بخش دوم میزگرد

ایرانی: بانک‌ها می‌توانند با بهره‌گیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخش‌هایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابل‌کنترل است؟

آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه می‌شود از بررسی حملات، ارائه آموزش و پیاده‌سازی الزامات نظارتی در درگاه‌های پرداخت متفاوت است. در دنیا برای کنترل این معضل تمرکز به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاه‌ترین زمان ممکن است. گوگل سرویسی با عنوان safe browsing دارد که صفحات جعلی را شناسایی و محدود می‌کند و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل کاربر به آن هدایت می‌شود از طریق این سرویس شناسایی و محدود می‌شود. ازاین‌رو باید یک نگاه همه‌جانبه به این موضوع داشت و تنها فعالیت‌ها به آموزش و یا رعایت الزامات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور کار چندانی بر روی شناسایی ایمیل‌های جعلی، تجهیز مرورگرها به ابزارهایی برای شناسایی سایت های جعلی، شناسایی اتک ها و همچنین به اشتراک گذاشتن دیتاهای مختص به سایت‌های جعلی فعالیت جدی انجام‌نشده است. اخیراً موردی فیشینگ در اندروید مشاهده‌شده که آدرسی که مرورگر به کاربر نشان می‌داد با آدرس سایتی که کاربر به آن وارد می‌شد، متفاوت بود. بدین معنا یک‌صفحه‌ای در وب طراحی‌شده بود که به کاربر یک لینک دیگر نشان داده می‌شد؛ درصورتی‌که بک‌گراند آن چیز دیگری بود و موارد این‌چنینی با آموزش قابل‌شناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایت‌های جعلی که دامین آن‌ها شباهت زیادی به دامین بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش می‌تواند این سایت‌ها را شناسایی کند. مجموعه‌ای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. درست است که OTP صورت کامل نمی‌تواند فیشینگ را کنترل کند؛ اما منجر به کاهش سوءاستفاده‌ها در این بخش به میزان چشمگیری می‌شود زیرا حملات را به ۶۰ ثانیه و تنها یک‌بار محدود می‌کند. بحث ۳D Secure هم در ایران اجرایی شده اما سمت بانک صادرکننده نیست. در حال حاضر ۳۵ بانک و ۱۲ درگاه پرداخت الکترونیکی داریم و ۳D Secure بین دو عامل کاربر، بانک و پذیرنده یک حلقه اتصال ایجاد می‌کند و در کشور به‌جای بانک الآن PSP نشسته است و این به‌نوعی پیاده‌سازی ۳D Secure است.

ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟

پور طاهر: تمام موارد مذکور در کنترل فیشیبنگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجام‌نشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقه‌بندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهره‌برداری قرارگرفته است که بعضی از آن‌ها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکت‌های PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایت‌های جعلی به‌راحتی شناسایی می‌شوند و اگر این کار از سوی بانک مرکزی و شاپرک به‌عنوان رگولاتور با پیاده‌سازی ابزاری برای شناسایی دامین های مشابه بانک‌ها و شرکت‌های PSP به‌صورت شبانه‌روزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاع‌رسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری می‌شود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکس‌العمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتی‌ویروس‌ها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتی‌ویروس برای شخص فراهم کرده این پروسه با امنیت انجام می‌شود.

یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. چاپ CVV۲ در پشت کارت‌بانکی یک راهکار ساده در این بخش است. یک مثلث فراد تعریف‌شده که شامل انگیزه، توجیه و دسترسی می‌شود که در ایران هر سه عامل به‌شدت در ایران بالا است و در صورت دسترسی به اطلاعات کارت‌بانکی به‌طور حتم فراد شکل می‌گیرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آن‌ها و بدون دسترسی به اطلاعات کارت‌بانکی انجام می‌شود و این امر هم یک راهکار ساده به‌منظور کنترل حجم فیشینگ است.

ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام می‌دهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیش‌بینی‌نشده است؛ شما به‌عنوان صادرکننده کارت فارغ از این‌که شاپرک چنین قابلیتی ندارد آیا امکاناتی ازاین‌دست را در اختیار مشتری قرار داده‌اید یا برنامه‌ریزی در این خصوص انجام داده‌اید؟

مستأجری: من اعتقاددارم برای کنترل فیشینگ باید پکیج کامل دیده شود؛ زیرا تنها با اقدام تکنیکال، اصلاح فرآیند و آگاهی‌رسانی به مردم به نتیجه نمی‌رسیم. باید مجموعه‌هایی از تمام این موارد کنار هم تعریف شود تا فیشینگ در کشور به حداقل برسد. بحث‌های مطرح شد از خصوص سامانه‌های از جنس FRAUD DETECTION و مدل آن صرف تکنیکال نیست و نیازمند اصلاح فرآیندها است که در کشورهای دیگر نیز تجربه‌شده است. برفرض مثال تراکنش‌های با مبالغ بالا تائید نمی‌شود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین موارد نیازمند یکسری زیرساخت‌های تجهیز شده در کشور است. بانک صادرکننده کارت است؛ اما فیشینگ در بخش پذیرندگی رخ می‌دهد و این امر تنها به وی سایت و بروزر محدود نمی‌شود؛ زیرا الآن بحث‌های فین تکها و پرداخت‌های درون برنامه‌ای مطرح است که در این فضا URL وجود ندارد و بحث وب در آن مطرح نیست و گل و گلدانی را هم نمی‌شود ردوبدل کرد. ازاین‌رو همه‌چیز دست بانک و صادرکننده کارت نیست. به عقیده من در این فرایند بانک‌ها آمادگی این رادارند که زیرساخت‌های فنی خود را بر اساس مدلی که رگولاتور تنظیم می‌کند پیاده‌سازی کنند.

ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟

مستأجری: به اعتقاد من رگولاتور با OTP راهکار خوبی را در حوزه کارت در پیش‌گرفته است، چون از یک احراز هویت به‌عنوان یک عامل دوم استفاده می‌کند و من معتقدم راهکارهای تک عاملی اجرایی هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث OTP مطرح‌شده که مشتری را وادار می‌کند مستقل از درگاه پرداخت از یک کانال دیگر ارتباطی با صادرکننده کارت مرتبط و بانک صادرکننده کارت به‌ یک اطمینان برسد که این فرد می‌تواند دارنده کارت باشد. همچنین با توجه به این‌که مدت اعتبار رمز دوم پویا تنها ۶۰ ثانیه در نظر گرفته‌شده سرعت عمل افرادی که می‌خواهند از این مسیر فراد انجام دهند باید بسیار زیاد باشد که در عمل امکان‌پذیر نیست. در نحوه انجام OTP البته با چالش‌هایی مواجه هستیم زیرا سقف مبلغی برای آن در نظر گرفته نشده است و به نظر من باید در این بخش باید گام‌به‌گام حرکت کرد. یکی از دغدغه‌های بزرگ توسعه‌دهندگان نرم‌افزار و سامانه‌های بانکی پیامک‌های اپراتورها است؛ زیرا حجم آن بالا و تنها در بانک ملت روزانه ۱۵ میلیون تحت عناوین مختلف ارسال می‌شود. در بحث ۳D SEURE هر بانک با بانک دیگر متفاوت است؛ زیرا در این روند به ازای هر تراکنش یک تراکنش به سمت سرور اضافه می‌شود و برای احراز هویت افراد باید یک درخواست به سمت سرور فرستاده شود که ترافیک شبکه را بالابرده و ممکن است کل شبکه را مختل کند. به عقیده من باید یک مقداری از فضای امنیتی که جنس آن Server-side است بیرون بیاییم و تمام بار این مسئله را به دوش صادرکننده کارت نیندازیم.

