اس‌ام اس کردن رمز یکبار مصرف، امنیت پرداخت اینترنتی را افزایش نمی‌دهد/ سواستفاده مالی از کاربران از طریق نصب اپلیکیشن

اواخر بهمن ۹۷ بود که جواد جاویدنیا، معاون دادستان کل کشور در امور فضای مجازی از پیشنهاد دادستانی به بانک مرکزی برای ارائه رمز یکبار مصرف بانکی برای کاهش جرایم و تقلب در حوزه برداشت‌های غیر مجاز اینترنتی و فیشینگ خبر داد.

در ماه جاری بانک مرکزی در ابلاغیه‌ای به شبکه بانکی، از حذف رمز ایستا با پایان اردیبهشت خبر داد و اعلام کرد که از ابتدای خرداد ۹۸ باید از رمز یکبار مصرف استفاده شود.

با این حال بانک مرکزی برای بانک‌ها شرط تعیین کرد که برای تراکنش‌های کمتر از ۵۰۰ هزار تومان می توانند در صورت پذیرش مسئولیت سوءاستفاده‌های احتمالی توسط بانک مربوطه، همچنان از رمز دوم ایستا استفاده کنند.

ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی روز سه‌شنبه ۲۴ خرداد ۹۸ در مورد نحوه ارائه رمز یکبار مصرف گفت: «به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارائه رمز، محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود.»

در ثانیه‌های قبل از انتشار این گفتگو نیز خبر به تعویق افتادن استفاده اجباری از رمزهای یکبار مصرف بانکی در صفحه اول رسانه‌ها قرار گرفت.

میلاد نوری اس‌ام‌اس کردن رمز یکبار مصرف برای افزایش امنیت پرداخت اینترنتی را فاقد کارایی می‌داند و آن را یک دور باطل تلقی می‌کند.

این برنامه نویس با بیان اینکه با نزدیک شدن به پایان تاریخ مشخص شده برای بانک‌ها هنوز بعضی از بانک‌ها رمز یکبار مصرف را پیاده سازی نکرده‌اند و آماده ارائه رمز یکبار مصرف از ابتدای خرداد نیستند، می‌گوید: « مشکل دیگر این است که اگر رمز یکبار مصرف توسط بانک‌ها پیاده سازی شده به مشتریان اطلاع رسانی نشده است. به این معنی که روزی که خرید فقط با رمز یکبار مصرف امکان‌پذیر باشد فرد برای خرید وارد برای مثال زرین‌پال یا ایوند می‌شود و تازه متوجه می‌شودکه رمز یکبار مصرف ندارد.»

اس‌ام‌اس بستر امنی برای ارسال رمز یکبار مصرف بانکی نیست

او دلیل ناامن بودن اس‌ام‌اس برای ارسال رمز یکبار مصرف برای کاربران را اینگونه شرح می دهد: «اس‌ام اس در جاهای مختلفی نظیر شرکتی که به بانک‌ها خدمات اس‌ام‌اس می دهد یا در اپراتورهای دیده می‌شود. علاوه بر این اس‌ام‌اس ها رمزگذاری شده (encrypt) نیستند و اطلاعات آن‌ها براحتی قابل دریافت است. از یک سو می‌خواهیم از یک روش جدید استفاده کنیم ولی از سوی دیگر برای این کار از روش سنتی اس‌ام‌اس استفاده می‌کنیم.»

میلاد نوری ارسال رمزیکبار مصرف با اس‌ام‌اس را  یک مشکل امنیتی بزرگ تلقی می‌کند و می‌گوید: « در حال حاضر بانک ملی و سپه برای ارائه رمز یکبار مصرف به مشتریان خود اپلیکیشن راه‌اندازی کرده اند ولی دیگر بانک‌ها چنین اپلیکیشنی ندارند. بنابراین رمز یکبار مصرف باید برای کاربری که در حال پرداخت وجه با اپلیکیشن است، اس‌ام‌اس ‌شود. این در حالیست که می‌توان اپلیکیشنی راه‌اندازی کرد که اس‌ام‌اس کاربر را بخواند. برای مثال تلگرام می‌تواند اس‌ام‌اس کاربران را بخواند چون همان ابتدا دسترسی دریافت اس‌ام‌اس را از کاربران می‌گیرد. البته تلگرام یک شرکت بزرگ است ولی یک اپلیکیشن که دسترسی اس‌ام‌اس دارد می‌تواند رمز یکبار مصرف کاربران را بخواند. به این دلیل اس‌ام‌اس برای اینکار بستر مناسبی نیست.»

