این بخشنامه یکی از مهمترین اقدامات قانونی برای افزایش ضریب امنیتی حسابهای کاربران در تراکنشهای غیرحضوری بانکی در سالهای اخیر است آنهم در شرایطی که با توسعه شبکه کارتی کشور میزان کلاهبرداری از کارتهای بانکی هم کاربران رشد قابلتوجهی داشته است.
در این بخشنامه آمده است از تاریخ اول تیر ۹۸ بانکها ضرورتا ملزم به استفاده از رمزهای پویا بوده و هرگونه استفاده از رمزهای دوم ایستا ممنوع اعلام و ادامه بهکارگیری رمز دوم ایستا از مصادیق آسیبپذیری امنیتی خدمات بانکی محسوب شده و هرگونه سوءاستفاده از حسابهای مشتریان بهدلیل آسیبپذیریهای امنیتی (ناشی از عدم اجرای الزمات رمزهای پویا) در سرویسهای بانکی مستقیما به عهده بانک بوده و تایید مرجع قضایی (دادسرا) برای جبران خسارت مشتریان کفایت میکند. براساس این بخشنامه در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا به لحاظ عدم رعایت بخشنامه بانک مرکزی وعدم رفع آسیبپذیری امنیتی، دستور پرداخت خسارت بزهدیده صادر و از طریق سامانه کاشف به بانک متخلف ابلاغ شود.
با چنین اقدامی احتمالا الزام بانکها به ترویج رمز یکبار مصرف سرعت خواهد گرفت. این باعث افزایش ضریب امنیتی حساب کاربران میشود.
رشد جرائم بانکی ناشی از مدل بانکداری الکترونیکی
با توجه به مدل توسعه بانکداری الکترونیکی در کشور و فراگیر شدن کارتها و رشد شبکه پرداخت جرایم مربوط به این حوزه نیز با شکل و انواع متنوع رو به رشد است. در نبود یا فراگیرنشدن سرویسهای پرداخت واسطی چون Paypal عمده تمرکز شبکه بانکی در حوزه بانکداری الکترونیکی در ایران بر توسعه خدمات کارت انجام گرفته است از سوی دیگر وجود سیستم پرداخت آنی این فرصت را برای کلاهبرداری از اطلاعات بانکی افراد به شکل گستردهای فراهم کرده است. مقامات انتظامی در برخی استانها برداشت غیرمجاز از حساب افراد را بیشترین تعداد جرائم مجازی در سال ۹۷ اعلام کردهاند. این وضعیت در سال ۹۸ هم تشدید شده بهطوریکه فرمانده انتظامی تهران بزرگ اوایل امسال در یک نشست خبری گفت در نوروز ۹۸ شاهد افزایش ۹۰ درصدی جرائم در فضای مجازی بودیم که برداشت غیرمجاز اینترنتی از حساب بانکی در صدر آنها قرار داشت.
رئیس پلیس فتا نیز در فروردین امسال اعلام کرد ۵۰ درصد جرائم اینترنتی مربوط به برداشتهای اینترنتی و کلاهبرداریهای اینترنتی است.
هرچند جرائم رایانهای با توسعه تکنولوژی رشد قابلتوجهی در جهان پیدا کرده و مختص یک کشور نیست اما مدل خاص توسعه بانکداری الکترونیکی در ایران باعث شده مسیر کلاهبرداری و برداشت غیرمجاز سادهباشد. علی نیکبین یک کارشناس بانکداری الکترونیکی در گفتوگو با «دنیایاقتصاد» میگوید: مسیر رشد شبکه بانکی بر توسعه کارت نقدی و عمده فرهنگ بانکی قالب بر پرداخت آنی بنا شده و همین باعث شده شاهد اوج گرفتن تقلب و کلاهبرداری در این عرصه باشیم. از کلاهبرداریهایی که اخیرا تحت عنوان برنده شدن در مسابقات از افراد جامعه انجام میگیرد گرفته تا مدلهای پیشرفتهتری مثل استفاده از صفحات جعلی بانکی یا دستگاههای کپیکننده اطلاعات کارت که باعث ایجاد پروندههای قضایی متعددی شده است.
