معضل شماره تماس مشتریان برای تولد رمز یکبار مصرف و کشتن غول فیشینگ

24 خرداد 1401

به گزارش بانک اول به نقل از عصر بانک این روزها اگر یک ایرانی مورد حمله فیشینگ قرار نگرفته باشد، حتماً کلمه فیشینگ به گوش‌اش خورده است، حتی اگر از معنی و مفهوم آن آگاهی نداشته باشد.

فیشینگ به معنای هر تلاش کلاهبردارانه برای فریب کاربری است تا اطلاعات شخصی او در اختیار کلاهبردار قرار بگیرد. به این تلاش یک حمله فیشینگ گفته می‌شود.

یکی از روش‌های فیشینگ ایجاد یک صفحه درگاه پرداختی جعلی، کاملاً مشابه با درگاه پرداخت اصلی است به صورتی که کاربر در صورت عدم آشنایی با موارد امنیتی مثل آدرس سایت اصلی درگاه پرداخت در دام آن صفحه جعلی می‌افتد و بعد از چند دقیقه یا چند ساعت کل حساب‌اش را خالی می‌بیند.

در فیشینگ فقط مبلغ تراکنش از حساب دزدیده نمی‌شود، بلکه کلاهبردار به دنبال بدست آوردن‌ همه اطلاعات کارت و مشخصه های امنیتی آن (یعنی شماره کارت، شماره CVV2، تاریخ انقضای کارت و رمز دوم) است و کاربر ناخواسته کل اطلاعات کارت را در اختیار کلاهبردار اینترنتی قرار می‌دهد و فرد کلاهبردار می‌تواند بر اساس سقف تراکنش‌های اینترنتی، کل موجودی حساب مشتری را خالی کند.

به گفته رئیس پلیس فتای نیروی انتظامی ضریب نفوذ اینترنتی بالای ۸۹ درصد است و بیش از ۷۳ میلیون نفر از هموطنان کاربر اینترنت هستند. این در حالی است که بر اساس آمار بیش از ۶۰ درصد جرائم سایبری مربوط به برداشت غیرمجاز اینترنتی و همچنین کلاهبرداری اینترنتی است.

60 درصد، نسبت بسیار بزرگی در کلاهبرداری اینترنتی است که هر روز بزرگتر هم می‌شود و نشان از یک مشکل بزرگ در امنیت تراکنش‌های مالی دارد. مشکلی به نام عدم وجود رمز یک بار مصرف یا همان OTP که در همه سیسستم‌های بانکی و مالی دنیا از سال‌های قبل راه اندازی شده است.

با عملیاتی شدن رمز یکبارمصرف، کاربران برای هر خرید اینترنتی یا تراکنش‌های موبایل بانک و اینترنت بانک بدون حضور کارت، علاوه بر ورود اطلاعات کارت، مجبور به وارد کردن یک رمز یک دقیقه ای منحصربه فرد می‌شوند که فقط در یک تراکنش ارزش دارد و بر این اساس کل معضل فیشینگ و زیان‌های میلیاردی مردم از بین می‌رود.

چرا رمزیکبار مصرف بانکی عملیاتی نشده است؟

بانک مرکزی، اول خرداد ۹۸ را تاریخ شروع طرح رمزهای دوم یک‌بار مصرف قرار داد تا رمزهای ایستا با رمزهای پویا جایگزین شود اما با رسیدن به زمان موعود بانک مرکزی، اجباری‌شدن رمزدوم پویا به تعویق افتاد، چراکه شرکت اپل برخی اپلیکیشن‌های ایرانی را حذف کرد و با توجه به اینکه بخشی از مردم ایران از گوشی آیفون استفاده می‌کنند، این احتمال می‌رفت که با اجباری شدن رمز دوم پویا، پس از مدتی این اپلیکیشن‌های بانکی حذف شده و برای مردم مشکل ایجاد شود. همچنین مشکل بعدی عدم دسترسی به گوشی‌های هوشمند است. بسیاری از مردم گوشی‌های هوشمند ندارند و این موضوع نیز استفاده فراگیر از خدمات رمزیکبار مصرف را پیچیده‌تر می‌کند.

رمز یکبار مصرف پیامکی جایگزین استفاده از اپلیکیشن

از خردادماه که رمزیکبار مصرف در برخی بانک‌های کشور عملیاتی شده است، فرایند دریافت این خدمت، از طرق مختلف مثل شعب بانکی، خوپرداز، موبایل بانک، اینترنت بانک و اپلیکیشن‌های رمزساز بوده است که بعضی از این راه‌ها پیچیده و برای عموم مشتریان بانکی غیرقابل دسترس است.

اما راه حل ساده چیست؟ راه حل، ارسال پیامکی رمز یکبار مصرف برای هر تراکنش و برای هر گوشی هوشمند و غیرهوشمندی است. از این طریق هر مشتری بانک یا کاربر خرید اینترنتی برای انجام هر تراکنش بدون حضور کارت، علاوه بر ورود اطلاعات حساب، بر اساس شماره تماس تلفن همراهی که در پروفایل مشتری بانک ثبت کرده است، یک پیامک دریافت می‌کند که ورود آن پیامک برای تکمیل فرایند تراکنش، لازم و اجباری است.

ولی باز یک مشکل دیگر وجود دارد. بر اساس بعضی اخبار و آمار بیش از 50 درصد اطلاعات شماره تماس مشتریان که در اختیار بانک‌ها است، معتبر نیست! از سوی دیگر بانک مرکزی به بانک‌ها مجوز داده که در صورتی که بانک بتواند راه‌حل مطمئن دیگری را اجرایی کند که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد که یکی از این راهکار‌ها احراز هویت از طریق تطابق کد ملی و شماره تلفن همراه مشتری توسط سامانه شاهکار است. البته در این مورد نیز بابت استعلام شاهکار باید هزینه ای پرداخت شود که هزینه بالا مانعی بر سر راه این اقدام بود.

در انتها پیشنهاد می‌شود، بانک مرکزی اولاً در بازه زمانی معین، مشتریان بانکی را برای دریافت رمزیکبار مصرف پیامکی به عنوان یک عامل اصلی تراکنش بدون کارت، وادار به اصلاح شماره تماس کند که البته این کار احتمالاً موجب ترافیک کاری شعب بانکی می‌شود. ولی اهمیت امنیت تراکنش‌ها و کشتن غول فیشینگ برای همیشه، مهمتر از اختلال چند روز در خدمت دهی شعب بانکی است.

دوماً بعد از تعیین بازه زمانی برای اصلاح شماره تماس مشتریان برای دریافت پیامک بانکی، همه بانک‌ها از یک تاریخ معین و بصورت همزمان، رمز یکبار مصرف پیامکی را عملیاتی کنند تا در رقابت بانک‌ها، چند بانک که رمزیکبار مصرف بانکی را اجباری می‌کنند، قربانی عدم اجرای این روش در چند بانک دیگر نشوند.