در حال خواندن
دست‌های پنهان به دنبال سودهای کلان در “رمز یک‌بار مصرف”
0

دست‌های پنهان به دنبال سودهای کلان در “رمز یک‌بار مصرف”

نویسنده:  عبداله افتاده۱۳۹۸-۰۸-۲۵

منبع: هفته نامه عصر ارتباط
بیش از یک سال است که به طور متناوب، مساله رمز دوم یک‌بار مصرف یا OTP به پای ثابت محافل فناوری و بانکی و همچنین سوژه رسانه‌ها تبدیل شده است. افزایش چشمگیر پرونده‌های فیشینگ باعث شده، معاون جدید فناوری بانک مرکزی، نسبت به اجرایی نشدن رمز دوم یک‌بار مصرف که قرار بود ابتدای خرداد 98 اتفاق بیفتد، واکنش نشان داده و طی اظهار نظری توییتری، اعلام کند که دی ماه، آخرین مهلت برای اجرایی شدن رمز دوم یک‌بار مصرف توسط همه بانک‌های صادرکننده کارت است. این اظهار نظر مختصر، ابهامات زیادی در مورد چگونگی اجرا و خصوصا مدل کسب و کار پروژه رمز دوم یک‌بار مصرف به همراه دارد. مدل کسب و کاری که اگر مانند سایر تجربه‌های بانک مرکزی در حوزه پرداخت، به درستی طراحی نشود، سودهای کلانی را به سمت عده‌ای خاص سرازیر خواهد کرد. در این گزارش، ضمن ارایه برخی مستندات از تصمیمات پشت پرده پروژه رمز دوم یک‌بار مصرف، ابعاد مختلف آن را بررسی و تحلیل کرده‌ایم.

معضل فیشینگ

در روزهای اخیر، رییس پلیس فتا استان کرمان با اشاره به افزایش بیش از ۹۶ درصدی جرایم اینترنتی از ابتدای سال جاری تاکنون، اظهار داشت: “در همین مدت بیش از ۷۰ درصد آنها مربوط به جرایم حوزه مالی و اقتصادی شامل کلاهبرداری‌های اینترنتی و برداشت‌های غیر مجاز به روش‌های مختلف است.” بنابراین تعداد جرایم سایبری به سرعت زیادی در حال رشد است و بسترهای تراکنش‌های غیرحضوری، امنیت کافی را ندارند. ضمن این که تغییر سبک زندگی مردم، باعث شده تا تعداد تراکنش‌های اینترنتی و موبایلی رشد چشمگیری داشته باشند.

طبق آمارهایی که سازمان تنظیم مقررات و ارتباطات رادیویی در سال 97 منتشر کرده است، حدودا 10 میلیون نفر مشترک اینترنت ثابت و 64 میلیون نفر مشترک اینترنت سیار هستند. بنابراین در مجموع ضریب نفوذ اینترنت در کشور بالای 90 درصد است. به همین ترتیب، مردم اکنون بسیاری از فرایندهای اجتماعی را بر بسترهای سایبری انجام می‌دهند. این خدمات سایبری، آن چنان در زندگی طبقاتی از جامعه تنیده شده است که منجر به تغییر عادات سنتی مردم و حتی مدل‌های بیزینسی بسیاری از کسب و کارها شده است. به عنوان مثال، رستوران‌ها تا چند سال قبل، عمده تمرکزشان را بر مشتریان حضوری داشته و در نهایت می‌توانستند به مشتریانی که از لحاظ فیزیکی، پیرامون خود بودند، سرویس دهند. اما امروز با قرار گرفتن در market-place‌ها، ضمن آن که مشتری در یک پاساژ الکترونیکی، امکان تنوع، مقایسه، نظرسنجی و غیره را دارد، رستوران‌ها هم می‌توانند با هزینه کم، توسعه بازار داشته باشند.

با این تغییر مهم در مدل‌های کسب و کاری، شاهد آن بودیم که تجارت الکترونیکی و کسب و کارهای مبتنی بر اینترنت رشد زیادی داشته و برای مشتریان، عادی شده است که در طول روز، سرویس‌های حمل و نقل، تهیه غذا، خرید سایر کالا و خدمات را به صورت غیر فیزیکی انجام دهند. طبیعتا مهم‌ترین حلقه از این فرآیند، انجام عملیات پرداخت الکترونیکی از طریق درگاه‌های غیرحضوری پرداخت است. عملیاتی که طی آن، مشتری اطلاعات کارت خود را وارد کرده و پس از تایید بانک صادرکننده، پرداخت وجه را انجام می‌دهد.

