نیما امیر شکاری مدیرگروه بانکداری الکترونیک پژوهشکده پولی و بانکی در یادداشتی که در اختیار خبرگزاری تسنیم قرار داده به بیان پیشنهادی برای ارتقای خدمات بانکداری اینترنتی بانکهای ایرانی پرداخت.
در ادامه مشروح این یادداشت را می خوانید؛
سرقت های مالی آنلاین یک مشکل جهانی است و سالانه میلیاردها دلار به موسسات مالی دنیا خسارت می زند. در ایران هم میزان این خسارت دهها میلیارد تومان در سال است و از کل جرایم رایانهای و اینترنتی 47 درصد مربوط به سرقت از حسابهای بانکی اشخاص از طریق اینترنت است و نرخ جرایم رایانهای به شدت در حال افزایش است.
به گفته رئیس پلیس فتای استان گیلان، در سال 92 هفت میلیارد و 500 میلیون ریال از حساب شهروندان این استان بصورت اینترنتی سرقت شده است و با توجه به جمعیت این استان که 2/3 درصد از کل کشور می باشد، می توان چند ده میلیارد تومان سرقت اینترنتی را تقریبی معقول دانست.
با گستردگی تهدیدهایی از قبیل فیشینگ (سایتهای جعلی)، فارمینگ (برنامه های سرقت اطلاعات از روی کیبورد) و انواع بدافزارها، پسوردهای استاتیکی کمترین امنیت را دارا هستند و بهترین راهکار موجود در حال حاضر برای بالابردن امنیت تراکنشهای مالی، استفاده از رمز عبور یکبار مصرف یا OTP است؛ به این ترتیب که کاربران این کد چند رقمی را از طریق SMS و یا دستگاههای رمزیاب یا توکن دریافت می کنند تا علاوه بر وارد کردن مشخصات کارت بانکی و پسوورد و سوالهای امنیتی برای احراز هویت این کد را هم در صفحه لاگین وارد کنند.
اما مشکل OTP این است که این کدها با استفاده از انواع حملات از قبیل فیشینگ و حملات مرد میانی ( (MITMبه سرقت می رود. مثلا تروجانهایی مانند Zeus خود را در مرورگر پنهان می کنند و وقتی که کاربر در صفحه بانکی اش لاگین کرد و تمام مشخصات خود از جمله پسوورد و سوالهای امنیتی و OTP را وارد کرد، وارد عمل می شود و بدون اینکه کاربر بداند این کد را به سرقت می برد و خطایی از قبیل قطعی اتصال به اینترنت برای کاربر نمایش داده می شود. و یا اینکه کد یک بار مصرف بدون اینکه به سرقت برود مورد سوء استفاده قرار می گیرد. به این ترتیب که شماره حساب و مبلغ دستکاری می شود و یک انتقال کاملا قانونی (از دیدگاه سیستمهای نظارتی بانکها) صورت می گیرد و خود کاربر هم متوجه نمی شود.
حتی در کشورهای توسعه یافته نیز تا کنون هیچ راهکار فنی مبتنی بر برنامه نویسی برای مقابله با این سرقت ها به ثبت نرسیده و تمام راهها کماکان قابل نفوذ هستند. اما در راه حل ابتکاری که این مقاله به آن اشاره دارد، با نام FAA (Freezing of Accounts and Amount)، لاگین کردن در صفحه بانکها، درگاه های پرداخت اینترنتی (IPG) و سایر پرداخت های از راه دور در دو مرحله صورت می گیرد. به این صورت که در مرحله اول کاربر نام کاربری، پسورد و همچنین شماره حساب و مبلغ را وارد می کند، سپس پیامکی شامل « نام دریافت کننده »، « مبلغ پرداختی » و «رمز یکبار مصرف (OTP)» از طرف بانک برای او فرستاده می شود (بصورت همزمان در یک پیامک). با داشتن این پیامک، مشتری اطلاعات ارسالی خود را چک می کند و اگر درست باشد OTP را وارد می کند. به این ترتیب شماره حساب پرداخت و هچنین مبلغ پرداختی فریز می شود و غیر قابل تغییر است. سپس وارد مرحله بعدی یعنی وارد کردن مشخصات کارت بانکی و ادامه مسیر پرداخت می شود.
این راهکار سرقتهای اینترنتی از طریق فیشینگ، فارمینگ و همچنین از طریق تروجانهای خطرناکی مانند زئوس را خنثی می کند و بدون نیاز به سرمایه گذاری خاصی، تنها با اندکی تغییرات ساده در وبسایت و درگاه پرداخت یک موسسه مالی قابل اجراست. مشتریان هم نیازی به استفاده از وسایل اضافی از قبیل توکن ها ندارند. یک مزیت دیگر هم این است که در راهکار FAA سرور بانک می تواند از یک کد رندوم به عنوان OTP برای جلسه کاری استفاده کند و نیازی به هیچ پیچیدگی خاصی برای ساخت OTP و یا نگرانی از سوء استفاده از محتوای پیامک قبل از اینکه به دست مشتری برسد وجود ندارد، چراکه نام دریافت کننده و مبلغ در پیامک ارسالی فریز شده است. به این ترتیب یکی از مشکلات بعضی از بانکها برای عدم استفاده از OTP رفع می شود.
راهکار FAA علاوه بر افزایش امنیت انتقال های اینترنتی، در امنیت خریدهای اینترنتی هم قابل استفاده می باشد. به این ترتیب که کاربر بعد از انتخاب کالا وارد مرحله اول لاگین به درگاه پرداخت می شود. سپس یک پیامک شامل « نام مرجع خرید »، « مبلغ پرداختی » و « کد تایید یا همان OTP » برای او فرستاده می شود تا کاربر با وارد کردن OTP و تکمیل سایر اطلاعات، خرید امنی داشته باشد.
مطمئناً چنین راهکارهایی سطح اعتماد به بانکداری اینترنتی را ارتقا می بخشد و باعث صرفه جویی در وقت و هزینه مشتریان، کاهش هزینه های بانکها، کم کردن هزینه های قضایی و پلیسی و تبعاتی از این دست می شود. این طرح هم اکنون در حال طی مراحل نهایی ثبت در سازمان اسناد و املاک (اداره کل مالکیت صنعتی) است و در ناحیه آمریکای شمالی به همراه جزئیات اجرایی و الگوریتم تولید رمز به ثبت رسیده است و آماده بهره برداری در کشور می باشد.
انتهای پیام/