رمزهای پویا، ضروری و زمان بر در مقابله با جرایم اینترنتی

به گزارش ایران اکونومیست؛  بانک مرکزی ابتدای شهریورماه امسال «الزامات رمزهای پویا در تراکنش های مبتنی بر کارت های بانکی» را به شبکه بانکی کشور ابلاغ و دو بازه زمانی برای اجرای آن در نظر گرفت.
براساس این بخشنامه، از ابتدای آذرماه امسال مسئولیت جبران خسارت مال باختگان ناشی از هک شدن کارت یا کلاهبرداری اینترنتی به بانک یا موسسه اعتباری منتقل شده است اما در عین حال بانک ها می توانند همزمان خدمات خود را با استفاده از رمز دوم پویا و ایستا به مشتریان ارایه کنند.
در بازه زمانی دوم که ابتدای خردادماه سال آینده در نظر گرفته شده است، دیگر امکان ارایه خدمات بانکی با استفاده از رمزهای ایستا و ثابت از بین می رود و همه تراکنش های مشتریان باید براساس رمزهای پویا باشد.
دلیل اصلی تهیه و ابلاغ این بخشنامه کاهش کلاهبرداری های اینترنتی، هک شدن کارت های بانکی مشتریان است که به گفته سردار سید کمال هادیان فر رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا) برداشت های غیرمجاز از حساب های بانکی در صدر جرایم سایبری کشور قرار دارند.
به گفته وی، برداشت های غیر مجاز از حساب بانکی افراد در سال 96 نسبت به سال 95 بیش از 61 درصد افزایش داشته است.
اهمیت این کار زمانی که بدانیم بیش از 400 میلیون کارت بانکی در کشور وجود دارد و به طور متوسط هر شهروند صاحب پنج کارت بانکی است، بیشتر می شود زیرا اغلب هموطنان رمز ثابتی را برای همه کارت های بانکی خود در نظر می گیرند که می تواند محملی برای سودجویان و کلاهبرداران باشد.

** رمز پویا چیست
براساس بخشنامه بانک مرکزی، رمز پویا به رمز اول یا دوم کارت گفته می شود که متغیر بوده و پذیرش آن توسط مؤسسه اعتباری در خدمات بانکداری و پرداخت الکترونیکی مبتنی بر کارت در یک بازه زمانی مشخص، تنها یکبار صورت پذیرد.
البته برخی از بانک ها نظیر سامان، ملت و پاسارگاد از سال های گذشته استفاده از رمزهای پویا را برای مشتریان خود آغاز کرده بودند اما این روش الزام قانونی نداشت اما با بخشنامه اخیر اداره نظام های پرداخت بانک مرکزی، اکنون همه بانکها و موسسه های اعتباری ملزم هستند که این شیوه را اجرا و برای فرهنگسازی میان مشتریان خود بکوشند.
پیگیری  از بانک های کشور نشان می دهد بسیاری از بانک ها به دلیل آنکه طی بیش از دو دهه پیش در زیرساخت های بانکداری الکترونیک سرمایه گذاری کرده اند، امکان اجرای رمزهای پویا و یکبار مصرف را دارند اما اجرای آن زمان بر است.
پس از ابلاغ بخشنامه اخیر بانک مرکزی، بانک ملی ایران اعلام کرد که زیرساخت های این کار را فراهم کرده است و مشتریان می توانند با استفاده از سامانه طراحی شده، رمزهای یکبار مصرف تهیه کنند.
«محمدرضا جمشیدی» دبیرکل کانون بانک های خصوصی و موسسه های اعتباری  با تایید اینکه بسیاری از بانک ها هنوز آمادگی اجرای این بخشنامه را در مدت کوتاه تعیین شده تا ابتدای خرداد سال آینده ندارند، اظهار داشت: در گذشته برخی بانک ها رمزهای پویا را برای مشتریان خود اجرایی کردند هرچند الزامی در کار نبود و برای امنیت بیشتر به صاحبان کارت می گفتند که بهتر است از رمزهای دو یا چند عاملی استفاده کند.
