رمزهای پویا، ضروری و زمان بر در مقابله با جرایم اینترنتی

به گزارش خبرنگار اقتصادی ایرنا، بانك مركزی ابتدای شهریورماه امسال «الزامات رمزهای پویا در تراكنش های مبتنی بر كارت های بانكی» را به شبكه بانكی كشور ابلاغ و دو بازه زمانی برای اجرای آن در نظر گرفت.
براساس این بخشنامه، از ابتدای آذرماه امسال مسئولیت جبران خسارت مال باختگان ناشی از هك شدن كارت یا كلاهبرداری اینترنتی به بانك یا موسسه اعتباری منتقل شده است اما در عین حال بانك ها می توانند همزمان خدمات خود را با استفاده از رمز دوم پویا و ایستا به مشتریان ارایه كنند.
در بازه زمانی دوم كه ابتدای خردادماه سال آینده در نظر گرفته شده است، دیگر امكان ارایه خدمات بانكی با استفاده از رمزهای ایستا و ثابت از بین می رود و همه تراكنش های مشتریان باید براساس رمزهای پویا باشد.
دلیل اصلی تهیه و ابلاغ این بخشنامه كاهش كلاهبرداری های اینترنتی، هك شدن كارت های بانكی مشتریان است كه به گفته سردار سید كمال هادیان فر رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا) برداشت های غیرمجاز از حساب های بانكی در صدر جرایم سایبری كشور قرار دارند.
به گفته وی، برداشت های غیر مجاز از حساب بانكی افراد در سال 96 نسبت به سال 95 بیش از 61 درصد افزایش داشته است.
اهمیت این كار زمانی كه بدانیم بیش از 400 میلیون كارت بانكی در كشور وجود دارد و به طور متوسط هر شهروند صاحب پنج كارت بانكی است، بیشتر می شود زیرا اغلب هموطنان رمز ثابتی را برای همه كارت های بانكی خود در نظر می گیرند كه می تواند محملی برای سودجویان و كلاهبرداران باشد.

** رمز پویا چیست
براساس بخشنامه بانك مركزی، رمز پویا به رمز اول یا دوم كارت گفته می شود كه متغیر بوده و پذیرش آن توسط مؤسسه اعتباری در خدمات بانكداری و پرداخت الكترونیكی مبتنی بر كارت در یك بازه زمانی مشخص، تنها یكبار صورت پذیرد.
البته برخی از بانك ها نظیر سامان، ملت و پاسارگاد از سال های گذشته استفاده از رمزهای پویا را برای مشتریان خود آغاز كرده بودند اما این روش الزام قانونی نداشت اما با بخشنامه اخیر اداره نظام های پرداخت بانك مركزی، اكنون همه بانكها و موسسه های اعتباری ملزم هستند كه این شیوه را اجرا و برای فرهنگسازی میان مشتریان خود بكوشند.
پیگیری خبرنگار ایرنا از بانك های كشور نشان می دهد بسیاری از بانك ها به دلیل آنكه طی بیش از دو دهه پیش در زیرساخت های بانكداری الكترونیك سرمایه گذاری كرده اند، امكان اجرای رمزهای پویا و یكبار مصرف را دارند اما اجرای آن زمان بر است.
پس از ابلاغ بخشنامه اخیر بانك مركزی، بانك ملی ایران اعلام كرد كه زیرساخت های این كار را فراهم كرده است و مشتریان می توانند با استفاده از سامانه طراحی شده، رمزهای یكبار مصرف تهیه كنند.
«محمدرضا جمشیدی» دبیركل كانون بانك های خصوصی و موسسه های اعتباری در گفت و گو با ایرنا با تایید اینكه بسیاری از بانك ها هنوز آمادگی اجرای این بخشنامه را در مدت كوتاه تعیین شده تا ابتدای خرداد سال آینده ندارند، اظهار داشت: در گذشته برخی بانك ها رمزهای پویا را برای مشتریان خود اجرایی كردند هرچند الزامی در كار نبود و برای امنیت بیشتر به صاحبان كارت می گفتند كه بهتر است از رمزهای دو یا چند عاملی استفاده كند.
