مریم آریایی
بر اساس وعدههای قبلی و اطلاعیههای مستمر بانک مرکزی، چند روز بیشتر به اجرای اجباری طرح فعالسازی رمز دوم پویا باقی نمانده است. طرحی که چندی پیش از دستور پیگیری بانک مرکزی خارج شده بود، اما با افزایش سرقتهای اینترنتی و برداشتهای غیرمجاز بانکی و فشار نمایندگان مجلس، پلیس و رسانهها مجددا در دستور کار قرار گرفته است.
از سوی دیگر پلیس نیز از سمت دیگر ماجرا و بر اساس وظیفه پیشگیری از وقوع جرایم، وارد حوزههای اجرایی و فنی شده است و حالا پلیس فتا خبر از راهاندازی یک افزونه ضد فیشینگ میدهد.
اگرچه برای قضاوت در خصوص میزان توفیق سامانهها و افزونههای جدید برای مهار و کاهش سرقتها و برداشتهای غیرمجاز اینترنتی زود است و برخی کارشناسان بانکی این طرحها را به دلایلی ناموفق میدانند، موضوعی که البته از سوی بانک مرکزی همچون بسیاری دیگر از انتقادات و ابهامات به هیچ انگاشته میشود.
در عین حال اما پلیس معتقد است که رمز دوم پویا هم نمیتواند برداشتهای غیرمجاز بانکی را به صفر برساند و روشهای دیگری برای کلاهبرداری همچنان وجود دارند که مانعی برای آنها ارایه نشده است.
به هر حال این طرحها در آستانه اجرا هستند و به همین منظور بد نیست به نحوه عملکرد و میزان توفیق احتمالی آنها بپردازیم.
علت افزایش سرقتها در ماههای اخیر
به گفته یک مدیر بانکی در هفتههای اخیر با افزایش حملات فیشینگ مواجه بودهایم که علت بروز آن چند مساله است که تغییر قیمت و سهمیهبندی بنزین و واریز یارانه به حساب سرپرستان خانوار یکی از این موارد بود.
صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین رمز یکبار مصرف پویا را یکی از دلایل افزایش فیشینگ در هفتههای اخیر دانسته و میگوید: عدهای سوءاستفادهگر با ارسال مجموعه پیامکهایی افراد را به صفحات مجازی هدایت کرده، اطلاعات کارت عابربانک آنها را دریافت و از حساب بانکی آنها پول برداشت میکنند.
همچنین چون اینترنت و شبکههای اجتماعی چندان فعال نبود، باعث شد بستر سوءاستفاده بیشتر شود و عده بیشتری در این تله بیفتند و اطلاعات ما هم نشان میداد تعداد بیشتری از افراد با این مساله مواجه شدند.
در این حملات سوءاستفادهکنندگان با استفاده از اطلاعات کارتهای بانکی یا حساب افراد را خالی میکنند یا از آن حساب برای نقل و انتقال وجوه و پنهان کردن منشا پول سوءاستفاده میکنند. همچنین خریدهای ارزان اینترنتی و ارایه تخفیفهای عمدتا کاذب، دریافت کمکها در پوشش خیریهها و ... از دیگر روشهای مرسوم فیشینگ محسوب میشوند.
رونمایی از سامانه «هریم»
کاظم مرتضوی اسکوئی معاون طرح و برنامه بانک صادرات ایران با اشاره به سررسید زمان اجرای اجباری رمز دوم پویا اما پیشبینی میکند با توجه به عدم آمادگی تعدادی از بانکها و شرکتهای ارایهدهنده خدمات پرداخت و انفورماتیکی و یا شرکتهای پرداخت و فقدان زیرساختهای لازم، در اجرای طرح مشکلاتی برای بانکها و مشتریان آنها حادث شود.