وی افزود: بخشنامه اخیر بانک مرکزی یک الزام برای شبکه بانکی ایجاد کرده که هرچند هدف اصلی آن مقابله با کلاهبرداری اینترنتی است اما می توان در کنار آن مباحثی چون مبارزه با پولشویی، احراز هویت صاحبان حساب و رصد تراکنش های بانکی را نیز پیگیری کرد.
جمشیدی گفت: از ابتدای آذرماه مسئولیت جبران خسارت ناشی از هک کارت های بانکی توسط کلاهبرداران برعهده بانک ها نهاده شده است در حالی که بانک ها درخواست دارند مهلت بیشتری به آنها داده شود.
وی افزود: درصددیم در نامه ای به بانک مرکزی مهلت بیشتری برای بانک ها بگیریم تا بتوان با موفقیت این طرح را اجرا کرد.
این مدیر بانکی با اعلام اینکه برخی بانک ها از دستگاه های او.تی.پی (OTP) برای تولید رمز پویا استفاده می کنند، اظهار داشت: اگر بانک ها بخواهند با این شیوه رمز پویا برای مشتریان تولید کنند، مستلزم هزینه برای بانک و مشتری است و شاید حتی نیاز باشد این دستگاه ها از خارج از کشور تهیه شود.
وی افزود: البته در سند الزامات استفاده از رمز پویا روش های دیگری چون تلفن همراه نیز برای ارسال رمز پویا در نظر گرفته شده اما در این سند گفته شده که بانک تنها زمانی می تواند از شماره تلفن همراه به عنوان یکی از عوامل احراز هویت استفاده کند که از تطابق اطلاعات مالک تلفن همراه با اطلاعات دارنده کارت اطمینان یابد.
جمشیدی گفت: هیچ سامانه ای برای تطبیق اطلاعات مالک شماره تلفن همراه و دارنده کارت بانکی نداریم و این کار امری زمان بر است.

** تایید انتقال و رمزهای پویا در اغلب بانک های دنیا اجرا می شود
«مرتضی تبریزی» مدیر امور فناوری اطلاعات بانک ملت درباره ویژگی های این کار  گفت: در سال های گذشته بانک ها با معضل سایت های جعلی مشابه تارنمای خود مواجه بودند که کلاهبرداران با هدف «فیشینگ» طراحی کرده و با این کار شماره کاربری و رمز عبور فرد را سرقت می کردند.
وی افزود: افزایش فیشینگ برخی بانک ها را بر آن داشت تا مشکل را از طریق دستگاه های او.تی.پی یا تولیدکننده رمزهای پویا حل کنند؛ این کار بویژه برای حواله های اینترنتی با مبالغ بزرگ بسیار کاربردی بود.
این کارشناس بانکداری الکترونیک با اعلام اینکه بخشنامه بانک مرکزی بر ایمن سازی پرداخت های اینترنتی تاکید دارد، گفت: با توجه به اینکه امروزه همه بانک ها به ابزارهای نوین پرداخت بویژه بانکداری تحت تلفن همراه مجهز شده اند، می توانند رمزهای پویا را اجرایی کنند.
تبریزی تاکید کرد: نیازی نیست رمز دوم و یکبار مصرف حتما با دستگاه او.تی.پی برای مشتری تولید شود زیرا این کار برای بانک و مشتری هزینه دارد؛ می توان از طریق اپلیکیشن موبایل بانک برای فرد پیامک کرد.
وی با بیان اینکه در بانک ملت روزانه بیش از 15 میلییون تراکنش بانکی انجام می شود، اظهار داشت: توسعه تجارت الکترونیک در کشور که سبب شده حتی از طریق پیام رسان های داخلی و خارجی افراد به معامله کالا و خدمات بپردازند، توسعه زیرساخت های امن برای پرداخت های ایمن را اجتناب ناپذیر کرده است.
