزی این است که ما مردم را به پویاسازی رمز دوم تشویق می‌کنیم و برای تشویق نباید هزینه‌ای وجود داشته باشد.

روش استفاده از رمز دوم یک بار مصرف به این صورت است که بانک روی اپلیکیشن موبایل ویژه خود حساب کاربری و مشخصات شما را فعال می‌کند. زمانی که قصد خرید اینترنتی یا انتقال وجه آنلاین دارید همزمان این اپلیکیشن را باز می‌کند و یک رمز به شما ارايه می‌شود. این رمز تنها برای تراکنش فعلی شما اعتبار خواهد داشت.

اپلیکیشن‌های بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کنند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن به‌حساب می‌آید. در قدیم برخی بانک‌ها از پیامک برای ارسال رمز استفاده می‌کردند.

·       کلاهبرداری با استفاده از رمز دوم ایستا

بر اساس آنچه پلیس فتا اعلام کرده فیشینگ عامل شکل‌گیری یک‌سوم جرايم سایبری در کشور است. به همین خاطر استفاده از رمز دوم یک‌بار مصرف به‌جای رمز ثابت در دستور کار قرارگرفته است؛ به‌طوری‌که پیش‌بینی می‌شود با جایگزین شدن رمز یک‌بار مصرف از سوی تمامی بانک‌ها می‌توان میزان قربانیان فیشینگ را به‌طور جدی کاهش داد.

در وضعیت فعلی، شما برای خرید اینترنتی یا انتقال وجه اینترنتی یک رمز دوم همیشگی دارید که آن را در کنار مشخصات دیگری مانند شماره کارت، کد CVV2 و تاریخ انقضا وارد می‌کنید. در کلاهبرداری به روش فیشینگ سارقان به شکلی کاربران را فریب می‌دهند و آنها را به یک صفحه جعلی پرداخت می‌کشانند.

این صفحات جعلی کاملا شبیه صفحه‌های واقعی بانک‌ها طراحی می‌شود و حتی برای آنها آدرس‌هایی که شبیه به پرداخت‌های حقیقی در سیستم بانکی است، طراحی می‌شود. کاربر فریب‌خورده در این صفحه جعلی همه مشخصات خود از جمله رمز ثابت را وارد می‌کند، اما در نهایت همه اطلاعات به‌ دست سارقان می‌افتد.

سارقان با استفاده از اطلاعات کارت در کنار رمز دوم ثابت می‌توانند حساب فرد را به‌سرعت خالی کنند. برای جلوگیری از این ماجرا در بسیاری از کشور‌های جهان رمز دوم یک‌بارمصرف در نظر گرفته ‌شده است. با استفاده از این روش سارقان در نهایت با فریب کاربر رمزی را به‌ دست می‌آورند که فقط یک‌بار قابلیت استفاده داشته و عملا سرقت از حساب کاربر را غیرممکن می‌کند.

·       ابهاماتی که برای ريیس کل هم حل نشده است

بانک مرکزی اخیرا در اطلاعیه‌ خود درباره الزامی شدن استفاده از رمز دوم یک‌بار مصرف به مشکلات و مزایایی که استفاده از رمز دوم یک‌بار مصرف خواهد داشت، اشاره کرده است.

اما در این میان مشکلات جدی هم وجود دارد که همین هفته گذشته و پیش از اطلاعیه بانک مرکزی در یادداشتی که عبدالناصر همتی، ريیس کل بانک مرکزی نوشته بود به آنها اذعان شده است.

در همین راستا ريیس کل بانک مرکزی در یادداشتی اعلام کرد: بیش از ۳۰ بانک، فعال‌سازی رمز پویا را شروع کرده‌اند، اما به دلیل هوشمند نبودن خیلی از موبایل‌ها، اجباری کردن استفاده از رمز پویا در حال حاضر مقدور نیست.

آن‌طور که عبدالناصر همتی نوشته است، بانک‌ها اطلاع‌رسانی در خصوص مزایای استفاده از رمز پویا را آغاز کرده‌اند. در حال حاضر رمز ایستا و رمز پویا توامان فعال هستند و به همین دلیل مشتریان به دلیل راحتی، ترجیح می‌دهند از رمز ایستا استفاده کنند.

همتی معتقد است رمز ایستا باید به گونه‌ای غیرفعال شود که موجب نگرانی مشتریان، در دریافت روزانه بیش از ۱۰ میلیون خدمت نشود و نیز تعدادی از بانک‌ها هنوز به سرویس شاهکار برای انطباق شماره ملی و موبایل مشتریان خود متصل نیستند.

·       رمز پویا برای تمام تراکنش‌های بدون کارت

علی‌رغم موانعی که ريیس کل بانک مرکزی هم به آن اذعان دارد، معاون فناوری‌های نوین بانک مرکزی از آمادگی برای ارايه رمز پویا خبر داده و می‌گوید: انجام تمامی تراکنش‌های بدون حضور کارت حتی خرید شارژ و پرداخت قبوض از ابتدای دی ماه نیازمند رمز دوم یک‌بار مصرف است.

