مریم آریایی

بر اساس وعده‌های قبلی و اطلاعیه‌های مستمر بانک مرکزی، چند روز بیشتر به اجرای اجباری طرح فعال‌سازی رمز دوم پویا باقی نمانده است. طرحی که چندی پیش از دستور پیگیری بانک مرکزی خارج شده بود، اما با افزایش سرقت‌های اینترنتی و برداشت‌های غیرمجاز بانکی و فشار نمایندگان مجلس، پلیس و رسانه‌ها مجددا در دستور کار قرار گرفته است.

از سوی دیگر پلیس نیز از سمت دیگر ماجرا و بر اساس وظیفه پیشگیری از وقوع جرایم، وارد حوزه‌های اجرایی و فنی شده است و حالا پلیس فتا خبر از راه‌اندازی یک افزونه ضد فیشینگ می‌دهد.

اگرچه برای قضاوت در خصوص میزان توفیق سامانه‌ها و افزونه‌های جدید برای مهار و کاهش سرقت‌ها و برداشت‌های غیرمجاز اینترنتی زود است و برخی کارشناسان بانکی این طرح‌ها را به دلایلی ناموفق می‌دانند، موضوعی که البته از سوی بانک مرکزی همچون بسیاری دیگر از انتقادات و ابهامات به هیچ انگاشته می‌شود.

در عین حال اما پلیس معتقد است که رمز دوم پویا هم نمی‌تواند برداشت‌های غیرمجاز بانکی را به صفر برساند و روش‌های دیگری برای کلاهبرداری همچنان وجود دارند که مانعی برای آنها ارایه نشده است.

به هر حال این طرح‌ها در آستانه اجرا هستند و به همین منظور بد نیست به نحوه عملکرد و میزان توفیق احتمالی آنها بپردازیم.

 

علت افزایش سرقت‌ها در ماه‌های اخیر

به گفته یک مدیر بانکی در هفته‌های اخیر با افزایش حملات فیشینگ مواجه بوده‌ایم که علت بروز آن چند مساله است که تغییر قیمت و سهمیه‌بندی بنزین و واریز یارانه به حساب سرپرستان خانوار یکی از این موارد بود.

صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین رمز یک‌بار مصرف پویا را یکی از دلایل افزایش فیشینگ در هفته‌های اخیر دانسته و می‌گوید: عده‌ای سوء‌استفاده‌گر با ارسال مجموعه پیامک‌هایی افراد را به صفحات مجازی هدایت کرده، اطلاعات کارت عابربانک‌ آنها را دریافت و از حساب بانکی آنها پول برداشت می‌کنند.

همچنین چون اینترنت و شبکه‌های اجتماعی چندان فعال نبود، باعث شد بستر سوءاستفاده بیشتر شود و عده بیشتری در این تله بیفتند و اطلاعات ما هم نشان می‌داد تعداد بیشتری از افراد با این مساله مواجه شدند.

در این حملات سوء‌استفاده‌کنندگان با استفاده از اطلاعات کارت‌های بانکی یا حساب افراد را خالی می‌کنند یا از آن حساب برای نقل و انتقال وجوه و پنهان کردن منشا پول سوءاستفاده می‌کنند. همچنین خریدهای ارزان اینترنتی و ارایه تخفیف‌های عمدتا کاذب، دریافت کمک‌ها در پوشش خیریه‌ها و ... از دیگر روش‌های مرسوم فیشینگ محسوب می‌شوند.

 

رونمایی از سامانه «هریم»

کاظم مرتضوی اسکوئی معاون طرح و برنامه بانک صادرات ایران با اشاره به سررسید زمان اجرای اجباری رمز دوم پویا اما پیش‌بینی می‌کند با توجه به عدم آمادگی تعدادی از بانک‌ها و شرکت‌های ارایه‌دهنده خدمات پرداخت و انفورماتیکی و یا شرکت‌های پرداخت و فقدان زیرساخت‌های لازم، در اجرای طرح مشکلاتی برای بانک‌ها و مشتریان آ‌نها حادث شود.