وی افزود: بخشنامه اخیر بانك مركزی یك الزام برای شبكه بانكی ایجاد كرده كه هرچند هدف اصلی آن مقابله با كلاهبرداری اینترنتی است اما می توان در كنار آن مباحثی چون مبارزه با پولشویی، احراز هویت صاحبان حساب و رصد تراكنش های بانكی را نیز پیگیری كرد.
جمشیدی گفت: از ابتدای آذرماه مسئولیت جبران خسارت ناشی از هك كارت های بانكی توسط كلاهبرداران برعهده بانك ها نهاده شده است در حالی كه بانك ها درخواست دارند مهلت بیشتری به آنها داده شود.
وی افزود: درصددیم در نامه ای به بانك مركزی مهلت بیشتری برای بانك ها بگیریم تا بتوان با موفقیت این طرح را اجرا كرد.
این مدیر بانكی با اعلام اینكه برخی بانك ها از دستگاه های او.تی.پی (OTP) برای تولید رمز پویا استفاده می كنند، اظهار داشت: اگر بانك ها بخواهند با این شیوه رمز پویا برای مشتریان تولید كنند، مستلزم هزینه برای بانك و مشتری است و شاید حتی نیاز باشد این دستگاه ها از خارج از كشور تهیه شود.
وی افزود: البته در سند الزامات استفاده از رمز پویا روش های دیگری چون تلفن همراه نیز برای ارسال رمز پویا در نظر گرفته شده اما در این سند گفته شده كه بانك تنها زمانی می تواند از شماره تلفن همراه به عنوان یكی از عوامل احراز هویت استفاده كند كه از تطابق اطلاعات مالك تلفن همراه با اطلاعات دارنده كارت اطمینان یابد.
جمشیدی گفت: هیچ سامانه ای برای تطبیق اطلاعات مالك شماره تلفن همراه و دارنده كارت بانكی نداریم و این كار امری زمان بر است.

** تایید انتقال و رمزهای پویا در اغلب بانك های دنیا اجرا می شود
«مرتضی تبریزی» مدیر امور فناوری اطلاعات بانك ملت درباره ویژگی های این كار به خبرنگار ایرنا گفت: در سال های گذشته بانك ها با معضل سایت های جعلی مشابه تارنمای خود مواجه بودند كه كلاهبرداران با هدف «فیشینگ» طراحی كرده و با این كار شماره كاربری و رمز عبور فرد را سرقت می كردند.
وی افزود: افزایش فیشینگ برخی بانك ها را بر آن داشت تا مشكل را از طریق دستگاه های او.تی.پی یا تولیدكننده رمزهای پویا حل كنند؛ این كار بویژه برای حواله های اینترنتی با مبالغ بزرگ بسیار كاربردی بود.
این كارشناس بانكداری الكترونیك با اعلام اینكه بخشنامه بانك مركزی بر ایمن سازی پرداخت های اینترنتی تاكید دارد، گفت: با توجه به اینكه امروزه همه بانك ها به ابزارهای نوین پرداخت بویژه بانكداری تحت تلفن همراه مجهز شده اند، می توانند رمزهای پویا را اجرایی كنند.
تبریزی تاكید كرد: نیازی نیست رمز دوم و یكبار مصرف حتما با دستگاه او.تی.پی برای مشتری تولید شود زیرا این كار برای بانك و مشتری هزینه دارد؛ می توان از طریق اپلیكیشن موبایل بانك برای فرد پیامك كرد.
وی با بیان اینكه در بانك ملت روزانه بیش از 15 میلییون تراكنش بانكی انجام می شود، اظهار داشت: توسعه تجارت الكترونیك در كشور كه سبب شده حتی از طریق پیام رسان های داخلی و خارجی افراد به معامله كالا و خدمات بپردازند، توسعه زیرساخت های امن برای پرداخت های ایمن را اجتناب ناپذیر كرده است.