مدیر امور فناوری اطلاعات بانک ملت تاکید کرد: در اجرای رمزهای پویا باید به گونه ای عمل کرد که هم کار برای کاربران عادی سخت نشود و هم روش امن باشد.
تبریزی یادآور شد: تایید پرداخت و استفاده از رمزهای یکبار مصرف از روش های مرسوم بانک ها در اغلب کشورهای جهان است و حتی برخی بانک ها برای تایید انتقال پول به صاحب حساب رایانامه ارسال می کنند تا در صورت تایید مشتری، انجام شود.

** سوءاستفاده از کارت های بانکی به صفر می رسد
«مجید خادم الحسینی» کارشناس ارشد بانکداری الکترونیک یکی از بانک های خصوصی نیز  درباره اهمیت این بخشنامه اظهار داشت: در دنیای امروز سودجویان به راحتی می توانند با استفاده از شگردهای اطلاعاتی رمزهای ایستای کارت های بانکی را استخراج کنند و با استفاده از دستگاه های خودپرداز، پایانه های فروشگاهی و حتی صفحات اینترنتی برداشت غیرمجاز انجام دهند.
وی افزود: مشکل اینجاست که اغلب افراد رمز ثابت یکسانی را برای چندین حساب خود در نظر می گیرند که کار کلاهبرداران را آسان تر می کند.
خادم الحسینی اظهار داشت: در دستورالعمل بانک مرکزی سه عامل «دانستنی، داشتنی و ویژگی ذاتی» برای احراز هویت اشخاص در نظر گرفته شده که برای داشتن رمزهای پویا باید در کنار عامل دانستنی، از عوامل داشتنی و یا ذاتی نیز استفاده کرد تا احتمال هک شدن افراد کاهش یابد.
این کارشناس حوزه بانکداری الکترونیک افزود: در صورتی که فرد از رمز پویا استفاده کند، احتمال هک شدن کارت وی به صفر می رسد مگر اینکه خود فرد با بی توجهی اطلاعات خود را نزد دیگران افشا کند یا در دسترس دیگران قرار دهد.
خادم الحسینی اظهار داشت: رمز پویا فقط برای 60 ثانیه کاربرد دارد و پس از آن دیگر قابل استفاده نیست و فرد باید برای هر تراکنش و اقدامی رمز جدید بگیرد که همین کار سبب می شود دیگران نتوانند به راحتی به حساب فرد دسترسی یابند.
وی درباره اینکه آیا برای فعال شدن رمز پویا نیاز است که هرمشتری به دستگاه تولید رمز (OTP) مجهز باشد، اظهار داشت: در سند ابلاغی بانک مرکزی روش های متنوعی دیده شده که یکی از آنها دستگاه او. تی. پی است و می توان با ابزارهایی چون نرم افزارهای موبایل این رمزها را در اختیار مشتری قرار داد.
 آمار شرکت شبکه الکترونیکی پرداخت کارت (شاپرک) در شهریورماه امسال بیانگر آن است که بیش از 244 هزار و 800 میلیارد تومان از نقدینگی کشور با استفاده از نظام های پرداخت و با انجام بیش از یک میلیارد و 842 میلیون تراکنش جابجا شد.
سهم ابزارهای پرداخت اینترنتی از این رقم 5.12 درصد، تلفن همراه 6.12 درصد و کارتخوان های فروشگاهی 88.76 درصد بوده است.
با توجه به اینکه پایانه های فروشگاهی سهم عمده ای از این تراکنش ها را در اختیار داشته و اغلب با رمزهای اول کارت ها سر کار دارند، اعمال رمزهای پویا در این بخش نیز ضروری است. از این رو در سند ابلاغی بانک مرکزی به بانک ها توصیه شده است که درخصوص تراکنش های «با مخاطره زیاد» در خدماتی که از «رمز اول» کارت های بانکی استفاده می کنند، از رمز پویا با مشخصات مندرج در این سند، به جای رمز اول استفاده کند.