گل طلایی به هکرها با رمز دوم پویای پیامکی

به گزارش ایبِنا، اجرای بخش‌نامه الزام بهره‌گیری از رمز دوم پویا در پرداخت‌های غیرحضوری این روزها به مهم‌ترین مسئله در شبکه بانکی و پرداخت تبدیل‌شده و تمام بازیگران این حوزه به‌منظور کاهش جرائم و تخلفات در فضای سایبری به‌صورت منسجم برای اجرای این الزامات در تلاش هستند؛ به دلیل اهمیت موضوع و بررسی ابعاد آن میزگردی با عنوان "رمز دوم پویا، بیم‌ها و امیدها" با حضور علی‌رضا اطهری فرد؛ کارشناس ارشد حوزه امنیت، سید جعفری صدری؛ مدیر فناوری اطلاعات بانک صادرات، پیمان طبری؛ مدیرعامل شرکت ایران کیش، مهدی عبادی؛   دبیر انجمن فین تک و به مدیرتوری محمد گرکانی نژاد؛ عضو هیات مدیره شاپرک برگزار شد که بخش دوم آن را می‌توانید در زیر مطالعه کنید.

در بخش اول این میزگرد انتقاداتی از سوی مهدی عبادی دبیر انجمن فین تک در خصوص کم‌کاری بانک‌ها در خصوص عدم راه‌اندازی سیستم‌های فراد و عدم بهره‌گیری از ۳D SECURE در بانک‌ها، عدم حرکت بانک‌ها به سمت بهره‌گیری از استاندارد EMV، عدم تحلیل متن پیامک‌های حاوی رمز دوم پویا به‌منظور ارائه تجربه کاربری بهتر به مشتریان، بهره‌گیری از رمزهای یکسان و ساده در اپلیکیشن های رمز ساز بانک‌ها و عدم فرهنگ‌سازی و اطلاع‌رسانی مناسب در خصوص الزامات رمز دوم پویا به‌منظور آشنایی مردم با این تغییر مطرح شد که در ادامه پاسخ اعضای میزگرد به این انتقادات تشریح شده است.

کارشناسان در این میزگرد معتقدند: عدم حرکت بانک‌ها به سمت استانداردهای EMV به این دلیل است که برخی تغییرات به‌تنهایی نمی‌تواند شکل بگیرد و زیرساخت شبکه بانکی باید پذیرنده آن باشد و استاندارد EMV نیز از آن دست تغییراتی است که یک بانک به‌تنهایی نمی‌تواند آن را اجرایی کند. همچنین بانک مرکزی با مشارکت بانک‌ها سندی در خصوص احراز هویت قوی مشتریان تدوین و آن را به بانک‌ها ارسال کرده که در آن دیدگاه و چشم‌انداز این نهاد ناظر در این خصوص اعلام‌شده که کاملاً فراد محور است. البته گام بعدی بانک مرکزی در این روند بدون تقویت بانک‌ها در حوزه مدیریت فراد امکان‌پذیر نیست؛ ازاین‌رو به‌طور حتم باید زیرساخت‌ها و قابلیت‌ها برای برداشتن گام بعدی در این مسیر در شبکه بانکی تقویت شود. افزون بر این نقدی که در خصوص این‌که بانک‌ها هیچ کاری در حوزه مدیریت فراد انجام نداده‌اند، قبول نیست زیرا در نمایشگاه‌های مختلف محصولات متعددی در این بخش عرضه‌شده است اما این‌که چقدر از این محصولات در راستای حافظت از اطلاعات مشتریان استفاده می‌شود جای سؤال دارد. در طرح اقدام مشترک شبکه بانکی و پرداخت در خصوص رمز دوم پویا فعالیت‌های منسجم خوبی شکل‌گرفته که تداوم این روند می‌تواند منجر به برداشت گام‌های بزرگ‌تری در این مسیر بشود.

