آیا با اجرایی‌شدن رمز دوم پویا آمار فیشینگ کاهش پیدا می‌کند؟

آیا با اجرایی‌شدن رمز دوم پویا آمار فیشینگ کاهش پیدا می‌کند؟

/ در شرایطی که دنیا راه‌های مختلفی را برای حفظ امنیت کاربران خود پیاده‌سازی کرده، ما با کارهایی مانند تسویه آنی و کارت‌به‌کارت، تمام استانداردها را به یکباره جابه‌جا کرده‌ایم، گویا سرعت و تجربه کاربری همیشه از امنیت برایمان مهم‌تر بوده است. شاید از نیمه دی‌ماه و با اجباری‌کردن رمز دوم پویا باز هم داریم خواسته یا ناخواسته استاندارد دیگری را بومی‌سازی می‌کنیم؛ طرحی که به باور کارشناسان، هزینه‌هایی را به شبکه بانکی تحمیل می‌کند و آمار فروش آنلاین کسب‌وکارها را به‌شدت کاهش می‌دهد. دلیل اصلی برای اجرای رمز دوم پویا این بود که آمار فیشینگ در کشور افزایش قابل توجهی یافته است. آیا مساله فیشینگ در کشورمان، با این کار حل می‌شود؟ علی امیری: من مخالف جدی رمز دوم پویا نیستم و به شیوه انجام این کار انتقاد دارم. انتقادات من اول از همه به این برمی‌گردد که چرا ما باید برای یک تراکنش ۱۰ هزار تومانی که یک بار در روز انجام می‌دهیم و رفتار کاملا عادی داریم یک اپلیکیشن باز کنیم و با یک رمز، عملیات پرداخت را انجام دهیم. پیشنهادی که ما داشتیم این بود که برای تراکنش‌های زیر ۱۰۰ هزار تومان و یک بار در روز، نیازی به انجام این کار نباشد و با همان رمز قبلی عملیات پرداخت انجام شود. به اعتقاد من کاهش یا افزایش فیشینگ به شیوه اجرای این طرح بستگی دارد. الان این‌طور نیست و یکی از مواردی که باید اصلاح شود همین است. در نظر گرفت، محاسبه ریسک است و اینکه برای چه مبلغی داریم چه هزینه‌ای را به شبکه درست باشد، شما با اعمال این طرح، هزینه بانک‌ها را روزانه ۵۰۰ میلیون تا یک میلیارد صادقی: هزینه رمز دوم پویا بر بستر پیامک، در سال حدود ۱۱۰ میلیارد تومان می‌شود. با وجود تمام این هزینه‌ها که گفته شد، آیا اعتقاد دارید اجرای رمز دوم پویا باعث کاهش آمار فیشینگ می‌شود؟ صادقی: به اعتقاد من این طرح، در کوتاه‌مدت آمار فیشینگ ما را کاهش می‌دهد؛ چراکه ما دو دسته فیشینگ داریم؛ دسته اول فیشینگ‌های سازمان‌یافته است که با ارسال پیامک‌ها یا پست‌هایی اغواکننده افراد زیادی را به‌صورت گروهی به سمت درگاه غیرواقعی می‌کشند و با سرقت اطلاعات اصلی کارت و رمز دوم ایستا، اقدام به برداشت یا خرید بر اساس اطلاعات به‌دست‌آمده از کارت‌ها می‌کنند. دلیل اصلی اجرای طرح رمز دوم پویا مقابله با این نوع فیشینگ بود. دسته دوم فیشینگ سرقت اطلاعات اصلی کارت‌های یک مشتری به روش‌های مختلف و سپس سوءاستفاده از اطلاعات کارت برای خرید اینترنتی است. به اعتقاد من اجرای طرح رمز دوم پویا، حتما باعث کاهش فیشینگ می‌شود. طبق اطلاعیه بانک مرکزی، انجام تراکنش‌های بانکی و پرداخت از نیمه دی‌ماه صرفا با رمز دوم پویا امکان‌پذیر خواهد بود و دیگر امکان انجام تراکنش از طریق رمز دوم ثابت وجود نخواهد داشت؛ بر همین اساس افراد باید از طریق راه‌هایی که هر بانک برای دریافت رمز دوم پویا فراهم کرده است، نسبت به دریافت رمز پویای کارت خود اقدام کنند. به‌دلیل اینکه مدت اعتبار رمز دوم پویا بین ۶۰ تا ۱۲۰ ثانیه و طول آن حداقل شش رقم است، کشف آن با برنامه‌های کشف رمز، زمان‌بر و تولید و استفاده از آن در ۶۰ تا ۱۲۰ ثانیه سخت است، اما چون در روش مطرح‌شده بانک مرکزی برای دریافت رمز دوم پویا؛ بستر دریافت رمز