به گزارش ایبِنا، بر اساس آمار اعلام شده از سوی پلیس فتا، کلاهبرداری فیشینگ (Phishing) و سرقت اطلاعات کارت بانکی برای برداشت غیر مجاز بخش مهمی از کلاهبرداریهای سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداریها در حال افزایش است؛ این در حالی است که کلاهبرداری فیشینگ در تمام نقاط جهان وجود دارد و همواره درصد آن به صفر نرسیده اما رگولاتورها با همکاری بازیگران صنعت بانکی و پرداخت برای ایجاد زیرساخت و در عین حال با افزایش آگاهی شهروندان تواسنتهاند تا میزان این کلاهبرداری را کاهش و کنترل کنند؛ با توجه به این که میزان کلاهبرداریهای آنلاین از جمله فیشینگ در کشور به مرز هشدار رسیده، این موضوع اهمیت بسیاری پیدا کرده است؛ در همین راستا اشگاه دیجیتال ایبِنا میزگرد "فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری" با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاستگذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد که بخش اول آن منتشر شد و در ادامه به بخش دوم این میزگرد و راهکارهای کارشناسان برای شناسایی و کنترل کلاهبرداریهای آنلاین و فیشینگ میپردازیم:
ایرانی: بانکها میتوانند با بهرهگیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخشهایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابلکنترل است؟
آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه میشود از بررسی حملات، ارائه آموزش و پیادهسازی الزامات امنیتی در درگاههای پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاهترین زمان ممکن است. به عنوان نمونه گوگل سرویسی با عنوان مرور امن ( Safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود میشود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت میشود از این طریق شناسایی و محدود میشود. ازاینرو باید یک نگاه همهجانبه به این موضوع داشت و تنها فعالیتها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیتهای جدی بر روی شناسایی سایتهای جعلی، تجهیز درگاههای بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن دادههای مختص به حملات و سایتهای جعلی انجامنشده است. برخی از حملات فیشینگ به قدری پیچیدهاند که تکیه بر آموزش کاربر به عنوان تنها راهکار راهگشا نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیتهای مرورگزدر اندروید ارائه شده است که آدرسی که مرورگر به کاربر نشان میداد با آدرس سایتی که کاربر به آن وارد میشد، متفاوت بود. بدین معنا یک صفحهای در وب طراحیشده بود که به کاربر یک لینک دیگر نشان داده میشد؛ درصورتیکه پسزمینه آن سایت جعلی بود، بنابراین موارد اینچنینی با آموزش قابلشناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایتهای جعلی که دامنهی آنها شباهت زیادی به دامنهی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش میتواند این سایتها را شناسایی کند. مجموعهای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب مدیریت حملهی فیشینگ است، درست است که OTP بهصورت کامل نمیتواند فیشینگ را به دلیل موارد مربوط به حملهی مرد میانی (MITM[۱] ) کنترل کند؛ اما این الزام منجر به کاهش چشمگیر سوءاستفادهها در این بخش خواهد شد زیرا حملات را به ۶۰ ثانیه و تنها یکبار محدود میکند. بحث ۳D Secure هم در ایران به نوعی اجرایی شده است در ۳D Secure یک زنجیرهی اعتمادی بین کاربر، فروشنده و بانک برقرار میشود که به واسطهی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمیکند، همچنین بانک از جزئیات خرید کاربر مطلع نمیشود و بنابراین حریم شخصی کاربر در این خصوص حفظ میشود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور میکند بعد توسط بانک صادر کننده این اطلاعات احراز میشود، در موضوع فیشینگ نیز برای کاربر سهلتر است که بهجای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانکها ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تمای زیر دامنه شاپرک هستند را در خاطر داشته باشد.
ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟
پور طاهری: تمام موارد مذکور در کنترل فیشینگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجامنشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقهبندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهرهبرداری قرارگرفته است که بعضی از آنها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکتهای PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایتهای جعلی بهراحتی شناسایی میشوند و اگر این کار از سوی بانک مرکزی و شاپرک بهعنوان رگولاتور با پیادهسازی ابزاری برای شناسایی دامین های مشابه بانکها و شرکتهای PSP بهصورت شبانهروزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاعرسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری میشود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکسالعمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتیویروسها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتیویروس برای شخص فراهم کرده این پروسه با امنیت انجام میشود.
یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و ویکی از راهکارهای ساده چاپ CVV۲ در پشت کارتبانکی است می توان با آن از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث فراد تعریفشده که شامل انگیزه، توجیه و دسترسی میشود که دو ضلع اول خیلی قابل کنترل نیست؛ ولی دسترسی به اطلاعات کارت بانکی را می شود با راهکارهای ساده کنترل و از وقوع فراد جلوگیری کرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آنها و بدون دسترسی به اطلاعات کارتبانکی انجام میشود و این امر هم یک راهکار ساده بهمنظور کنترل حجم فیشینگ است.
ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام میدهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیشبینینشده است؛ شما بهعنوان صادرکننده کارت فارغ از اینکه شاپرک چنین قابلیتی ندارد آیا امکاناتی ازایندست را در اختیار مشتری قرار دادهاید یا برنامهریزی در این خصوص انجام دادهاید؟
مستأجری: برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود؛ زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهیرسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمی رساند. باید مجموعهای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحثهایی در خصوص سامانههای کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفا تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است. به عنوان نمونه، تراکنشهای با مبالغ بالا تائید نمیشود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین مواردی مستلزم تجهیز یکسری زیرساختهای نرم افزاری و سخت افزاری میباشد. حمله فیشینگ عموما در بستر پذیرندگی رخ میدهد و این امر تنها محدود به وب سایت و مرورگر نمی شود؛ زیرا الآن بحثهای بانکداری باز، فین تکها و پرداختهای درون برنامهای مطرح است که در این فضا URL وجود ندارد و صرفا بحث وب در آن مطرح نیست و راهکارهایی مثل ۳D Secure ممکن است عملیاتی نباشد. ازاینرو نمیتوان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانکها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند بانکها آمادگی این را دارند که زیرساختهای فنی خود را بر اساس مدلی که رگولاتور تعریف میکند پیادهسازی کنند.
ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟
مستأجری: رگولاتور با ابلاغ الزام بکارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیشگرفته است، قطعا راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث رمز پویا یا OTP مطرحشده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت میگردد. همچنین با توجه به اینکه مدت اعتبار رمز پویا تنها ۶۰ ثانیه در نظر گرفتهشده، امکان سوء استفاده و تقلب را به حداقل می رساند. البته عملیاتی شدن این موضوع نیز می بایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند ۳D SECURE، باید دغدغه کارایی سیستم ها و حجم باری سمت سرور و زیرساخت های ارتباطی نیز به عنوان یک پارامتر تاثیر گذار لحاظ گردد.
به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیتهای بانکها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل آگاهی رسانی و کنترلهای اپلیکیشنی میتواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.
ایرانی: یک مثلث در خصوص فراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام میدهند چگونه این مبالغ را نقد میکنند و همچنین با توجه به اینکه گفته میشود؛ شرکتهای PSP در این روند خیلی درگیر نشده چهکاری میتواند در این بخش انجام شو؟
سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پولشویی در حال حاضر اجرایی میشود و نیاز هم به تخصصهای ویژه ندارد زیرا بسیاری از مجرمهای ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیمکارتهای اعتبار و کارت به کارتهای متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابلپیگیری است اما کار با این ترفندها خیلی پیچیده میشود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابلردیابی نیست.
ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص رمزها ارزها نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.
سرلک: در این روند ما بهنقد کش هم رسیدهایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و بهوسیله این کارت کالاهای مثل طلا خریداریشده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کردهاند و باکارت جعلی خرید انجام دادهاند.
ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت میرود را میتوان با تسویه ۴۸ ساعته پرداختهای غیرحضوری کنترل کرد.