متاسفانه، بانکداری شخصی در ایران به شدت مبتنی بر کارت شده است و مشتری می‌تواند به ازای هر حسابی اعم از قرض‌الحسنه، جاری، کوتاه و بلندمدت، و با هر سقف مبلغی که در سپرده‌اش باشد، از بانک درخواست صدور کارت داشته باشد و عملا کارت مشتری با حسابش گره خورده است. بنابراین اگر اطلاعات کارت مشتری هک شود، تمام موجودی حسابش مورد تهدید قرار می‌گیرد. البته سقف انتقال و خرید در سیستم بانکی به 3 و 50 میلیون تومان در روز محدود شده است. لذا شاهد آن هستیم که حجم کلاهبرداری اینترنتی که عمدتا به صورت فیشینگ (phishing) و سرقت اطلاعات کارت مشتری است، در چند سال اخیر افزایش زیادی داشته است. معمولا در این روش، شخصی که قصد سرقت اطلاعات را دارد، یک صفحه جعلی، مشابه با صفحه پرداخت الکترونیکی شاپرکی ایجاد کرده که البته آدرس آن نسبت به آدرس صفحه اصلی، اختلافات جزیی دارد. به این ترتیب مشتری اطلاعات کارت خود را وارد می‌کند و این اطلاعات توسط شخص کلاهبردار ذخیره و مورد سوءاستفاده جهت خالی کردن حساب مشتری قرار می‌گیرد. عمده این موارد نیز در روزهای آخر هفته رخ می‌دهد تا با توجه به تعطیلی آخر هفته، روند مسدود کردن حساب و ثبت شکایت مشتری با کندی انجام شود.

چرا رمزهای یک‌بار مصرف؟

رمزهای پویا یا به عبارت دقیق‌تر رمزهای یک‌بار مصرف (OTP[1]) گذرواژه‌هایی هستند که در هر بار اتصال کاربر برای انجام یک عملیات تراکنشی، مانند افتتاح حساب کاربری، تراکنش مالی و غیره تولید و به مدت معلومی دارای اعتبار هستند. رمز يک‌بار مصرف براي ايمن‌سازي دسترسي کاربران به سيستم‌هاي الکترونيکي ارایه شده که در آن از قابليت‌هاي رمزنگاري براي توليد رمز تصادفي يک‌بار مصرف استفاده مي‌شود. مهمترين مزيت استفاده از OTP و يا رمز يک‌بار مصرف اين است، که سرقت اطلاعات با دانستن رمز عبور غير ممکن مي‌شود. آشنایی کاربران ایرانی با رمزهای یک‌بار مصرف به صورت گسترده در نصب اپلیکیشن‌های پیام‌رسان صورت گرفت. وقتی که اپلیکیشن برای ورود کاربر از وی شماره تلفن و یا آدرس ایمیل درخواست کرده و یک کد عبور چهار یا پنج رقمی برای کاربر ارسال می‌کند تا بدین صورت احراز هویت تکمیل شود. یکی از کاربردهای مهم این تکنولوژی، ایمن‌سازی تراکنش‌های بانکی، مخصوصا تراکنش‌های بستر اینترنت و درگاه‌های پرداخت است. آمارهای منتشر شده حاکی از حجم عظیم برداشت‌های غیر مجاز و مجرمانه از حساب کاربران شبکه بانکی است. در همین جهت و با توجه به وظایف بانک مرکزی بر تنظیم مقررات حوزه امنیت تراکنش‌های بانکی، این بانک بخشنامه ” الزامات رمزهای پویا بر تراکنش‌های مبتنی بر کارت” را منتشر و به بانک‌ها و موسسات مالی کشور ابلاغ کرد. در این بخشنامه که به کمک شرکت کاشف تهیه شده است، زمان‌بندی و مراحل مختلف اجرا به بانک‌ها تکلیف شده است. همچنین در پیوست این بخشنامه جزییات و الزامات فنی به بانک‌ها و صادرکنندگان کارت ابلاغ شده است.