با این همه گرچه تولید این رمز از طریق اپلیکیشن‌ها نیازمند دستگاه‌های تلفن همراه هوشمند است، اما بانک مرکزی برای تولید رمز یک‌بار مصرف برای گوشی‌های عادی از سامانه‌ای با نام (هدایت‌کننده رمز یک‌بار مصرف) «هریم» نیز رونمایی کرده است.

معاون طرح و برنامه بانک صادرات ایران با اشاره به فعالیت این سامانه می‌گوید: برای ارتباط بانک‌ها با سامانه هریم و تبادل پیام‌ها نیازمند یک سیستم جامع بین بانکی با الگوریتم‌های مشخص هستیم و بانک‌ها باید به صورت یکپارچه و همزمان به سیستم «هریم» متصل شوند تا مشکلات به حداقل برسد.

با این همه این مدیر بانکی حتی برای اجرای این طرح هم مشکلاتی را پیش‌بینی می‌کند و می‌گوید: به عنوان مثال بانک صادرات حدودا تعداد ۳۵ میلیون نفر مشتری دارد که ۲۱ میلیون و ۷۹۸ هزار نفر آنها دارای کارت فعال هستند و از این میان ۱۹ میلیون نفر آن مربوط به مشتریان دارای حساب و مابقی مربوط به بن‌کارت و کارت‌های هدیه است.

وی می‌گوید: هِرم مشتریان این بانک نیز دارای تنوع زیادی است و شامل رده سنی متفاوت و طبقات مختلف جامعه شامل صنعتکاران، کشاورزان، تاجران و ... است که حدود ۲ میلیون نفر از مشتریان این بانک را قشر بازنشستگان تشکیل می‌دهد که غالبا استفاده از اپلیکیشن‌های رمزساز و یا استفاده از سامانه هریم برای دریافت رمز دوم یک‌بار مصرف برای آنان دشوار است.

مشکل دیگری که وجود دارد مربوط به کسانی است که از بانکداری الکترونیکی استفاده می‌کنند. اسکویی می‌گوید: مشاغل و کسب‌و‌کار‌هایی که همواره از رمز دوم در بستر بانکداری دیجیتال استفاده می‌کنند با راه‌اندازی «هریم»، روند اجرای کسب‌و‌کار آنان تا حدودی کند می‌شود.

 

روش کار سامانه هریم

سید ابوطالب نجفی مدیرعامل شرکت خدمات انفورماتیک درباره جزییات عملکرد سامانه هریم، می‌گوید: بر اساس دستورالعمل بانک مرکزی، تمامی بانک‌ها باید به سامانه هدایت رمز یک‌بار مصرف بانکی تحت عنوان هریم در پروژه رمز دوم پویا متصل شوند.

 

رونمایی از افزونه ضد فیشینگ پلیس

علاوه بر این اخیرا پلیس فتا هم به دلیل افزایش پرونده‌های برداشت غیرمجاز و سرقت‌های اینترنتی از حساب‌های الکترونیک بانکی به معرفی افزونه‌ ضد فیشینگ پرداخته است.

سرهنگ علی نیک‌نفس، معاون فنی پلیس فتا با بیان اینکه این افزونه توسط مرکز «آپا» دانشگاه سمنان و با همکاری مرکز «ماهر» وزارت ارتباطات و فناوری اطلاعات طراحی شده، گفته است: این سامانه ضد فیشینگ به صورت افزونه روی مرورگر کاربر نصب می‌شود و در هنگام مواجهه با کلاهبرداری و فیشینگ و این‌گونه صفحات به کاربر هشدارهای لازم را اعلام می‌کند.

بنا بر اعلام پلیس فتا، کاربران با استفاده از این افزونه می‌توانند از فعالیت کلاهبرداران و افراد سودجو جلوگیری ‌کنند.

نحوه کار این افزونه این گونه است که وقتی کاربر وارد صفحه پرداخت می‌شود اگر صفحه پرداخت اصل باشد، پیامی مبنی بر اصل بودن آن نمایش داده می‌شود و در صورت جعلی بودن نیز یک پیام هشدار نمایش داده شده و برای بررسی بیشتر، کاربر را به صفحه وب افزونه هدایت می‌کند.