مستأجری: نقد شوندگی وجوه حاصل از حملات فیشینگ به دلیل محدودیتهای ارتباطی شبکه پرداخت کشور با سیستمهای پرداخت بینالمللی کمی سخت است. البته اغلب حملات فیشینگ هم در کسب و کارهایی صورت میگیرد که فاقد مشروعیت قانونی هستند، به همین دلیل افرادی که اطلاعات کارت خود را در چنین شرایطی وارد میکنند، اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن میروند.
ایرانی: بین صادرکننده کارت، رگولاتور و شرکتهای پرداخت در بحث فیشینگ کدامیک بیشتری کمکاری کردهاند؟
سرلک: به عقیده من شرکتهای پرداخت چون هیچوقت این موضوع برای آنها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمیکنند و به همین دلیل مشخص شرکتهای PSP در این موضوع خود را کمتر درگیر کردهاند.
مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری میتواند ایفا کند.
ایرانی: آیا شاپرک و شرکتهای PSP مسئول بودهاند و در این حوزه کاری نکردهاند؟
سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام دادهاند؛ اما شرکتهای PSP به دلیل اینکه این موضوع کمتر دغدغه آن ها بوده سهم کمتری را تقبل کرده اند.
ایرانی: در خارج از کشور افراد بدون دغدغههای امنیتی پرداختهای غیرحضوری خود را انجام میدهند حال سؤال این است که در این کشورها چهکارهایی از سوی بازیگران انجامشده که این اطمینان حاصلشده است؟
آیت: عکس گلدانی که شما اشاره فرمودید که به عنوان یک راز بین بانک و کاربر به اشتراک گذاشته میشود و موقع انجام تراکنش با نمایش این راز به کاربر، او مطمئمن میشود، که درگاه جعلی نیست، این گلدان معادل همان کلید رمزنگاری تولید OTP است که بانک مرکزی و رگولاتور با ابلاغ الزمات رمزهای پویا به این سمت حرکت کردهاند، که البته این موضوع با بحث ۳D SECURE متفاوت است. دوستان اتفاقنظر دارند تمام مشکلات سمت قانونگذار است؛ اما قانونگذار نمیتواند بدون توجه به محدودیتهای موجود در سمت بانکها و شرکتهای پرداخت الزامات مرتبط را ابلاغ کند و از طرفی درنظر گرفتن این محدودیتها و متناسبسازی الزامات منجر به ریسکهای جدیتری نشود؛ به عنوان نمونه الزامات اولیهی رمزهای پویا باآنکه سختگیرانه هم نبود، در تعامل صورت پذیرفته با بانکها مشخص شد اغلب بانکها به صورت کامل و امن نمیتواند آن را پیادهسازی کنند، برخی از از بانکها به درستی اشاره کردند secure element در سمت موبایل برای ذخیره کلید تولید OTP در دسترس نیست، و یکسری از بانکها به دلیل اینکه بسیاری از مردم از گوشهای هوشمند برخوردار نیستند به سمت استفاده از راهکار پیامک و USSD رفتند؛ کانالهایی که به دلیل ریسکهای جدی امنیتی بانک مرکزی سالها است به دنبال محدود کردن انجام تراکنش از طریق این کانال ها است، از طرفی هزینه این کانالها بالا بوده و تفاوت SLA بانکی و اپراتور باعث کاهش سطح SLA تراکنشهای بانکی خواهد شد، ولی مجدداً به دلیل محدودیتها سرویس OTP باز به بستر ناامن کدهای دستوری باز خواهد گشت. موارد فوقالذکر بیانگر این موضوع است که قانونگذار به سهولت نمیتواند به بانکها ابلاغ کند، مثلاً کشف تقلب را پیادهسازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت و پیشنیاز است و نهاد ناظر در این بخش بیشتر در حال درک محدودیت بانکها و PSP ها است.