مهران محرمیان در عین حال می‌گوید: شبکه بانکی آماده ارايه رمز دوم یک‌بار مصرف به مشتریان است و بانک‌ها زیرساخت رمز یک‌بار مصرف را ایجاد کرده‌اند و موظف هستند تا ابتدای دی ماه اقدات لازم برای ارايه این خدمت به مشتریان را انجام دهند. هم اکنون بانک‌ها اقداماتی را برای اطلاع‌رسانی در زمینه نحوه فعال‌سازی رمز دوم یک‌بار مصرف آغاز کرده‌اند.

این مقام مسوول در بانک مرکزی همچنین می‌گوید: ما ارتباط بسیار خوبی نیز با بانک‌ها برقرار کرده‌ایم و به نظر نمی‌رسد که هیچ بانکی در این زمینه عقب بماند.

معاون فناوری‌های نوین بانک مرکزی البته تاکید دارد که رمز دوم یک‌بار مصرف از ابتدای دی ماه به صورت اجباری برای تمامی تراکنش‌های «بدون حضور کارت» اجرایی خواهد شد و این زمان به هیچ عنوان به تاخیر نخواهد افتاد.

ابهامات بی‌پاسخی که مطرح است

گرچه به نظر می‌رسد این بار نباید موضوع الزامی شدن رمز دوم یک‌بار مصرف به تاخیر بیفتد اما ابهامات بی‌پاسخی هم در این میان مطرح است؛ اخیرا خبرگزاری مهر در گزارشی از متصدیان بانکی‌ و مشتریان جزيیات این مشکلات را در میدان عمل جویا شده است.  

بر این اساس مشتریان زیادی از نظام بانکی از مشکلات خود برای دریافت و استفاده از رمزهای یک‌بار مصرف و پویا سخن به میان آورده و می‌گویند که مشکلاتی در فرایند دریافت پیامک‌های مرتبط با دریافت رمزهای یک‌بار مصرف وجود دارد. یکی از مشکلات این بوده که هر بار پیامک را به سرشماره مربوطه برای دریافت رمز بانکی ارسال کرده‌اند، پاسخی از بانک صادرکننده کارت دریافت نکرده‌اند.

یکی از مشتریان گفته که تاکنون ظرف مدت یک هفته بعد از فعال‌سازی رمز پویا، دو بار کارت بانکی مربوطه با ضبط از سوی دستگاه خودپرداز به دلیل ثبت رمز اشتباه مواجه شده که همین امر سبب شده تا مشکلاتی را برای او به‌وجود آورد. پس دوباره به بانک مراجعه کرده و رمز یک‌بار مصرف را غیرفعال کرده است.

در این میان یکی از متصدیان شعب بانکی هم می‌گوید: هنوز زیرساخت همه بانک‌های کشور برای ارایه رمزهای یک‌بار مصرف فراهم نیست و اگر بانک مرکزی می‌خواهد این روش را عملیاتی کند، باید ظرف مدت یک‌ماه‌و‌نیم باقیمانده تمام تلاش خود را در شبکه بانکی و زیرساخت‌های پرداخت الکترونیک متمرکز کند تا استفاده از رمزهای یک‌بار مصرف عملیاتی شود.

علاوه بر ابهاماتی که ريیس کل بانک مرکزی به آن اذعان داشته، برخی دیگر از ابهامات نیز در این میان مطرح است؛ از جمله اینکه چرا بانک‌ها مردم را مجبور به نصب نرم‌افزار اختصاصی خود می‌کنند؟ این موضوع با توجه به دسترسی‌هایی که نصب هر اپلیکشین نیاز دارد بار دیگر خود موجب دغدغه امنیتی برای کاربران می‌شود، گرچه هدف این طرح حفظ امنیت مشتریان بانک‌ها بوده است.

نکته دیگر این است که بانک مرکزی اعلام کرده که برای تلفن‌های غیر هوشمند قرار است ارسال رمز دوم یک‌بار مصرف از طریق پیامک باشد، اما مساله این است که باز هم به نظر کارشناسان امنیت شبکه، ممکن است این پیامک‌ها از امنیت کافی برخوردار نباشند.

حالا از یکسو با جدیت بانک مرکزی برای اجرای طرح تا اول دی مواجهیم و از سوی دیگر با ابهاماتی روبه‌رو هستیم که هم هدف طرح را تحت‌الشعاع قرار می‌دهد و هم آنقدر جدی است که ریس کل بانک مرکزی هم به آنها معترف است، لذا روشن نیست در موعد اول دی‌ماه بالاخره تاریخ انقضای رمزهای ایستا به سر خواهد آمد یا خیر.