با این همه گرچه تولید این رمز از طریق اپلیکیشنها نیازمند دستگاههای تلفن همراه هوشمند است، اما بانک مرکزی برای تولید رمز یکبار مصرف برای گوشیهای عادی از سامانهای با نام (هدایتکننده رمز یکبار مصرف) «هریم» نیز رونمایی کرده است.
معاون طرح و برنامه بانک صادرات ایران با اشاره به فعالیت این سامانه میگوید: برای ارتباط بانکها با سامانه هریم و تبادل پیامها نیازمند یک سیستم جامع بین بانکی با الگوریتمهای مشخص هستیم و بانکها باید به صورت یکپارچه و همزمان به سیستم «هریم» متصل شوند تا مشکلات به حداقل برسد.
با این همه این مدیر بانکی حتی برای اجرای این طرح هم مشکلاتی را پیشبینی میکند و میگوید: به عنوان مثال بانک صادرات حدودا تعداد ۳۵ میلیون نفر مشتری دارد که ۲۱ میلیون و ۷۹۸ هزار نفر آنها دارای کارت فعال هستند و از این میان ۱۹ میلیون نفر آن مربوط به مشتریان دارای حساب و مابقی مربوط به بنکارت و کارتهای هدیه است.
وی میگوید: هِرم مشتریان این بانک نیز دارای تنوع زیادی است و شامل رده سنی متفاوت و طبقات مختلف جامعه شامل صنعتکاران، کشاورزان، تاجران و ... است که حدود ۲ میلیون نفر از مشتریان این بانک را قشر بازنشستگان تشکیل میدهد که غالبا استفاده از اپلیکیشنهای رمزساز و یا استفاده از سامانه هریم برای دریافت رمز دوم یکبار مصرف برای آنان دشوار است.
مشکل دیگری که وجود دارد مربوط به کسانی است که از بانکداری الکترونیکی استفاده میکنند. اسکویی میگوید: مشاغل و کسبوکارهایی که همواره از رمز دوم در بستر بانکداری دیجیتال استفاده میکنند با راهاندازی «هریم»، روند اجرای کسبوکار آنان تا حدودی کند میشود.
روش کار سامانه هریم
سید ابوطالب نجفی مدیرعامل شرکت خدمات انفورماتیک درباره جزییات عملکرد سامانه هریم، میگوید: بر اساس دستورالعمل بانک مرکزی، تمامی بانکها باید به سامانه هدایت رمز یکبار مصرف بانکی تحت عنوان هریم در پروژه رمز دوم پویا متصل شوند.
رونمایی از افزونه ضد فیشینگ پلیس
علاوه بر این اخیرا پلیس فتا هم به دلیل افزایش پروندههای برداشت غیرمجاز و سرقتهای اینترنتی از حسابهای الکترونیک بانکی به معرفی افزونه ضد فیشینگ پرداخته است.
سرهنگ علی نیکنفس، معاون فنی پلیس فتا با بیان اینکه این افزونه توسط مرکز «آپا» دانشگاه سمنان و با همکاری مرکز «ماهر» وزارت ارتباطات و فناوری اطلاعات طراحی شده، گفته است: این سامانه ضد فیشینگ به صورت افزونه روی مرورگر کاربر نصب میشود و در هنگام مواجهه با کلاهبرداری و فیشینگ و اینگونه صفحات به کاربر هشدارهای لازم را اعلام میکند.
بنا بر اعلام پلیس فتا، کاربران با استفاده از این افزونه میتوانند از فعالیت کلاهبرداران و افراد سودجو جلوگیری کنند.
نحوه کار این افزونه این گونه است که وقتی کاربر وارد صفحه پرداخت میشود اگر صفحه پرداخت اصل باشد، پیامی مبنی بر اصل بودن آن نمایش داده میشود و در صورت جعلی بودن نیز یک پیام هشدار نمایش داده شده و برای بررسی بیشتر، کاربر را به صفحه وب افزونه هدایت میکند.