حجم و ابعاد تراکنش های OTP

ایران کشوری با 85 میلیون جمعیت است که کمی بیش از 30 درصد آن بین 15 تا 60 سال سن دارند. سرویس بانکداری و پرداخت الکترونیکی برای این جامعه به گونه‌ای گسترش یافته که شبکه ملی شتاب به یکی از بزرگترین شبکه‌های ملی بانکداری الکترونیکی در غرب آسیا و شمال آفریقا تبدیل شده است. این شبکه شامل 34 سوییچ بانکی، 55 هزار خودپرداز، بیش از 7 میلیون دستگاه کارتخوان بانکی است. حدود 400 میلیون کارت در کشور صادر شده است و آمارها نشان‌دهنده فعال بودن 90 میلیون کارت در ایران است. حجم تراکنش‌های الکترونیکی در شبکه شتاب حدود 40 میلیارد در سال 97 بوده است که 21 میلیارد تراکنش به پرداخت الکترونیکی اختصاص دارد. یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از 820 تراکنش پرداخت انجام می‌دهد. این آمار مربوط به سال 97 است و تعداد تراکنش‌ها سالانه بین 25 الی 30 درصد رشد با خود به همراه دارد. حجم تراکنش‌های پرداخت الکترونیکی از لحاظ مبلغ نیز قابل توجه است و به 2500 هزار میلیارد تومان در سال می‌رسد که حتی بیش از حجم نقدینگی کل کشور است. تراکنش‌هایی که بر بستر درگاه‌های امنی مانند کارتخوان و خودپرداز انجام می‌شوند 2عاملی هستند. یعنی برای انجام تراکنش داشتن 2 فاکتور شماره کارت و رمز اول کافی است. البته غیر از رمز اول مابقی اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارت‌ها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی می‌کند.** البته باید اذعان کرد که تکنولوژی کارت‌های مغناطیسی از امنیت کافی برخوردار نیست و یک نوع از تقلب که در ایران شاهدش هستیم، سرقت اطلاعات ضبط شده در مگنت کارت‌ها است.**  در تراکنش‌هایی که اصطلاحا CNP[2]  نام دارند، 4 فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (4 تا 8 رقم)، CVV2 و تاریخ انقضای کارت است. از بین این 4 پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشا بسیاری از سرقت‌ها و سوءاستفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنش‌های CNP بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنش‌ها تا حد قابل توجهی افزایش می‌یابد. آمارهای منتشر شده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال 97، حدود 6 درصد از تراکنش‌ها بر بستر اینترنت و 6 درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه 12 درصد از تراکنش‌های شبکه پرداخت یعنی 2.5 میلیارد تراکنش سالانه که بدون حضور کارت و با 4 فاکتور انجام شده‌اند را می‌توان با ابزار OTP ایمن کرد.

هزینه اجرای این طرح چقدر است؟

در دنیا، رمزهای پویا می‌تواند بر بستر کارت، پیامک، ایمیل و یا اپلیکیشن موبایل تولید شود. البته لازم به ذکر است که **چیزی به عنوان رمز دوم در سیستم‌های پرداخت بین‌المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید می‌شود، کد CVV2 یک‌بار مصرف است نه رمز! زیرا رمز اساسا باید توسط مشتری محفوظ مانده و یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سیستم بانکی ایران است! ** فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است. با توجه به سهم 12 درصدی تراکنش‌های CNP، حدودا 2 میلیارد تراکنش نیاز به ارسال پیامک خواهند داشت. البته این تعداد پیامک در حال حاضر نیز بازار قابل اعتنایی برای اپراتورهای موبایل است. از طرف دیگر با توجه به جنجال‌های پیش آمده در سال‌های گذشته پیرامون هزینه ارسال پیامک‌ها، باید دید بانک‌ها به چه صورت می‌توانند این هزینه را از مشتری اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پیامک ابعاد کسب و کاری مختلفی دارد که از نتایج این بخشنامه است.

در ابلاغیه‌ای که پیش‌تر توسط ناصر حکیمی، معاون فناوری سابق بانک مرکزی صادر شده بود، اعلام شده در صورتی که بانک‌ها می‌توانند با قبول مسوولیت هرگونه سوءاستفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز استفاده از رمزهای ایستا را مجاز تلقی کنند. آمارها نشان می‌دهد که تنها 3 درصد از تراکنش‌های پرداخت مبلغی بالاتر از 500 هزار تومان دارند. یعنی حدودا 75 میلیون تراکنش در سال ملزم به استفاده از رمز دوم یک‌بار مصرف هستند. البته، در اظهارات محرمیان، معاون جدید فناوری بانک مرکزی، فعلا نشانی از تعیین کف مبلغ برای تراکنش‌های ملزم به استفاده از OTP نیست.