دوم، پیامک است، ممکن است سوءاستفاده‌کنندگان با روش‌های دیگری سعی در استخراج رمز دوم مشتری در زمان کوتاه داشته باشند و بر اساس آن اقدام به سوءاستفاده کنند. این کار ممکن است یکی از روش‌های سوءاستفاده باشد. در هر حال باید توجه داشت که این کار آمار را به صفر نخواهد رساند، چون سوءاستفاده‌کنندگان حتما دنبال روش‌های دیگری خواهند رفت. فیشینگ شاید زیرمجموعه پدیده مهندسی اجتماعی تلقی شود و رمز یک‌بارمصرف قرار است باعث کاهش آن شود. فیشینگ عوارض اجتماعی دارد؛ به‌خصوص وقتی رسانه‌ای شده، پای نهادهای اعمال قانون به آن باز می‌شود و این مساله، احساس ناامنی مضاعف و چندجانبه ایجاد می‌کند. بانک مرکزی زیر تیغ می‌رود که چرا به‌عنوان رگولاتور کاری نکرده است؟ بانک‌ها زیر تیغ هستند که از حساب شما فیشینگ شده و باید آن را پرداخت کنید. سوال این است که آیا اجرای این طرح، صرفه اقتصادی دارد، اما می‌توان از وجوه دیگر هم سوالات را مطرح کرد. آیا می‌توان رفتار پلیس فتا، بانک مرکزی و قوه قضائیه را تغییر داد؟ مهیا کردن امکان کارت‌به‌کارت و تسویه آنی در ایجاد مساله فیشینگ دخیل بوده است. اینکه دولت یا بانک‌ها باید فرهنگ‌سازی می‌کردند، خود جای سوال است، اما بهترین تصمیم در وضع موجود چیست؟ مشخص است که این موضوع برای مردم گیج‌کننده است. در طرح اولیه اجرای رمز دوم پویا، قرار بود بانک‌ها زیرساخت لازم برای تولید رمز دوم یک‌بارمصرف را در قالب اپلیکیشن فراهم کنند و بهره‌گیری از رمز دوم یک‌بارمصرف از اول خردادماه ۱۳۹۸ اجباری شود، اما به‌دلیل اینکه تمام کاربران به گوشی‌های هوشمند دسترسی نداشته یا علاقه‌مند به نصب برنامک رمزساز روی گوشی خود نبوده و همچنین تعدادی از بانک‌ها زیرساخت لازم برای راه‌اندازی این طرح را در اختیار نداشتند، الزامی‌شدن آن به تعویق افتاد. بانک مرکزی هم با این هدف که در ارائه رمز دوم یک‌بارمصرف، تسهیل تجربه کاربری فراهم شود، سامانه هدایت رمز یک‌بارمصرف را پیاده‌سازی کرده که تحت عنوان «هریم» برای دریافت پیامکی رمز دوم پویا فعال می‌شود. یک جا قوانین نظام‌های پرداخت است که درست نیست و جای دیگر قوانین جزایی مناسب برای فیشینگ است. اینکه بیاییم و هزینه‌ای را که چندین برابر فیشینگ و تقلب است به شبکه اضافه کنیم که فقط ۱۳۰ میلیارد تومان هزینه پیامک آن است، کار درستی نیست. مسئول این امر شبکه شتاب و شاپرک هستند که حداقل دو هزار میلیارد تومان در سال کارمزد می‌گیرند. وقتی کارمزد می‌گیرند و چنین نسخه‌ای را برای کشور پیچیده‌اند، باید ریسک آن را هم بدهند؛ نه اینکه هزینه مجددی را به سیستم بانکی تحمیل کنیم. عزیزی: این ماهیت تقلب است که شکل و در ایران اما رمز دوم ثابت یکی از عواملی است که باعث افزایش آمار حملات فیشینگ به حساب‌های بانکی افراد می‌شود. شما می‌گویید این طرح به هزینه زیرساخت بانک‌ها فشار وارد می‌کند. هریم هم یک گره اضافه‌تر است و این کار ریسک عملیاتی ما را بالاتر می‌برد. عزیزی: اگر صورت‌های مالی همه بانک‌ها را تحلیل کنیم کاملا مشخص است که بانک‌ها از کجا ضربه می‌خورند. می‌گویند هزینه تقلب چقدر است که بخواهیم برای آن سرمایه‌گذاری کنیم؛ من هم می‌گویم مگر هزینه این طرح به نسبت کل هزینه زیرساخت نظام پرداخت چقدر است؟ جمالی: اینکه نمی‌شود ما خودمان به‌عنوان بانک مرکزی و نظام‌های پرداخت درست طراحی و رگولاتوری نکنیم و ریسک عملیاتی و کسب‌وکار ایجاد کنیم و دوباره برای برطرف‌کردن آن هزینه جدید بتراشیم. عده‌ای اعتقاد دارند هریم می‌تواند کمک کند و اگر زودتر معرفی شده بود، این مسائل مطرح نمی‌شد، اما نکته این است که رمز دوم پویا مسائل زیرساختی دارد و هزینه تحمیل می‌کند. به‌طور کلی به نظر می‌آید در یک فشار این کار در حال انجام است. جمالی: این فشار و موج‌سازی برای رمز پویا مهندسی شده است. این زمان با اجرای طرح رمز دوم پویا به سه یا چهار دقیقه می‌رسد. هزینه پیامک سامانه هریم چه می‌شود؟ این مساله مانند کارمزدی نمی‌شود که برای تراکنش‌ها در نظر گرفته شده بود؟ اینکه چرا طرح رمز دوم پویا مبتنی بر پیامک ایجاد شده، یک موضوع است، بر پیامک بهینه‌تر از آن استفاده کنیم، خود یک جنبه دیگر این قضیه است. امیری: اگر حالا بانک‌ها هریم را به اجبار استفاده می‌کنند، قبل از این می‌توانستند از سامانه پیوند استفاده کنند که خیلی می‌توانست به این مساله کمک کند. دوم اینکه اگر گفته می‌شود ۶۰ میلیون به یکباره از حساب فردی کم شده، انتقاد به خود فرد وارد است، روز اول که ما حساب را باز می‌کنیم همه این سوالات را از ما می‌پرسند که چقدر حق برداشت از حساب و خرید داشته باشید. کاربر وقتی گزینه نامحدود را انتخاب می‌کند، در حقیقت خودش عامل این کار بوده است. بر اساس آمار اعلام‌شده از سوی پلیس فتا، کلاهبرداری فیشینگ و سرقت اطلاعات کارت بانکی برای برداشت غیرمجاز بخش مهمی از کلاهبرداری‌های سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداری‌ها در حال افزایش است. صادقی: درباره الزام استفاده از رمز دوم پویا فشار قوه قضائیه و فشار اجتماعی را نباید فراموش کرد. در خصوص انتقال و برداشت روزانه از حساب‌ها، بانک مرکزی صراحتا سقف تعیین کرده، اما متاسفانه بانک‌ها برای حفظ رضایت مشتری در فضای رقابتی، بدون در نظر گرفتن عواقب، این سقف‌ها را برای تمام مشتریان یا بخش زیادی از مشتریان بالاتر از مبلغ مجاز تعریف کرده‌اند. علت این است که در زمان ایجاد سامانه‌ها یا سازوکارها، برای انجام در دنیا برای همه این موارد استانداردهایی وجود ما مفهومی به نام سیاست‌گذاری داریم؛ وقتی می‌خواهید این کار را در سطح اقتصاد کشور انجام دهید، باید تمام نکات مربوط به ذی‌نفعان را شناسایی، اندازه‌گیری، پیش‌بینی و تحلیل کنید. روزی دو بانک بزرگ کشور کارمزد دارنده کارت و پذیرنده را در تراکنش روی کارت‌خوان صفر کردند و این یک حفره بزرگ در مدل کسب‌وکاری نظام پرداخت ایجاد کرد؛ بنابراین در سیستمی که تعادل آن به‌راحتی به هم می‌خورد، هر بازیگری کار خود را انجام می‌دهد. در نهایت چه کسی مسئول است، جلوی این کار را بگیرد و تنظیم‌گری انجام دهد؟ بانک مرکزی با رویکرد تمرکزگرایی. طبق اعلام پلیس فتا در سال ۱۳۹۷، بین ۲۰ تا ۲۵ هزار پرونده فیشینگ ثبت شده که بخش عمده آنها ریشه در ناآگاهی کاربران داشته است. ما این دور تسلسل باطل را همواره داشته و خواهیم داشت؛ مگر اینکه نقش‌ها در نظام بانکداری و پرداخت درست ایفا شود، مدل کسب‌وکاری ما به‌روز و نقش‌ها درست تعریف و ایفا شود. اگر این کارها را نکنیم، هر کس به‌خاطر منافع کوتاه‌مدت خود که شاید حتی در واقع منافع خودش نباشد، آن را انجام می‌دهد. حافظی‌گل: من با هریم موافق هستم، اما باید ببینیم چند درصد اکوسیستم درگیر کسب‌وکارهای آنلاین است و چقدر تراکنش در کسب‌وکارهای آنلاین داریم. چند درصد تراکنش‌های اینترنتی و کسب‌وکارهای اینترنتی، شبکه پرداخت را گرفته‌اند؟ من چرا با هریم موافقم؟ ما داریم از کسب‌وکارهایی صحبت می‌کنیم که دل نسوزاندند. این کسب‌وکارها زمانی که اینترنت ایران قطع شد، ادعا کردند اینترنت‌شان وصل است و کسب‌وکار و فروش‌شان انجام می‌شود. اگر بحث ما بحث فضای مجازی است، باید این نکته را بگویم که ما یک درصد کل دنیا در کسب‌وکارهای مجازی هستیم. باید به این فکر کنیم که دو سال دیگر به سمت چهار و پنج درصد می‌رویم، پس بگذاریم بستر از جایی مطمئن، پیاده‌سازی شود. دنیا این کار را روی پیامک پیاده‌سازی کرده است. هریم مشکل دارد، اما پیاده‌سازی هریم بهتر از این است که بوروکراسی ضابط قضایی بر ما حاکم شود. یک مورد بیاورید که بانک‌ها هزینه فیشینگ را پرداخت کرده باشند. ضابط قضایی زورش به مردم نرسیده، اما تا به اینجا هیچ بانکی هزینه‌ای بابت فیشینگ پرداخت نکرده است. این مساله بلاتکلیف است و حتی نمی‌داند باید چه کار کند. اولین حمله فیشینگ حدود ۲۰ سال پیش انجام شد و همچنان این روش یکی از پرطرفدارترین راه‌های کلاهبرداری اینترنتی در دنیاست. بازار ایجاد شود، یکی کارمزد است و دیگری قوانین درست حاکم بر نظام‌های پرداخت. و برای تراکنش ۱۰۰ تومانی هم ۷۰ تومان کارمزد به بانک‌ها تحمیل می‌کنیم. آجدانی: این یعنی باز هم باید بانک آجدانی: برای اجرای طرح رمز دوم امنیت خود این کار را انجام دهند. این مساله باید اختیاری شود و هزینه جدیدی هم به عزیزی: بدیلی برای این کار دارید؟ تا شما بخواهید این کار را انجام دهید، فیشینگ رشد می‌کند. هریم در این شرایط کمک می‌کند؛ ضمن اینکه هر سازوکاری می‌خواستید بگذارید تا رمز یک‌بارمصرف را بانک‌ها بگذارند، باید سوئیچ‌ها تغییر می‌کرد و هزینه توسعه را هم لحاظ می‌کردید. آیا در ایران این کار نباید توسط شاپرک انجام می‌شد که کارمزد را دریافت می‌کند؟ کدام‌یک کارمزد را پرداخت می‌کنند؟ از نظر من هزینه پیامک باید بین ذی‌نفعان تقسیم این صفحه به وب‌سرویس هریم وصل می‌شود و وب‌سرویس، آن را به بانک صادرکننده کارت می‌فرستد و بانک قبل از سوئیچ پردازش می‌کند، پیامکی تولید می‌کند و بانک از سرشماره خود آن را برای دارنده کارت می‌فرستد. صنعت پرداخت بهترین دام برای فیشینگ است. بهترین زمان بود برای اینکه پرداخت کارمزد انجام شود. کارمزد پرداخت کند، کار خوبی است، اما در فضای فعلی بانک‌ها در کر و سوئیچ نمی‌توانند جمالی: در سوئیچ شاپرک این کار را می‌کردند تا حداقل کارمزدی که می‌گیرند حلال شود. عزیزی: تحلیل رفتاری کار خیلی خوبی است و در کشف تقلب بسیار کمک می‌کند. اینکه چرا این کار انجام نمی‌شود شاپرک و بانک مرکزی دارند، این کارها را به بانک‌ها تحمیل کرده‌اند. کاربر بابت بیمه کارت بگیرند و اگر کاربر این کار را نکرد، مسئولیتی گردن بانک صادقی: اما این کار مساله را حل این کار را کرده، پس مسئول امنیت آن خودش است. مشکل ما این است که برای اگر هریم باید از طریق آنها انجام شود و خودش کارمزد تحمیل شود و کسانی که کارمزد می‌گیرند باید ریسک را هم پرداخت کنند. عزیزی: امیدوارم روزی به این نتیجه برسیم که سیاست‌گذاری را با همه ذی‌نفعان در نظام‌های پرداخت انجام دهیم و نگاه‌مان به مدل کسب‌وکار بانکداری خرد و نظام‌های پرداخت، نگاه منصفانه‌تری شود.

متن کامل خبر در سایت راه پرداخت

    منبع خبر

    راه پرداخت

    راه پرداخت

    رسانه فینتک ایران

      نظرات