 

فیشینگ با رمز دوم پویا صفر نمی‌شود

با تمام این تمهیدات اما اینکه این روش‌ها چندان هم نتواند از فیشینگ و کلاهبرداری‌ها و برداشت‌های غیرمجاز از حساب‌های بانکی جلوگیری کند چندان روشن نیست. رییس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا در عین تشریح نحوه کارکرد رمز دوم پویا اما اذعان کرده که با این کار هم فیشینگ صفر نمی‌شود.

رییس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا در تشریح اینکه چرا رمز دوم یا رمز پویا برای فیشینگ موثر است، می‌گوید: اگر به هر دلیل مجرم بتواند اطلاعات کارت شما را سرقت کند چون رمز دوم مادام در حال تغییر است، مجرم نمی‌تواند به اطلاعات کارت دسترسی پیدا کند و از طریق اطلاعات کارت خرید انجام دهد. اینجا است که رمز پویا موثر است برای اینکه جلوی فیشینگ گرفته شود.

وی اما می‌گوید: با رمز دوم پویا فیشینگ صفر نخواهد شد. به این دلیل که روش‌های پیشرفته‌تری وجود دارد که این امکان را به مجرمان می‌دهد بتوانند همچنان فیشینگ را ادامه دهند و با استفاده از اپلیکیشن‌های جعلی و مجرمانه این فعل مجرمانه را انجام دهند. به عنوان مثال کاربر در شبکه‌های اجتماعی اپلیکیشنی را نصب کرده که این اپلیکیشن معتبر نیست. این اپلیکیشن طی فرایندی اطلاعات را سرقت می‌کند و به صورت فنی همچنان می‌تواند تخلیه حساب را انجام دهد.

یکی دیگر از مشکلاتی که پلیس پیش‌بینی می‌کند در این میان رخ دهد جعل اپلیکیشن‌های بانک‌ها است و هشدار می‌دهد: به هیچ وجه این نرم‌افزارها را از شبکه‌های اجتماعی یا پیامک دانلود نکنند چون مجرمان یک اپلیکیشن جعلی را در این محیط‌ها به اشتراک می‌گذارند و از این طریق کلاهبرداری جدیدی روی این سیستم انجام می‌دهند.

به گفته این مقام انتظامی نحوه کار بیشتر این کلاهبرداران به این صورت است که با ترفند دانلود اپلیکیشن برای فعال‌سازی رمز دوم از کاربران کلاهبرداری می‌کنند. به عنوان مثال یکی از این کلاهبرداران اینترنتی به کاربران پیامک داده بود که برای فعال‌سازی رمز دوم به این لینک بروید. سپس کاربر را به سایتی هدایت کرد که در آن سایت ثبت‌نام کرده و پرداختی و اطلاعات کارت او را گرفتند و عملا فرایند جرم پیشین (فیشینگ) اتفاق افتاده است.

رمز یک‌بار مصرف لازم اما ناکافی

برآوردهای پلیس فتا و معاونت فناوری‌های نوین بانک مرکزی نشان می‌دهد که با اجرای طرح رمز دوم یک‌بار مصرف میزان جرایم در حوزه برداشت غیرمجاز از جمله فیشینگ به صورتی که امروز وجود دارد کاهش بسیار زیادی پیدا خواهد کرد اما واقعیت این است که همچنان جرایمی در این بخش به صورت روال گذشته یا حتی با بروز کلاهبرداری از طریق روش‌های جدید وجود خواهد داشت که در این زمینه صرفا آموزش، راهکار تضمینی برای کاهش ریسک و افزایش امنیت است.

اما در حالی به یکم دی ماه نزدیک می‌شویم که آگاهی و آموزش مشتریان در زمینه فناوری و خدمات جدید چندان جدی گرفته نشده است. سامانه هریم و افزونه ضد فیشینگ و موارد دیگری از این دست تجربه سامانه‌هایی دیگر را در ذهن تداعی می‌کند؛ سامانه‌هایی که بیش از آنکه مخاطب‌شان مشتریان بانک‌ها باشند صرفا رسانه‌ها هستند و بعد از رسانه‌ای شدن اکثرا رها می‌شوند.