نیکبین میگوید: نبود فرهنگ بانکی اعتباری باعث شده دربسیاری اوقات پول از دست رفته از حساب فرد بزه دیده دیگر برگشتپذیر نباشد در حالی که در سیستمهای بانکی بسیاری از کشورها پرداخت آنی انجام نمیگیرد به همین دلیل فرصت بیشتری برای تحلیل و اطمینان از صحت تراکنش انجام گرفته وجود دارد. در کنار این اشکالات ساختاری شاهد فقدان تامینهای امنیتی لازم برای امن کردن فضای تبادل مالی هم هستیم. رمزهای عبور ثابت یکی از نقاط اصلی نفوذ کلاهبرداران اینترنتی به حسابهای کاربران است. نیکبین معتقد است: تفاوت جرائم رایانهای در جهان و ایران در همین موضوع است که در مسیرهای تخلف اینترنتی در جهان پیچیده و مبتنیبر بهکارگیری دانش و تجهیزات خاصی است که در اختیار افراد زیادی قرار ندارد اما در ایران بهدلیل نبود شرایط عمومی امن حتی کلاهبرداران با دانش عمومی و بسیار پایین اقدام به کلاهبرداریهای سنگین کردهاند. نمونه آن را یکی دو سال قبل دیدیم در پروندهای که کلاهبردارانی از داخل زندان قربانیان را به طمع گرفتن جایزه وادار به دادن رمز کارت میکردند و سپس حساب آنها را خالی میکردند.
پویش رمز یکبار مصرف
رمز یکبار مصرف قرار است مسیر دسترسی کلاهبرداران را به حساب اشخاص بسیار سخت کند هرچند احتمال آن را از بین نمیبرد اما در صورت استفاده از این روش بخش عمده کاربران در برابر سطح گستردهای از خطرات ناشی از لو رفتن رمز عبور و اطلاعات کارت بیمه میشوند. از این رو مقررات گذار شبکه بانکی بحث الزام بانکها به راهاندازی این مسیر را از سال گذشته دنبال کرده و بانکها را ملزم کرده که زیرساخت لازم برای فعال شدن آن را فراهم کنند. راهاندازی این فرآیند در بانکها ساده نبوده و حتی یکبار در خرداد امسال افتتاح این جریان به تعویق افتاد اما طی ماههای اخیر سرانجام اغلب بانکها رمز یکبار مصرف را فعال کردهاند. رمز یکبار مصرف یا OTP یک رمز متغیر است که هربار هنگام استفاده از کارت یا خرید اینترنتی با بازکردن اپلیکیشن مخصوص آن را دریافت و از آن استفاده میکنید. این رمز پس از یکبار استفاده منقضی میشود و برای استفاده مجدد کارت باید دوباره اپلیکیشن بانکی تولید رمز را باز کرده و رمز جدیدی از آن دریافت کنید.
مزیتهای استفاده از رمز یکبار مصرف کم نیست یکی از اصلیترین مزایای آن این است که امکان سوءاستفاده از رمز کارت یا رمز دوم کارت کم میشود. سارقان و کلاهبرداران معمولا با شگردهای مختلف با به دست آوردن رمز دوم از طریق مهندسی اجتماعی یا برخی دستگاههای پوز تقلبی (کپیکننده کارت) یا دستکاری در خودپردازها از حساب افراد برداشت غیرمجاز انجام میدهند. در صورت استفاده فرد از رمز یکبار مصرف حتی در صورت لو رفتن رمز یا اطلاعات کارت یا کپی از کارت برداشت از حساب کاربر انجام نخواهد گرفت؛ چراکه رمز دوم فقط توسط اپلیکیشن روی موبایل کاربر تولید میشود. یک نکته درباره فعالسازی رمز یکبار مصرف بانکی این است که در برخی موارد برای استفاده از آن نیاز به اینترنت وجود ندارد و تنها با بازکردن اپلیکیشن مورد نظر که دارای توکن مشترک با سیستم رمز بانکی است، صورت میگیرد. رمز یکبار مصرف در جهان تکنولوژی جدیدی نیست و سالهاست برخی گجتهای سخت افزاری تولید رمز یکبار مصرف OTP Token عمدتا برای مشتریان حقوقی مورد استفاده قرار میگرفت. حالا اما اپلیکیشنهای تولید رمز این کار را انجام میدهند.