به نظر من در ابلاغیه جدید OTP که از سوی رگولاتوری ابلاغ‌شده نقش خاصی برای پذیرنده و شرکت‌های PSP در نظر گرفته نشده است؛ درصورتی‌که کارت‌های بانک‌های صادرکننده در درگاه‌های پرداخت مختلف پذیرش می‌شود و هندل کردن فرادها به دلیل این‌که بانک صادرکننده اختیار آن را ندارد امکان‌پذیر نیست. شرکت‌های PSP در این ابلاغیه تغییری درروند کار خود اعمال نکرده‌اند و تمام بار کار به دوش صادرکننده کارت سپرده‌شده است که روش مناسبی نیست. من معتقدم راهکارهایی مثل آگاهی دهی و کنترل‌های اپلیکیشنی باید سمت پذیرنده کارت‌های اتفاق بیفتد؛ چون آن‌ها ذینفع هستند و باید بخشی از امکانات خود را برای آگاهی دهی، ایجاد راهکارهای واحد در خصوص امن سازی برای جلوگیری از فیشینگ صرف کنند. البته شرکت‌های PSP نیز به دلیل این‌که ساب دامینی از شاپرک هستند و این نهاد رگولاتور بخش پرداخت است تنها برای آگاهی دهی در خصوص یک URL نیز اختیار ندارند و چنین فعالیت‌های باید از سوی شاپرک انجام شود و سمت دارنده کارت هم باید به سراغ راهکارهای دیگری مثل روش‌های ابزار هویت غیر کانال اصلی که یکی از آن‌ها OTP است برود اما اجرای آن را گام‌به‌گام عملیاتی کند. بر اساس ابلاغیه رگولاتوری در خصوص OTP بانک‌ها از خردادماه امسال در صورت بروز هر اتفاقی که به دلیل فراهم نبودن زیرساخت OTP رخ دهد، بانک صادرکننده کارت مسئول جبران این خسارت است. این امر بانک‌ها در موارد متعدد درگیر پرونده‌هایی از جنس تبانی کرده و در آینده نیز خواهد کرد؛ با توجه به الزام بانک مرکزی هنوز هم هیچ بانکی نتوانسته OTP را به‌صورت کامل اجرایی کند و هر بانکی برای مشتریان دامنه اختیاری گذاشته است که این امر بیانگر این است که باید حرکت‌ها در این مسیر گام‌به‌گام برداشته شود.

ایرانی: یک مثلث در خصوص فراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام می‌دهند چگونه این مبالغ را نقد می‌کنند و همچنین با توجه به این‌که گفته می‌شود؛ شرکت‌های PSP در این روند خیلی درگیر نشده چه‌کاری می‌تواند در این بخش انجام شو؟

سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پول‌شویی در حال حاضر اجرایی می‌شود و نیاز هم به تخصص‌های ویژه ندارد زیرا بسیاری از مجرم‌های ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیم‌کارت‌های اعتبار و کارت به کارت‌های متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابل‌پیگیری است اما کار با این ترفندها خیلی پیچیده می‌شود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابل‌ردیابی نیست.

ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص رمزها ارزها نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.

سرلک: در این روند ما به‌نقد کش هم رسیده‌ایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و به‌وسیله این کارت کالاهای مثل طلا خریداری‌شده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کرده‌اند و باکارت جعلی خرید انجام داده‌اند.

ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت می‌رود را می‌توان با تسویه ۴۸ ساعته پرداخت‌های غیرحضوری کنترل کرد .

مستأجری: نقد شوندگی وجوه فیشینگ به دلیل که ایران به سیستم‌های پرداخت بین‌المللی وصل نیست کمی سخت است. البته یک موردی که در پرونده‌ها با آن مواجه شده‌ایم؛ این بود که دارنده سایت قمار خود فیشینگ می‌کرد و حساب‌های کاربران سایت را در اختیار خود می‌گرفت و از حساب‌های کاربران سایت خرج آن‌ها می‌داد؛ بدین معنا که فردی در یک فرآیندی در سایت قمار برنده می‌شد مبلغ وجوه برده شده از حساب یک فرد قمارِ کننده دیگر در آن سایت به‌حساب فرد برنده منتقل می‌شد. مردم زمانی که اطلاعات کارت خود را در فضاهایی وارد می‌کنند که بر اساس قانون کشور جرم است؛ اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن می‌روند. این نمونه از مواردی است که این‌قدر عرصه تنگ‌شده که مارکت های جدیدی در این مقوله به وجود آمده است و من معتقد هستم این موضوع ته ندارد.

ایرانی: بین صادرکننده کارت، رگولاتور و شرکت‌های پرداخت در بحث فیشینگ کدام‌یک بیشتری کم‌کاری کرده‌اند؟

سرلک: به عقیده من شرکت‌های پرداخت چون هیچ‌وقت این موضوع برای آن‌ها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمی‌کنند و به همین دلیل مشخص شرکت‌های PSP در این موضوع خود را کمتر درگیر کرده‌اند؛ زیرا پیش هیچ نهادی پاسخگو نبوده است.

مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری می‌تواند بکند

ایرانی: آیا شاپرک و شرکت‌های PSP مسئول بوده‌اند و در این حوزه کاری نکرده‌اند؟

سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام داده‌اند؛ اما شرکت‌های PSP به دلیل این‌که این موضوع دغدغه آن‌ها نبوده است کمترین کار را در این بخش انجام داده‌اند.