در خصوص ارسال رمز دوم یک‌بارمصرف در قالب پیامک برخی انتقادها مطرح می‌شود که شیوه فعلی با توجه به این‌که به‌صورت Dynamic Linking نیست و مبلغ تراکنش و کد پذیرنده به آن لینک نشده و ممکن است از امنیت کافی برخوردار نباشد. ذکر این نکته ضروری است که مسیر انجام تراکنش با مسیر درخواست و دریافت رمز دوم پویا دو مسیر متفاوت است و این امکان که رقم تراکنش در این روند تغییر کند بسیار ضعیف است. در سند الزامات رمز دوم پویا یکی از مواردی که مطرح‌شده Dynamic Linking است ولی این امر برای بانک‌ها اجباری نشده ولی به‌منظور بهبود بستر آن در بانک‌ها در حال ایجاد است؛ بدین معنا که در حال حاضر در سمت پذیرنده، اطلاعات تراکنش قبل از انجام تراکنش برای بانک ارسال می‌شود که این مهم یکی از پیش‌نیازهای Dynamic Linking است که به‌راحتی بانک‌ها در مراحل بعدی می‌توانند کدهای تولیدی را به اطلاعات تراکنش لینک کنند تا دیگر این کد برای تراکنش دیگری قابل‌استفاده نباشد. افرادی که در طرح الزامی شدن بهره‌گیری از رمز دوم پویا از بستر پیامک استفاده می‌کنند باید در خصوص استفاده امن از گوشی همراه خودآگاه باشند و بدانند الزامی است که روی گوشی رمز گذاشته و به‌منظور امنیت خود هر اپلیکیشنی را روی تلفن همراه خود نصب نکنند.

گرکانی نژاد: بانک مرکزی با توجه به سهولت در تجربه کاربری سامانه هریم را راه‌اندازی کرده است که بعد از اتصال بانک‌ها به این سامانه رمز دوم پویا با فشردن آیکون درخواست این کد در درگاه‌های پرداخت غیرحضوری برای مشتریان شبکه بانکی در قالب پیامک ارسال می‌شود. بهره‌گیری از پیامک ضمن این‌که تجربه کاربری را تسهیل می‌کند احتمال فیشینگ را نیز در این روند کاهش می‌دهد؛ زیرا درگاه‌های پرداخت جعلی به سامانه هریم دسترسی ندارند و حتی اگر آیکون درخواست رمز دوم پویا را نیز شبیه‌سازی کنند کدی که قابلیت انجام تراکنش داشته باشد برای کاربر ارسال نمی‌شود. البته بدافزارهای موبایلی می‌توانند با سرقت دیتای کارت و رمز دوم پویا در ۱۲۰ ثانیه از این بستر سوءاستفاده کنند؛ اما باز یک گام در امنیت به جلو برداشته‌شده است زیرا این سوءاستفاده تنها می‌تواند یکبار و در زمان ۱۲۰ ثانیه انجام شود. الزامی شدن بهره‌گیری از رمز دوم پویا گام اول از مجموعه اتفاقاتی است که یکی از مراحل آن الزامی شدن Dynamic Linking است که منجر به رسیدن به مراحل بالایی تری از امنیت خواهد شد.

افزوده شدن آیکون درخواست رمز یکبار مصرف پویا در درگاه‌های پرداخت غیرحضوری می‌تواند یک وجه مشخصه برای تشخیص سایت جعلی از اصلی باشد؟

گرکانی نژاد: خیر؛ اگر درگاه پرداخت غیرحضوری غیرواقعی و جعلی باشد به سامانه هریم دسترسی ندارد، اما ممکن است در درگاه واقعی پرداخت غیرحضوری نیز با فشردن دکمه درخواست رمز دوم پویا بنا بر هر دلایلی پیامک حاوی کد رمز دوم یکبار مصرف در راه‌گیر کند و در مدت‌زمان مقتضی به دست کاربر نرسد و قابل‌استفاده نباشد؛ ازاین‌رو نمی‌توان حکم کلی در این بخش صادر کرد.

عبادی: هکر در ارسال رمز دوم پویا به‌صورت پیامکی باید سه عامل را هم‌زمان هک کند که امکان آن به‌صورت عملی در ۱۲۰ ثانیه بسیار ضعیف است.