فیشینگ با رمز دوم پویا صفر نمیشود
با تمام این تمهیدات اما اینکه این روشها چندان هم نتواند از فیشینگ و کلاهبرداریها و برداشتهای غیرمجاز از حسابهای بانکی جلوگیری کند چندان روشن نیست. رییس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا در عین تشریح نحوه کارکرد رمز دوم پویا اما اذعان کرده که با این کار هم فیشینگ صفر نمیشود.
رییس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا در تشریح اینکه چرا رمز دوم یا رمز پویا برای فیشینگ موثر است، میگوید: اگر به هر دلیل مجرم بتواند اطلاعات کارت شما را سرقت کند چون رمز دوم مادام در حال تغییر است، مجرم نمیتواند به اطلاعات کارت دسترسی پیدا کند و از طریق اطلاعات کارت خرید انجام دهد. اینجا است که رمز پویا موثر است برای اینکه جلوی فیشینگ گرفته شود.
وی اما میگوید: با رمز دوم پویا فیشینگ صفر نخواهد شد. به این دلیل که روشهای پیشرفتهتری وجود دارد که این امکان را به مجرمان میدهد بتوانند همچنان فیشینگ را ادامه دهند و با استفاده از اپلیکیشنهای جعلی و مجرمانه این فعل مجرمانه را انجام دهند. به عنوان مثال کاربر در شبکههای اجتماعی اپلیکیشنی را نصب کرده که این اپلیکیشن معتبر نیست. این اپلیکیشن طی فرایندی اطلاعات را سرقت میکند و به صورت فنی همچنان میتواند تخلیه حساب را انجام دهد.
یکی دیگر از مشکلاتی که پلیس پیشبینی میکند در این میان رخ دهد جعل اپلیکیشنهای بانکها است و هشدار میدهد: به هیچ وجه این نرمافزارها را از شبکههای اجتماعی یا پیامک دانلود نکنند چون مجرمان یک اپلیکیشن جعلی را در این محیطها به اشتراک میگذارند و از این طریق کلاهبرداری جدیدی روی این سیستم انجام میدهند.
به گفته این مقام انتظامی نحوه کار بیشتر این کلاهبرداران به این صورت است که با ترفند دانلود اپلیکیشن برای فعالسازی رمز دوم از کاربران کلاهبرداری میکنند. به عنوان مثال یکی از این کلاهبرداران اینترنتی به کاربران پیامک داده بود که برای فعالسازی رمز دوم به این لینک بروید. سپس کاربر را به سایتی هدایت کرد که در آن سایت ثبتنام کرده و پرداختی و اطلاعات کارت او را گرفتند و عملا فرایند جرم پیشین (فیشینگ) اتفاق افتاده است.
رمز یکبار مصرف لازم اما ناکافی
برآوردهای پلیس فتا و معاونت فناوریهای نوین بانک مرکزی نشان میدهد که با اجرای طرح رمز دوم یکبار مصرف میزان جرایم در حوزه برداشت غیرمجاز از جمله فیشینگ به صورتی که امروز وجود دارد کاهش بسیار زیادی پیدا خواهد کرد اما واقعیت این است که همچنان جرایمی در این بخش به صورت روال گذشته یا حتی با بروز کلاهبرداری از طریق روشهای جدید وجود خواهد داشت که در این زمینه صرفا آموزش، راهکار تضمینی برای کاهش ریسک و افزایش امنیت است.
اما در حالی به یکم دی ماه نزدیک میشویم که آگاهی و آموزش مشتریان در زمینه فناوری و خدمات جدید چندان جدی گرفته نشده است. سامانه هریم و افزونه ضد فیشینگ و موارد دیگری از این دست تجربه سامانههایی دیگر را در ذهن تداعی میکند؛ سامانههایی که بیش از آنکه مخاطبشان مشتریان بانکها باشند صرفا رسانهها هستند و بعد از رسانهای شدن اکثرا رها میشوند.