نوری می‌گوید: «هنوز دقیقا سیاست معلوم نیست که آیا بانک‌ها برای ارسال رمز یکبار مصرف ملزم به راه‌اندازی اپلیکیشن خواهند بود؟ یا برای این منظور از اس‌ام‌اس می‌توانند در کنار اپلیکیشن‌ها استفاه کنند؟ ولی در حال حاضر که اپلیکیشن‌های ios در ایران دچار مشکل است رمز یکبار مصرف برای کابران ios باید به طور کل با اس‌ام‌اس ارسال شود.»

نوری ادامه می‌دهد: «فردی که از ایران خارج شود و به اس‌ام‌اس ایران دسترسی نداشته باشد یا فردی که سیم کارتش بسوزد یا به دلیل بدهی قطع شود برای پرداخت قبض چگونه باید روز یکبار مصرف دریافت کند. اگر گوشی موبایل فردی که اپلیکیشن دریافت رمز یکبار مصرف روی آن نصب بوده دچار مشکلاتی نظیر سرقت شود و گوشی جدید بخرد، در همان لحظه که گوشی را خریده اپلیکیشن دریافت رمز یکبار مصرف را ندارد.»

او در رابطه با دسترسی‌هایی که اپلیکیشن‌ها از کاربران می‌گیرند و از طریق آن کلاه‌برداری می‌کنند، می‌گوید: «کافه‌بازار در ابتدا اپلیکیشن‌ها را بررسی می‌کند که دسترسی بی‌مورد از کاربران نخواهند ولی اپلیکیشنی که برای سو استفاده ساخته می‌شود در کافه بازار عرضه نمی‌شود بلکه در تلگرام ارائه می‌شود. به این دلیل به کاربران می‌گوییم برای اینکه این اتفاقات به حداقل برسد اپلیکشن‌ها را از یک مارکت رسمی نظیر کافه بازار یا گوگل پلی دانلود کنید که حداقل از یک فیلتر رد شده باشند. در تلگرام افراد در کانال‌های میلیونی اپلیکیشن خود را تبلیغ می‌کنند و صاحب کانال تلگرامی هم فقط پول تبلیغ را دریافت می‌کند و دانش فنی ندارد که اپلیکیشن را بررسی کند. همچنین باید یادآوری کرد که برای فیشینگ و سواستفاده مالی از طریق نصب اپلیکیشن از عناوین جذاب که عموما محتوای جنسی دارند استفاده می‌شود.»

سواستفاده مالی از کاربران از طریق نصب اپلیکیشن

 نوری مدل‌های مختلف سو استفاده مالی از کاربران از طریق نصب اپلیکیشن‌ها را شرح می‌دهد: «یک مدل این است که می‌گوید مبلغ پایینی مثل دوهزار تومان پرداخت کنید و فیشینگ اتفاق می‌افتد و اطلاعات کاربر به سرقت می‌رود. مدل دیگر این است که صفحه پرداخت داخل اپلیکیشن باز شود و کاربر برای پرداخت به مرورگر هدایت نشود. زمانی که این اتفاق می‌افتد برنامه‌نویس اپلیکیشن قادر است محتوای صفحه پرداخت را رصد کند و تغییر دهد.»

او ادامه می دهد: «مدل دیگر این است که اپلیکیشن می‌گوید باید برای مثال هزار تومان پرداخت شود و مبلغ ۱۰۰۰ تومان را نمایش می‌دهد ولی وقتی کاربر به صفحه درگاه پرداخت بانکی هدایت می‌شود مبلغ ۵۰۰ هزار تومان برای پرداخت تعیین شده است. یعنی html این عدد در اپلیکیشن به ۱۰۰۰ تومان تغییر داده شده است. زمانی که با استفاده از اپلیکیشن‌هایی که برای فیشینگ طراحی شده، اطلاعات بانکی کاربر لو می‌رود صاحبان اپلیکیشن با اطلاعات آن کارت بانکی و به نام فرد صاحب کارت، اپلیکیشن خود را در جاهای دیگری تبلیغ می‌کنند و سیستم‌های تبلیغاتی نیز وقت و دانش برای بررسی تک‌تک اپلیکیشن‌ها ندارند. مرسوم است که نهایتا با خرید ارز دیجیتال پول حاصل را خارج کنند چون ارزدیجیتال برای هیچ کس قابل ردیابی نیست.»