طبری: به نظر اینجانب وقتی سامانه هریم از سوی بانک مرکزی راه‌اندازی شده است به‌طور حتم با تسهیل تجربه کاربری که ایجاد می‌کند؛ مورد استقبال همگان قرار می‌گیرد و به‌تبع برای شرکت‌های PSP نیز بهتر است که از سامانه هریم استفاده کنند و با توجه به زمان کم برای اجرای این طرح راحت‌ترین مسیر برای ارسال رمز دوم یکبار مصرف از طریق هریم، پیامک است. در فاز اول برای ارسال رمز دوم یکبار مصرف به کاربران به پیامک محدود می‌شویم. تنها دغدغه من این است که افراد تنها ۱۲۰ ثانیه برای انجام تراکنش مهلت‌دارند و زمانی که با حجم انبوهی از پیامک مواجه هستیم و ممکن است پیامک دیر به دست کاربر برسد که رمز منقضی شده باشد و اگر این طرح که من آن را خوب ارزیابی می‌کنم به‌صورت بد اجرایی شود، می‌تواند آثار بدی در جامعه داشته باشد. ازاین‌رو باید تمام جوانب و زوایای آن بررسی شود تا با اجرای مرحله‌ای آن بتوان بهره‌گیری از این ابزار امنیتی را در کشور رواج داد و میزان نارضایتی مشتریان را کاهش داد. همچنین بهتر است به‌منظور اجرای بهتر این طرح و جلوگیری از بروز برخی از مشکلات همچنان تراکنش‌های زیر ۱۰۰ هزار تومان با رمز ایستا انجام شود و اپراتورها به‌منظور اجرای بهتر در این روند درگیر شوند تا همکاری مؤثری در کاهش هزینه ارسال پیامک‌ها از سوی شبکه بانکی صورت گیرد؛ زیرا این حرکت ملی که در راستای ارتقا امنیت تراکنش‌های غیرحضوری شکل‌گرفته نیازمند همکاری تمام دست‌اندرکاران این حوزه است. آنچه مسلم است باید SLA ارسال پیامک بالا رود. هم‌اکنون بانک‌ها و PSP ها از شرکت‌های زیرمجموعه اپراتورها برای ارسال پیامک بهره می‌برند و این سؤال جدی مطرح است که این شرکت‌ها ارسال درست پیامک را تضمین می‌کنند و چقدر سرورهای آن‌ها امن است. شاید وقت آن باشد که خود اپراتورها با هزینه کمتر به بانک‌ها و PSP ها سرویس مستقیم ارسال پیامک بدهند.

گرکانی نژاد: بانک مرکزی با اپراتورها در حال مذاکره و صحبت به‌منظور ارائه راهکار برای تمام دغدغه‌ها در این بخش است.

طبری: اپراتورها امکان Push Notification روی USSD را تاکنون در اختیار بانک‌ها و شرکت‌های پرداخت قرار نداده‌اند که اگر قرار دهند می‌تواند به‌عنوان یکی از خروجی‌های هریم در ارسال رمز دوم یکبار مصرف مورداستفاده قرار گیرد تا هریم تنها به پیامک محدود نشود.

صدری: به عقیده من شاخص تعداد گوشی هوشمند در کشور نمی‌تواند شاخص مصرف باشد زیرا به‌طور متوسط USSD بانک صادرات روزانه در حدود ۸۰۰ تا یک‌میلیون تراکنش دارد که بیانگر این است که هنوز قشر عظیمی از مردم از گوشی هوشمند برخوردار نیستند یا اگر برخوردار هستند؛ بهره‌گیری از درگاه USSD را ترجیح می‌دهند که خیلی بعید است. همچنین بانک‌های بزرگ که در مناطق دورافتاده نیز شعبه دارند در این مکان‌ها به‌طور عملی بحث گوشی هوشمند در ارائه خدمات مطرح نیست و برای این قشر که از گوشی هوشمند برخوردار نیستند باید راهکار در این روند اندیشیده می‌شد که با راه‌اندازی سامانه هریم و بهره‌گیری از پیامک این مشکل حل‌شده است ضمن این‌که درگاه USSD هم کانال خوبی برای پوشش این قشر است. همچنین در اپلیکیشن های بانک‌های بزرگ تا جایی که من اطلاع دارم امکان در اختیار گذاشتن رمز ساده برای اپ رمز ساز به کاربر داده نشده است.

افزون بر این، معتقدم که هزینه کارمزدی که به‌صورت سالانه در حدود ۱۳ تا ۱۵ هزار میلیارد تومان به شبکه بانکی تحمیل می‌شد، نبود شاید هیچ استارتاپی در کشور نمی‌توانست شکل بگیرد. در کشور تنها در حوزه استفاده از زیرساخت‌های بانکی مقدار بلوغ دیده می‌شود و در سطح خدمات‌رسانی سایر دستگاه‌ها در دولت الکترونیک با پیشرفت چندانی مواجه نبوده‌ایم و اگر پیشرفتی هم صورت گرفته است؛ هزینه آن چند برابر از مردم گرفته‌شده است. بانک‌ها سیستم مدیریت فراد دارند و انجام تراکنش‌های فیک از سوی استارتاپ ها در بانک‌ها مشخص می‌شود اما در بعضی جاها از آن چشم‌پوشی می‌شود تا برخی کسب‌وکارها در کشور شکل بگیرد. البته این هزینه را بانک درنهایت روی هزینه تسهیلات می‌کشد و این منابع از مردم گرفته می‌شود و سؤال اصلی این است که بانک چگونه باید این هزینه را تأمین کنند؟