ایرانی: بانکها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کردهاند؟
آیت: من نماینده شرکت خدمات انفورماتیک هستم و تنها از دیدگاه بانک مرکزی صحبت کردم، نمیتوان انتظار داشت که مدیریت یک تهدید پیچیده نظیر فیشینگ که مطابق آمار جهانی در سال گذشته رشد داشته است در کشور تنها از طریق نهاد قانونگذار و با ابلاغ الزامات انجام شود، همچنین پیادهسازی الزامات توسط بانکها در مقولهی فیشینگ به صورت مقطعی موثر است، اما در این مقوله باتوجه به تنوع و پیچیدهگیهای موجود، این حمله متناسب با الزامات دچار دگردیسی شده و حملهی فیشینگ از یک نوع به نوعی دیگر جهت بی اثر ساختن الزامات تغییر میکند، بنابراین استفاده از ترکیبی از راهکارها با توجه به مثلث راهکارها (آموزش، شناسایی تهدید و مقاومسازی درگاهها و برنامههای کاربردی پرداخت) و تعادل برقرار کردن بین آنها اثربخشترین رویکرد است، همچنین راهحلی که در کشور مغفول مانده است، تمرکز بر شناسایی تهدید یعنی شناسایی سایتها و App های جعلی است. در این خصوص باید نهادهای دیگر که ابزار لازم جهت پایش و نظارت بر فضای مجازی را دارند در این موضوع ورود کنند، و این رویکرد تنها در توان قانونگذار و شبکهی پرداخت نیست.
مستأجری: البته به واسطه محدودیتهای ایجاد شده ناشی از تحریمها، بانکها هم با چالشهایی در خصوص امکان بهره گیری از قابلیتهای امنیتی تلفنهای همراه و همچنین ارائه نرم افزارهای تولید رمز پویا روبرو شده اند. مثلا در حال حاضر در دنیا از المانهای امنیتی در تلفنهای همراه نسل جدید برای ارتقا خدمات پرداخت استفاده میگردد؛ که متاسفانه برخی از این امکانات در ایران به دلایل تحریم قابل بهره برداری نیست.
آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PSD۲ الزام شده که احراز هویت سمت صادرکننده کارت باشد.
ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.
آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغههای امنیتی در سایتهای مختلف اطلاعات کارتبانکی خود را وارد میکنند؛ باید بگویم مطابق با آمار موجود در سایر کشورها آمار فیشینگ همچنان روبه رشد است، اما در کنار دلایلی نظیر تفاوت در سیستمهای پرداخت کشورهای دیگر با ایران که تسویه با فاصلهی زمانی صورت میپذیرد و در این صورت امکان کنترلهای بیشتر و جبران خسارت در صورت شناسایی تراکنش تقلبی وجود دارد و همچنین بیمه، نظارتی است که در آن کشورها از طریق الزمات سختگیرانهای نظیر PCI و و PSD۲ انجام میشود، به عنوان نمونه در صورت عبور، پردازش و ذخیرهی اطلاعات کارت توسط هر عاملی، الزامات PCI لازمالاجرا شده و در صورت تخطی جریمههای سنگین پرداخت میشود در ایران در بحثهای PCI و نظارتها اقدامات کافی به نظر نمیرسند، به عنوان مثال من هنگامیکه سراغ یکی از اپلیکیشن های حوزه پرداخت میروم مشاهده میکنم تاریخ انقضاء کارت من را درگذشته ذخیره کرده و تمام کارتهای که در این اپ ها درگذشته استفاده کردهام در هر پرداخت نشان داده میشود و باید دید با چه مجوزی اطلاعات کارتهای کاربران از طریق برخی اپلیکیشن های پرداخت ذخیره میشود.
ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشن های پرداخت نمایش داده میشود.