او ادامه می‌دهد: «مشکل سیستماتیک دیگر این است که سال‌ها به مردم گفته شده زمانی که وارد درگاه پرداخت می‌شوید آدرس را چک کنید تا صفحه شاپرک باشد و صفحه فیشینگ نباشد و این بین بعضی از مردم جا افتاده است. جدیدا بانک مرکزی یک درگاه پرداخت ساخته است که Subdomain آن شاپرک نیست.»

نوری به مواری اشاره می‌کند که رسیدگی به آن‌ ها برای افزارش امنیت پرداخت اینترنتی نسبت به رمز یکبار مصرف اولویت بیشتری دارد: «در حال حاضر اپلیکیشن‌هایی هستند که متعلق به بانک نیستند و افراد برای پرداخت عوارض یا قبض در این اپلیکیشن‌ها اطلاعات بانکی خود را وارد می‌کنند. هیچ نظارتی روی psp ها نیست. کاربران نمی‌دانند وقتی اطلاعات خود را روی psp ذخیره می‌کنند چه اتفاقی می‌افتد. ممکن است در سطح برنامه‌نویسان psp شیطنت اتفاق بیفتد. برای مثال فرد یک اپلیکیشن برای مدیر یک psp می‌نویسد و اطلاعات کاربر را روی سرور خود نیز ذخیره می‌کند. چند وقت دیگر که این برنامه نویس از کشور خارج شود می‌تواند با اطلاعاتی که بدست آورده حساب مردم را خالی کند. زمانی که به کاربران گفته می‌شود که در اپلکیشن «آپ» یا «تاپ» اطلاعات خود را وارد کنید در واقع این اعتماد را به کاربران می‌دهیم که در اپلیکیشن‌های دیگر هم اطلاعات خود را وارد کنید.»

تمام اطلاعات کاربران در یک صفحه وارد نشود

میلاد نوری با اشاره به اینکه صفحه مورد استفاده در فیشینگ صفحه‌ای شبیه صفحه درگاه پرداخت بانکی است، می‌گوید: «از بزرگترین اشکالات امنیتی درگاه‌های پرداخت ایران این است که تمامی اطلاعات کاربر را در یک صفحه دریافت می‌کنند. اگر این اطلاعات در دو صفحه از کاربران دریافت شود فیشینگ به این راحتی صورت نمی‌گیرد. چند سال پیش متوجه شدم در یک بانک آنلاین روسی مشتریان در کنار اطلاعات خود یک جمله امنیتی را هم برای ورود به درگاه پرداخت بانکی وارد می کنند. به این صورت که در صفحه اول مشتریان اطلاعات کارت بانکی خود را وارد می‌کردند و در صفحه دوم آن جمله نمایش داده می‌شد و سپس رمز دوم مشتری درخواست می‌شد. این موضوع باعث می‌شد مشتری بفهمد در صفحه بانک است چون صفحه فیشینگ نمی‌توانست آن جمله را داشته باشد.»

دود یکبار مصرف کردن رمزها به چشم کسب‌و‌کارهای اینترنتی خواهد رفت

نوری در مورد تاثیر رمزهای یکبار مصرف روی کسب‌وکارهای اینترنتی می‌گوید: «دود یکبار مصرف کردن رمزها به چشم کسب‌و‌کارهای اینترنتی خواهد رفت. کسب‌و‌کارهای اینترنتی در این طرح دیده نشده‌اند. برای مثال یک روز مردم از خواب بیدار‌می‌شوند و می‌خواهند طبق روال گذشته از اینترنت شارژ بخرند یا می‌خواهند از ایوند خرید کنند یا از اسنپ‌فود غذا بخرند ولی نمی توانند. تا زمانی که مردم آموزش ببینند و برای درخواست رمزیکبار مصرف به بانک‌ها بروند، کسب‌و‌کارهای اینترنتی ضرر می‌کنند.»

نوری عیب دیگر رمزیکبار مصرف را اینگونه شرح می دهد: «اگر فردی ۵ کارت بانکی داشته باشد باید ۵ اپلیکیشن بانکی برای ارز یکبار مصرف روی گوشی‌اش نصب کند.»