جواب این سؤال که چرا بلوغی که باید در بخش فناوری در شبکه بانکی شکل می‌گرفت؛ ایجاد نشده این است که بخش فناوری در بانک‌ها این‌قدر تحت‌فشار قیمت‌ها و هزینه‌هایی است که انجام‌شده که حتی در بعضی مواقع به فکر حذف برخی از درگاه‌های خود به‌منظور کاهش هزینه است و بانک‌ها در این بخش نمی‌توانند خیلی برنامه‌های توسعه‌ای داشته باشد چون درآمدی در قبال این هزینه‌ها ایجاد نشده است. شبکه بانکی به‌طور میانگین روزانه بین ۱۶ تا ۲۰ میلیون تراکنش و پیامک تنها برای رمز دوم پویا باید ارسال کند و بهره‌گیری از این ابزار امنیتی سالانه چند میلیارد تومان هزینه مجدد را به شبکه بانکی تحمیل می‌کند که پوشش این هزینه برای بانک‌ها واقعاً کار ساده‌ای نیست و این بیانگر این مهم است که این مدل باید کمی تغییر کند. در جوامع توسعه‌یافته تمامی روندها از ابتدا درست چیده شده است درصورتی‌که در ایران تمامی روندها یک‌سویه است؛ بدین معنا که بانک‌ها تنها هزینه می‌کنند و مردم و سایر نهادها تنها استفاده‌ کننده هستند و اگر استارتاپی در کشور شکل‌گرفته است از محل درآمدهایی است که از جیب بانک‌ها شده است.

گرکانی نژاد: ممکن است در بانک‌ها در بخش امنیت و سیستم‌های مدیریت فراد کارهای زیادی انجام‌شده باشد؛ اما متأسفانه نمود بیرونی آن قابل‌مشاهده نیست. اما چرا سیستم بانکی با توجه به این‌که سطحی از سیستم‌های مدیریت فراد را دارا است ولی بروز بیرونی آن به‌گونه‌ای است که قابل‌لمس نیست؟

صدری: متأسفانه در این سال‌ها رقابت ناسالم بانک‌ها برای ارائه سرویس منجر به این شده یکسری از کارهایی که باید انجام بگیرد اجرایی نشود. در بحث رمز پویا هماهنگی‌های خوبی بین بانک‌ها چه در بخش خصوصی و دولتی شکل‌گرفته است که اگر این هماهنگی‌ها در حوزه کارمزدی و ارائه سرویس وجود داشت، می‌توانست بسیاری از حرکت‌های مثبت در این بخش را رقم بزند تا سرویس‌های بهینه‌تری به‌صورت برد- برد شکل‌گرفته شود. فعالیت تمام پذیرندگان کارت‌خوان‌های فروشگاهی با زیرساختی که بانک‌ها و شرکت‌های PSP در اختیار آن‌ها قرار داده‌شده اکنون تسهیل شده است ولی به‌جای پرداخت کارمزد خدمات این قشر سودای سهم خواهی نیز دارند که این روند غلطی است که در شبکه بانکی و پرداخت شکل‌گرفته که باید اصلاح شود.

عبادی: در بخش اطلاع‌رسانی و فرهنگ‌سازی در خصوص الزامات رمز دوم پویا این مهم که هنوز بسیاری از فعالان این حوزه با سامانه هریم و جزئیات روند کار آشنا نیستند؛ بدین معنا است که نقشه راه در این بخش به‌درستی ترسیم نشده و اطلاع‌رسانی از سمت بانک مرکزی مناسب نبوده است. این‌که شرکت‌های بزرگ دیجیتالی از جزئیات رمز دوم پویا، سامانه هریم و نحوه کار با آن آشنایی ندارند که اگر مطلع شوند بسیاری از دغدغه‌های آن‌ها رفع می‌شود؛ بیانگر این است اگر نقشه راه مناسب‌تری در این بخش ترسیم می‌شد و مدیریت پروژه بهتری صورت می‌گرفت شاید فضای مجازی این‌قدر نسبت به این موضوع منفی نبود.  معتقدم این گام به‌منظور ارتقای امنیت در تراکنش‌های غیرحضوری باید با پلن بهبود همراه باشد و بانک‌ها باید به این نتیجه برسند که پیاده‌سازی ۳D SECURE راهکار بهتری در این بخش است. بانک مرکزی هم آیین‌نامه و محدودیتی در این حوزه ندارد و بانک‌ها هم اکنون هم می‌توانند به‌جای اجرای رمز دوم پویا به این سمت حرکت کنند که به‌تبع رویکرد بهتری را دنبال می‌کند.