آیت: سامانهی پیوند مختص به تراکنشهایی که از کانال USSD انجام میپذیرفت بود و از طرفی ذخیرهی Exp Date در برنامههای موبایل ویا درگاههای پرداخت که از طریق سامانه پیوند قابل استعلام نیست، موارد ذکر شده بیانگر این نکته است که ممیزیها در ایران جدی گرفته نمیشود؛ از اولین الزامات PCI، محافظت از اطلاعات کارت است، بحث بعدی این است که در کشور سامانههای کشف تقلب متناسب با درگاههای پرداخت نداریم، سامانههای کشف تقلب میتوانند براساس پروفایل رفتاری کاربر (به عنوان نمونه مکان و زمان انجام تراکنش و یا دستگاهی که کاربر عموماً در زمان انجام تراکنش استفاده میکند)، کاربر واقعی را از جعلی تشخیص داده و جلوی انجام تراکنشهای جعلی را بگیرد. در بسیاری از سایتها رفتار افراد بر اساس script و کوکیهایی که در آن سایت وجود دارد رهگیری شده و براساس رفتار شناسایی شده به او پیشنهادهای متناسب تبلیغاتی ارائه میشود، یک بازار میلیارد دلاری هم بر این اساس شکلگرفته است. در درگاههای پرداخت میتوان با استفاده از این Script ها و Cookie ها ابتدا ویژگیهای رفتاری کاربر را استخراج کرد و در زمان انجام تراکنش در صورت مغایرت این ویژگیها از جلوی انجام تراکنش جعلی را گرفت. درصورتیکه در کشور از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمیشود و این مهم به زیرساخت پیچیدهای هم نیاز ندارد. میتوان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بودهایم ازاینرو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکردهایم.
ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟
پور طاهری: اگر من صحبت خود را با OTP آغاز کنم بههرحال این راهکار یک مرحله شرایط را بهتر میکند؛ البته معایبی هم دارد که یکی از مهمترین آنها بحث سخت کردن کار است. اپلیکیشن شصت کاملترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد اینچنینی در کشور ترند میشود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یکدفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاهمدت هستند. بحث بعدی اینکه نظام بانکی و پرداخت کشور به دلیل اینکه در شرایط تحریم قرار دارد به شبکه بینالمللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار سادهای که رگولاتور برای کاهش فیشینگ میتواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم بهصورت قانون مصوب شود.
ایرانی: میتوان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاههای پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.
پور طاهری: این موارد راهکارهای سادهای است که اگر اجرایی شود منجربه کاهش حجم گسترده ای از میزان فیشینگ در کشور می شود. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود فیشینگ در کشور را کاهش می دهد.
ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا میکند برای مبالغ زیر ۵ هزار تومان سیمکارت وی بهصورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز میخواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سالها از این مسیر رخداده از بین میرود.
مستأجری: من هنوز معتقد هستم که این قبیل اقدامات باید بصورت همزمان و یکپارچه از سوی تمامی نقش آفرینان شبکه پرداخت کشور پیادهسازی و اجرا گردد. با این حال استفاده از رمز پویا به رغم تمامی چالشهای مطرح شده، می تواند در شرایط کنونی راهکاری مناسب جهت ارتقا امنیت تراکنشهای پرداخت در سطح کشور تلقی شود.
سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش مییابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتیکه بحث بهرهگیری از OTP در صنعت بانکی و پرداخت شروعشده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل اینکه دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهرهگیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاینرو زودتر باید این موضوع بهصورت کامل اجرایی شود.
مستأجری: قطعا در شرایط کنونی و با این حجم از تراکنشها، ضروری است که به موازات عملیاتی نمودن راهکار رمز پویا، تجهیز زیرساختهای مورد نیاز هم در شبکه بانکی و هم در سطح اپراتورها بیش از پیش مدنظر قرار گیرد.
آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاینرو ابعاد این قضیه باید بررسی شود و بر اساس آن گامها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص شناسایی سایتها و برنامههای موبایل جعلی، استفاده از سیستمهای کشف تقلب و آموزش مستمر کاربران باشد. بازهم تأکید میکنم با صرف قانونگذاری و یا ابلاغ الزامات و همچنین نبود اجماع بین کلیهی نهادهای متولی مهار فیشینگ به سهولت امکانپذیر نیست.