ایرانی: در خارج از کشور افراد بدون دغدغه‌های امنیتی پرداخت‌های غیرحضوری خود را انجام می‌دهند حال سؤال این است که در این کشورها چه‌کارهایی از سوی بازیگران انجام‌شده که این اطمینان حاصل‌شده است؟

آیت: عکس گلدان شما همان کلید رمزنگاری‌شده در OTP است که بانک مرکزی و رگولاتور به این سمت حرکت کرده‌اند که بحث ۳D SECURE را پیاده‌سازی کنند. دوستان اتفاق‌نظر دارند تمام مشکلات سمت قانون‌گذار است؛ اما در این بخش باید قانون‌گذار را درک کرد؛ زیرا الزامات رمزهای پویا باآنکه مفصل هم نبود ولی هیچ بانکی نتوانست آن را به‌صورت کامل پیاده‌سازی کند. یکسری از بانک‌های گفتند secure element سمت موبایل نداریم و یکسری رفتن سراغ راهکار پیامک به دلیل این‌که خیلی از مردم از گوش‌های هوشمند برخوردار نیستند؛ اما به دلیل هزینه بالای آن و همچنین تفاوت SLA بانکی و با اپراتور با توجه به تلاش رگولاتور به حذف کدهای دستوری باز الآن سرویس OTP قرار است به بستر کدهای دستوری بازگردد. این امر بیانگر این است که قانون‌گذار خیلی راحت نمی‌تواند به بانک‌ها ابلاغ کند، فراد را پیاده‌سازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت است و نهاد ناظر در این بخش بیشتر در حال درک بانک‌ها و PSP ها است.

ایرانی: بانک‌ها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کرده‌اند؟

آیت: من نماینده شرکت خدمات هستم و بیشتر از دیدگاه بانک مرکزی صحبت کردم و نمی‌شود جواب مشخصی به این سؤال داد؛ زیرا در حال حاضر در کشور زیرساختی که بتوان یک سرویس را به‌صورت کاملاً امن بر روی آن پیاده‌سازی کرد و در اختیار تمام کاربران قرار داد، وجود ندارد. بسیاری از کاربران با OTP آشنا نیستند و ممکن است دراین‌بین دچار مشکل شوند و یک trade off بین چندین موضوع در این حوزه وجود دارد که نمی‌شود به‌راحتی انتخاب کرد و یکسری الزامات سفت‌وسخت را ابلاغ و با قانون‌گذاری این مشکل را حل کرد.

مستأجری: وقتی پای اپراتور در مارکت و چرخه پرداخت وسط کشیده می‌شود، منجر به ایجاد یکسری از مشکلات متعدد می‌شود. البته باید شرایط کشور را نیز درک کرد. بانک ملی اپلیکیشن شصت و بانک ملت نیز اپلیکیشن رمزنگار را دارد درصورتی‌که به دلیل تحریم‌ها افرادی که از گوشی‌های آیفون استفاده می‌کنند، قادر به نصب این اپ ها نیستند. در حال حاضر در دنیا از المان‌های امنیتی گوشی استفاده می‌شود؛ در صورتی کهِ در ایران از آن محروم هستیم. همچنین در بخش OTP در کشورهای دیگر روش‌های احراز هویت متمرکزی وجود دارد که در ایران وجود ندارد.

آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PS۲ الزام شده که احراز هویت سمت صادرکننده کارت باشد.

ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.

آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغه‌های امنیتی در سایت‌های مختلف اطلاعات کارت‌بانکی خود را وارد می‌کنند؛ باید بگویم در آن کشورها الزامات بسیاری در حوزه PCI وجود دارد و PCI الزام می‌کند اگر اطلاعات کارت از مسیری عبور کرد باید تمامی الزامات در آن مسیر پیاده‌سازی شده باشد و یا نه به سراغ ۳D SEURE برویم در این صورت لازم نیست تمامی الزامات پیاده‌سازی شود. در ایران در بحث‌های PCI و نظارت‌های که شاپرک انجام می‌دهد کم‌کاری اتفاق افتاده است. برفرض مثال من هنگامی‌که سراغ یکی از اپلیکیشن های حوزه پرداخت می‌روم مشاهده می‌کنم experience date من را درگذشته ذخیره کرده و تمام کارت‌های که در این اپ ها درگذشته استفاده کرده‌ام در هر پرداخت نشان داده می‌شود و باید دید با چه مجوزی اطلاعات کارت‌های کاربران از طریق برخی اپلیکیشن های پرداخت سیو می‌شود.

ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشن های پرداخت نمایش داده می‌شود.

آیت: این بیانگر این نکته است که ممیزی‌ها در ایران جدی گرفته نمی‌شود؛ زیرا از اولین الزامات PCI است که ذخیره‌سازی اطلاعات کارت به‌صورت خاص نباید صورت بگیرد و یا باید سرویس توکنایزشن راه‌اندازی شود. بحث بعدی این است که در کشور FRAUD DETECTION نداریم و اما زمانی که در بسیاری از سایت‌ها وارد می‌شویم رفتار افراد track می‌شود و بر اساس script و کوکی‌های که در آن سایت وجود دارد به کاربران پیشنهادهایی ارائه می‌شود و یک بازار میلیارد دلاری هم بر این اساس شکل‌گرفته است. درصورتی‌که از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمی‌شود و این مهم به زیرساخت پیچیده‌ای هم نیاز ندارد. می‌توان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بوده‌ایم ازاین‌رو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکرده‌ایم.

ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟

پور طاهر: اگر من صحبت خود را با OTP آغاز کنم به‌هرحال این راهکار یک مرحله شرایط را بهتر می‌کند؛ البته معایبی هم دارد که یکی از مهم‌ترین آن‌ها بحث سخت کردن کار است. اپلیکیشن شصت کامل‌ترین نوع اپلیکیشن در حوزه تولید رمز پویا است زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد این‌چنینی در کشور ترند می‌شود و وقتی OTP اجرایی بشود یک‌دفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاه‌مدت هستند. بحث بعدی این‌که نظام بانکی و پرداخت کشور به دلیل این‌که در شرایط تحریم قرار دارد به شبکه بین‌المللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار ساده‌ای که رگولاتور برای کاهش فیشینگ می‌تواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم به‌صورت قانون مصوب شود.

ایرانی: می‌توان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاه‌های پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.

پور طاهر: این موارد کارهای ساده‌ای است که بزرگ‌ترین کم‌کاری که از سمت رگولاتور در این بخش صورت گرفته است. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود منجر به کاهش فیشینگ در کشور می‌شود.

ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا می‌کند برای مبالغ زیر ۵ هزار تومان سیم‌کارت وی به‌صورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز می‌خواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سال‌ها از این مسیر رخ‌داده از بین می‌رود.

مستأجری: من هنوز معتقد به بهره‌گیری از راهکارهای متمرکز و یکپارچه هستم. مثال‌های که در این جلسه زده شد همه از مواردی است که رگولاتور در آن باید وارد عمل شود. مواردی مثل direct debit (برداشت‌های خودکار) به دلیل این برای انجام آن، بانک‌ها باید به سازمان‌های دیگر API ارائه دهند و در این خصوص رگولاتور هنوز وارد نشده و در قبال آن سکوت اختیار کرده است و این موضوع خود می‌تواند در آینده یکسری نگرانی‌های امنیتی دیگر به وجود آورد. ممکن است OTP دل‌چسب و یا کامل نباشد؛ اما در حال حاضر فیشینگ در کشور با این راهکار به میزان قابل‌توجهی کاهش می‌یابد.

سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش می‌یابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتی‌که بحث بهره‌گیری از OTP در صنعت بانکی و پرداخت شروع‌شده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل این‌که دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهره‌گیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاین‌رو زودتر باید این موضوع به‌صورت کامل اجرایی شود.

مستأجری: زیرساخت بانک‌ها در حال حاضر در حداکثر توان عملیاتی آن‌ها است که حتی اگر ۵ درصد به بار این ترافیک افزوده شود دچار اختلال می‌شود و بهره‌گیری از OTP به‌طور حتم بار این ترافیک را افزایش می‌دهد به همین دلیل بانک‌ها نمی‌توانند به‌راحتی به این سمت حرکت کنند و باید این روند به صورت گام به گام اجرایی شود.

آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاین‌رو ابعاد این قضیه باید بررسی شود و بر اساس آن گام‌ها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص حمله‌کنندگان باشد یا موارد دیگر. بازهم تأکید می‌کنم قانون‌گذار در خصوص این موارد راحت است اما اجرای آن است که کار را سخت می‌کند.