به گزارش بانک اول از اوایل تابستان سال گذشته به دلیل افزایش فیشینگ در کشور بحث بهرهگیری از رمز دوم پویا (یکبارمصرف) و حذف رمز دوم ایستا در کشور مطرح شد. در طرح اولیه قرار بود بانکها زیرساخت لازم برای تولید رمز دوم یکبارمصرف در قالب اپلیکیشن را فراهم کنند و بهرهگیری از رمز دوم یکبارمصرف از اول خردادماه سال ۹۸ اجباری شود؛ اما به دلیل اینکه تمام کاربران به گوشیهای هوشمند دسترسی نداشته یا علاقهمند به نصب برنامک رمز ساز روی گوشی خود نبوده و همچنین تعدادی از بانکها زیرساخت لازم برای راهاندازی این طرح را در اختیار نداشتند الزامی شدن آن به تعویق افتاد و اختیاری شد.
بر اساس این گزارش، با توجه به ادامه روند افزایش چشمگیر فیشینگ و حجم بالای تخلفات ناشی از سرقت اطلاعات کارتبانکی و خالی کردن حسابهای مردم بانک مرکزی با رصد تجربههای جهانی در این بخش و همچنین توجه به دسترسیپذیری خدمت رمز دوم یکبارمصرف برای تمام کاربران و با هدف تسهیل تجربه کاربری در این طرح، الزامات جدید رمز دوم پویا را ابلاغ و سامانه هریم را برای هدایت رمز دوم یکبارمصرف در قالب پیامک راهاندازی کرد.
تمام بانکهای کشور بعد از اتصال به سامانه هریم بانک مرکزی میتوانند درخواست رمز دوم یکبارمصرف مشتریان خود را دریافت و پاسخ را در قالب پیامک به مشتریان خود ارائه دهند که از این مسیر افرادی که فاقد گوشی هوشمند هستند و همچنین افرادی که میلی به نصب چندین اپلیکیشن برای پرداختهای غیرحضوری خود ندارند، میتوانند از رمز دوم یکبارمصرف (پویا) بهرهبرداری کنند.
تجهیز تمام درگاه های پرداخت بدون حضور کارت به آیکون درخواست صدور رمز یکبار مصرف پویا در قالب پیامک
افزون بر این، در الزامات جدید بانک مرکزی بهمنظور پوشش تمام آحاد جامعه برای استفاده از رمز دوم یکبارمصرف دست بانکها برای راهاندازی این خدمت از کانالهای مختلف ازجمله تلفن گویا، پست الکترونیکی، پیامک، کانال USSD و اپلیکیشن های رمز ساز باز گذاشتهشده است؛ البته کارشناسان معتقدند با توجه به راهاندازی سامانه هریم بانک مرکزی دریافت رمز از کانال پیامک منجر به تسهیل تجربه کاربری میشود؛ زیرا با تمهیداتی که بانک مرکزی اندیشیده بعد از اتصال کامل تمام بانکها به سامانه هریم تمام درگاههای پرداخت غیرحضوری به آیکون و دکمهای مجهز خواهند شد که کاربر بعد از فشردن آن رمز یکبارمصرف خود را در قالب پیامک دریافت میکند که این روند تجربه کاربری در اجرای این طرح را بسیار تسهیل کرده است.
تسهیل شناسایی درگاه های پرداخت جعلی با تجهیز آن به آیکون درخواست رمز یکبار مصرف در قالب پیامک
همچنین با راهاندازی سامانه هریم شناسایی سایتهای جعلی تسهیل میشود؛ زیرا در این روند هر درگاه پرداختی که به آیکونی برای درخواست ارسال رمز یکبار مصرف واقعی مجهز باشد قطعاً صفحه پرداخت اصلی بوده و صفحات پرداخت جعلی اصولاً امکان دسترسی به سامانه هریم را ندارند. البته اگر یک درگاه پرداخت غیرحضوری جعلی نیز آیکون هریم بانک مرکزی را شبیهسازی کند هنگامیکه کاربر با فشردن آن آیکون و دکمه رمز یکبارمصرف خود را دریافت نکند، امکان سوءاستفاده توسط درگاه جعلی منتفی است.
کارشناسان معتقدند، یکی از بحثهایی که در خصوص امنیت ارسال رمز دوم یکبارمصرف در قالب پیامک عنوان میشود این است که در الزامات بانک مرکزی به بانکها توصیهشده رمز یکبارمصرف را به کد پذیرنده و مبلغ تراکنش لینک کنند تا رمز یکبارمصرفی که بدین شکل و بهصورت پوبا تولید میشود تنها برای یک مبلغ و استفاده از یک پذیرنده خاص کاربرد داشته باشد تا در صورت هک قابلاستفاده در بقیه موارد نباشد که نکته درستی است و حسب شنیدهها بانک مرکزی هم قصد دارد بعد از اجرای اولیه این طرح در گام دوم این مهم را برای تمام بانکها الزام کند؛ اما آنچه در اجرای اولیه بسیار مهم است و برخی منتقدان بدون توجه به این موضوع طرح را نقد کردهاند این است که تغییر رقم تراکنش در ارسال رمز پویا از کانال پیامک تنها در صورتی رخ میدهد که درگاه پرداخت جعلی باشد؛ درصورتیکه با توجه به توضیحات قبلی در این یادداشت، با راهاندازی سامانه هریم بعد از اجرای این طرح تمام درگاههای پرداخت غیرحضوری اصلی به آیکون درخواست رمز دوم یکبارمصرف مجهز میشوند و درصورتیکه صفحه پرداخت واقعی نباشد این آیکون کار نمیکند و کاربران متوجه خواهند شد که در یک سایت جعلی قرار دارند و در سایت اصلی نیز اگر مبلغ تراکنش تغییر کند این اشتباه متوجه بانک و یا ارائهدهنده خدمت پرداخت است و بهراحتی قابلپیگیری و بازگشت وجه را در پی دارد و بهمثابه فیشینگ نیست؛ ازاینرو در همین مقطع نیز با راهاندازی سامانه هریم و افزوده شدن آیکون درخواست ارسال رمز یکبارمصرف شناسایی درگاههای جعلی بسیار آسانتر از قبل شده است.
در گام بعدی بانک مرکزی لینک کردن کد پذیرنده و مبلغ هر تراکنش به رمز دوم پویا را برای بانک ها الزامی می کند
افزون بر این، البته این امر بانک مرکزی را از الزام لینک کردن کد پذیرنده و مبلغ هر تراکنش به رمز یکبارمصرف و ایجاد رمز پویا در گامی بعدی بازنمیدارد؛ اما در شرایط حساس فعلی اجرای این طرح جلوی بسیاری از فیشینگ ها و سرقت اطلاعات بانکی را گرفته و در مرحله بعد با تکمیلتر شدن این روند شاهد کاهش شدید فیشینگ و سرقت اطلاعات کارتهای بانکی خواهیم بود. در انتها یادآوری میشود افرادی که از برنامک رمز ساز استفاده میکنند نیازی به فشردن کلید دریافت رمز یکبارمصرف نخواهند داشت و مستقیماً میتوانند رمز دریافتی از برنامک خود را وارد کرده و تراکنش را انجام دهند. در این حالت کاربران باید مراقبت کنند که به دام صفحات پرداخت جعلی نیفتند چرا که رمز مزبور طی طول عمر ۱۲۰ ثانیهای خود ممکن یکبار مورد سوءاستفاده قرار گیرد./ایبنا
پست قبلی
پست بعدی
دیدگاه خود را با ما در میان بگذارید