راهکارهایی را برای جلوگیری از کلاه برداری‌های اینترنتی

نوری راهکارهایی را برای جلوگیری از کلاه برداری‌های اینترنتی و کاهش ضرر کاربران در اینترنت مطرح می‌کند: «اولین راهکار برای برون رفت از این مشکلات آموزش است. هر چند وقت وزیر ارتباطات یا مرکز ماهر آمارهایی از بدافزارها ارائه می‌دهند ولی هیچ وقت در این زمینه به مردم آموزش داده نمی‌شود که اپلیکیشن‌های خود را از کجا دانلود کنند که امن باشد. برای کاربر ایرانی عادی شده است در تلگرام اپلیکیشن نصب کند که یک فاجعه امنیتی است. راهکار دوم این است که الزام کنند که کانال‌های تلگرامی یا سایت‌هایی که تبلیغات انجام می‌دهند برای دانلود اپلیکیشن apk مستقیم نگذارند و حتما برای دانلود اپلیکیشن کابران را به کافه بازار، مایک و گوگل پلی و سایر مارکت های معتبر هدایت کنند. چون این مارکت‌ها تخصص دارند و در ابتدا برخی اپلیکیشن‌ها را فیلتر کرده‌اند.»

او ادامه می‌دهد: «راهکار سوم این است که یک مرحله به صفحات درگاه پرداخت اضافه شود و اطلاعات مهم کاربر در صفحه اول دریافت نشود. همچنین باید این امکان به وجود آید تا کاربران در پنل بانک برای کارت خود سقف پرداخت در روز تعیین کنند. در این صورت فردی که در روز برای مثال فقط شارژ می‌خرد این امکان را از بین می‌برد که مبلغ قابل توجهی در یک روز از کارتش خرج شود، بنابراین حجم ضررش پایین می‌آید.»

نوری با تاکید دوباره بر آموزش، می‌گوید: «باید در دام فیشینگ نیفتادن را به کاربران آموزش داد و آن وقت به آن‌ها گفت اگر مایل هستند به طور اختیاری از رمز یکبار مصرف استفاده کنند. فردی که فیشینگ انجام می‌دهد با هزار و یک ترفند اطلاعات کاربر را می‌گیرد. اگر رمز یکبار مصرف شود ولی کاربر همچنان آموزش ندیده باشد فیشر با ترفند‌های جدید باز همان کارها را انجام می‌دهد.»

نوری در مورد ضعف آموزش در زمینه امنیت در حوزه پرداخت ادامه می‌دهد: «برخی شهروندان فقط یک کارت بانکی دارند و ۲۰۰ میلیون تومان سرمایه زندگی آن‌ها در همان حساب است. در صورتی که شهروندان باید یک کارت بانکی با موجودی محدود برای استفاده‌های روزمره و یک کارت بانکی برای سرمایه خود داشته باشند. گاهی برای مثال به فرد می‌گویند جایزه‌ برنده شده است، به دستگاه عابر بانک مراجعه کند و برای فعال شدن جایزه وارد منوی خاصی شده و کلیدهای خاصی را فشار دهد. همان اول با توجه به دستورات آن ها منوی نگلیسی را فعال می‌کند تا نفهمد دارد چکار می‌کند و در ادامه حسابش را خالی می‌کنند. فردی که آموزش ندیده و به این شکل فریب می‌خورد اگر رمز یکبار مصرف هم بیاید باز هم او را روانه عابر بانک می‌کنند و می‌گویند رمز یکبار مصرف خود را هم برایمان بخوان و باز آن اتفاقات تکرار می‌شود.»

شهروندان نمی‌دانند اطلاعاتشان چقدر حساس است

او با اشاره به اینکه شهروندان نمی‌دانند اطلاعاتشان چقدر حساس است، می گوید: «فتوکپی یا عکس شناسنامه و کارت ملی برخی از شهروندان در دسترس افراد زیادی قرار دارد. مثلا برخی شهروندان فتوکپی کارت ملی خود را می‌دهند تا پیک ان را جایی ببرد. با همین اطلاعات سواستفاده‌های زیادی می‌توان انجام داد. برای مثال در حال حاضر در خارج از ایران وقتی ایرانی‌ها می‌خواهند به فردی بیت‌کوین بفروشند، می‌گویند تصویر کارت بانکی خود را برای ما بفرست. خیلی وقت‌ها افرادی که تصویر کارت بانکی کسی را بدست آوردند با ترفندی تصاویر کارت ملی یا شناسنامه فرد را هم قبلا بدست آورده‌اند. این سبب می‌شود خیلی راحت به اسم فرد کلاه‌برداری کنند.»