مدیر امور فناوری اطلاعات بانك ملت تاكید كرد: در اجرای رمزهای پویا باید به گونه ای عمل كرد كه هم كار برای كاربران عادی سخت نشود و هم روش امن باشد.
تبریزی یادآور شد: تایید پرداخت و استفاده از رمزهای یكبار مصرف از روش های مرسوم بانك ها در اغلب كشورهای جهان است و حتی برخی بانك ها برای تایید انتقال پول به صاحب حساب رایانامه ارسال می كنند تا در صورت تایید مشتری، انجام شود.

** سوءاستفاده از كارت های بانكی به صفر می رسد
«مجید خادم الحسینی» كارشناس ارشد بانكداری الكترونیك یكی از بانك های خصوصی نیز در گفت و گو با خبرنگار اقتصادی ایرنا درباره اهمیت این بخشنامه اظهار داشت: در دنیای امروز سودجویان به راحتی می توانند با استفاده از شگردهای اطلاعاتی رمزهای ایستای كارت های بانكی را استخراج كنند و با استفاده از دستگاه های خودپرداز، پایانه های فروشگاهی و حتی صفحات اینترنتی برداشت غیرمجاز انجام دهند.
وی افزود: مشكل اینجاست كه اغلب افراد رمز ثابت یكسانی را برای چندین حساب خود در نظر می گیرند كه كار كلاهبرداران را آسان تر می كند.
خادم الحسینی اظهار داشت: در دستورالعمل بانك مركزی سه عامل «دانستنی، داشتنی و ویژگی ذاتی» برای احراز هویت اشخاص در نظر گرفته شده كه برای داشتن رمزهای پویا باید در كنار عامل دانستنی، از عوامل داشتنی و یا ذاتی نیز استفاده كرد تا احتمال هك شدن افراد كاهش یابد.
این كارشناس حوزه بانكداری الكترونیك افزود: در صورتی كه فرد از رمز پویا استفاده كند، احتمال هك شدن كارت وی به صفر می رسد مگر اینكه خود فرد با بی توجهی اطلاعات خود را نزد دیگران افشا كند یا در دسترس دیگران قرار دهد.
خادم الحسینی اظهار داشت: رمز پویا فقط برای 60 ثانیه كاربرد دارد و پس از آن دیگر قابل استفاده نیست و فرد باید برای هر تراكنش و اقدامی رمز جدید بگیرد كه همین كار سبب می شود دیگران نتوانند به راحتی به حساب فرد دسترسی یابند.
وی درباره اینكه آیا برای فعال شدن رمز پویا نیاز است كه هرمشتری به دستگاه تولید رمز (OTP) مجهز باشد، اظهار داشت: در سند ابلاغی بانك مركزی روش های متنوعی دیده شده كه یكی از آنها دستگاه او. تی. پی است و می توان با ابزارهایی چون نرم افزارهای موبایل این رمزها را در اختیار مشتری قرار داد.
به گزارش ایرنا، آمار شركت شبكه الكترونیكی پرداخت كارت (شاپرك) در شهریورماه امسال بیانگر آن است كه بیش از 244 هزار و 800 میلیارد تومان از نقدینگی كشور با استفاده از نظام های پرداخت و با انجام بیش از یك میلیارد و 842 میلیون تراكنش جابجا شد.
سهم ابزارهای پرداخت اینترنتی از این رقم 5.12 درصد، تلفن همراه 6.12 درصد و كارتخوان های فروشگاهی 88.76 درصد بوده است.
با توجه به اینكه پایانه های فروشگاهی سهم عمده ای از این تراكنش ها را در اختیار داشته و اغلب با رمزهای اول كارت ها سر كار دارند، اعمال رمزهای پویا در این بخش نیز ضروری است. از این رو در سند ابلاغی بانك مركزی به بانك ها توصیه شده است كه درخصوص تراكنش های «با مخاطره زیاد» در خدماتی كه از «رمز اول» كارت های بانكی استفاده می كنند، از رمز پویا با مشخصات مندرج در این سند، به جای رمز اول استفاده كند.
اقتصام*2025 ** 2023