نوری با بیان اینکه شهروندان ایرانی به دلیل ضعف آموزش نمی‌دانند رمز cvv2 و تاریخ انقضا کارت بانکی امنیتی و حساس است، می‌گوید: «وقتی به شهروند ایرانی گفته می‌شود عکس کارت ملی و کارت بانکی خود را بفرست، عکس کامل کارت بانکی خود را می فرستد. اگر آموزش موثر نبود بانک می‌تواند رمز cvv2  را پشت کارت بانکی چاپ کند تا در عکس کارت‌های بانکی این رمز قابل مشاهده نباشد.»

اهمیت لو رفتن اطلاعات در ایران کوچک جلوه داده می‌شود

او اولین قدم افرادی که کار فیشینگ انجام می‌دهند یا تلفنی برای کلاهبرداری به افراد زنگ می‌زنند را جلب اعتماد می‌داند و می‌گوید: «وقتی یک دیتابیس لو می‌رود کار فیشرها برای جلب اعتماد راحت‌تر می‌شود. فردی که به دیتابیس لو رفته تپسی دسترسی داشته باشد می‌داند افرادی که اطلاعات آن‌ها را بدست آورده راننده تپسی هستند و اطلاعات سفرهای آن‌ها را دارد. خیلی راحت می‌تواند با آن‌ها تماس بگیرد و بگوید از تپسی زنگ می‌زنم، سیستم ما برای ۶ سفر آخرتان که یکی از آن‌ها به قیطریه و دیگری به نیاوران بوده به شما بدهکار است و با سودش برای مثال باید ۳۰۰ هزار تومان برای شما واریز کنیم. یا بگوید: در سال ۹۶ این میزان درآمد داشتید و ما حسابرسی کردیم و برای مثال ۱ میلیون تومان به شما بدهکاریم. لطفا کارت و شماره رمز خود را برای ما بفرستید. به این صورت می‌توان اعتماد را جلب کرد. اهمیت لو رفتن اطلاعات در ایران کوچک جلوه داده می‌شود چون نمی‌دانند از این اطلاعات کجا استفاده می‌شود.»

او ادامه می‌دهد: «وقتی با تلفن به شهروندان زنگ می‌زنند که شما برنده شده اید، شماره تلفن شهروند را به طور اتفاقی شماره‌گیری نکرده‌اند بلکه دیتابیس را از یک شرکت دولتی یا خصوصی خریده‌اند و اطلاعات شهروندان را به خوبی می‌دانند. وقتی در دیتابیس استخدامی که به دست فرد کلاه‌بردار رسیده درج شده باشد که سطح تحصیلات فردی سیکل است می‌فهمد که او انگلیسی نمی‌داند و خیلی راحت می‌تواند او را به عابر بانک بکشاند تا با منوهای انگلیسی که از آن‌ها سر در نمی‌آورد کد خود را وارد کند.»

او به دیتابیس‌های لو رفته از ایرانسل و به‌پرداخت اشاره می‌کند و می گوید: «دو سه سال پیش کل دیتابیش ایرانسل که شامل کدپستی، آدرس و سایر اطلاعات بود لو رفت. چند وقت پیش هم دیتابیس به‌پرداخت لو رفت و شاپرک اعلام کرد که در حال بررسی هستیم و ظرف ۴۸ ساعت نتیجه را منتشر می‌کنیم ولی هیچ چیزی منتشر نشد. برای لو رفتن اطلاعات قانون نداریم و کسب وکارهایی که اطلاعات آن‌ها لو رفته است بدون جریمه و تعهد به کار خود ادامه می‌دهند. باید با این موضوعات برخورد شود تا کسب‌وکارهای دیگر امنیت اطلاعات کاربران را جدی بگیرند. هنوز کسی نمی‌داند مشکل کافه بازار یا تپسی دقیقا چه بوده است و رفع شده یا خیر. در ایران وقتی مشکلی در حوزه امنیت داده‌ها رخ می‌دهد به جای پاسخگویی تیم فنی، تیم روابط عمومی برای آرام کردن افکار عمومی وارد عمل می‌شود.»