با این وصف اگر محرمیان همچنان به کف مبلغ 500 هزار تومان برای الزام به استفاده از otp معتقد باشد، نکته اصلی این است که ریسک مابقی تراکنش‌ها بر عهده بانک‌ها گذاشته شده است و ریسک معنا و ارتباط مستقیمی با هزینه دارد! ابتدا باید بررسی کرد که برای تعیین کف 500 هزار تومان، چه کار کارشناسی انجام شده است؟ در صورتی که رمز دوم ایستای یک فرد لو برود، شخص سارق امکان آن را دارد که 499 هزار تومان از حساب لو رفته، برداشت کند! آیا این عدد در بانک مرکزی توجیه و دلیل کارشناسانه‌ای داشته است؟ سوال دیگر آن است که چرا هزینه امنیت برای تراکنش‌های کمتر از 500 هزار تومان باید بر عهده بانک قرار گیرد؟ اساسا مکانیزم دقیقی برای حل و فصل این مساله از طرف بانک مرکزی مشخص نشده است. آیا این عدد کف 500 هزار تومان به مشتری اجازه می‌دهد که رمز دوم ایستا و پویا را در کنار هم داشته باشد؟ آیا در تراکنش‌های کمتر از 500 هزار تومان مشتری حق انتخاب رمز ایستا را دارد؟ یا اگر بانک نتواند مسوولیت را بپذیرد، مشتری را مجبور به استفاده از رمز پویا می‌کند؟ و یا آن که بانک‌ها خود باید تحلیل هزینه-فایده بین مخارج تولید و ارسال رمز دوم برای مشتریان از یک سو و هزینه ریسک لو رفتن رمز ایستا از سوی دیگر را انجام داده و هر بانک بنا به صلاحدید خود در این مورد تصمیم بگیرد.

هزینه‌هایی که اجرای این طرح دارد شامل چند ردیف خواهد بود: نخست هزینه تغییر در زیرساخت‌های سوییچ کارت و سامانه‌های متمرکز (corebanking) بانک‌هاست به نحوی که بتوانند در بازه زمانی کوتاهی در یک سامانه یکپارچه رمزدوم مورد درخواست را تولید کرده و پس از انجام تراکنش، رمز وارد شده توسط مشتری را با رمز صادر شده تطبیق دهند. در این مورد برآورد دقیقی نمی‌توان داشت ولی به نظر می‌رسد صورتحساب شرکت‌های پیمانکار برای بانک‌ها میلیاردی باشد. ثانیا بانک‌ها می‌بایست اپلیکیشن رمزساز را تولید کنند و یا این ماژول نرم‌افزاری را در اپلیکیشن‌های موجود خود بگنجانند. با توجه به این که حداقل 90 تا 100 میلیون کارت فعال در کشور وجود دارد، ارایه اپلیکیشن برای این حجم از کاربر بین یک تا دو هزار میلیارد تومان برآورد می‌شود. حال باید به این موضوع فکر کرد که کل حجم خساراتی که ناشی از لو رفتن رمز دوم ایستا به بانک‌ها وارد می‌شود قابل مقایسه با این هزینه‌ها است یا خیر؟

ماجرای جلسه در بانک مرکزی چه بود؟

در تاریخ 6/12/97 “جلسه کمیته بازنگری کارمزد” در اداره نظام‌های پرداخت بانک مرکزی با موضوع رمز دوم یک‌بار مصرف تشکیل شد که در آن نمایندگانی از بانک‌ها و شرکت شاپرک حضور داشته‌اند. **در نتیجه این جلسه مقرر شد که برای تراکنش‌های OTP که قرار است بر بستر اپلیکیشن‌های رمزساز به مشتریان ارایه شود، هزینه‌ای معادل 20 الی 30 هزار تومان به‌صورت آبونمان و بر اساس هر کارت بر عهده مشتری گذاشته شود. **ضمن آن که شنیده‌ها حاکی از آن است برخی شرکت‌های فناوری بانکی، زمینه‌ساز چنین پیشنهادی برای مدل بیزینسی رمز یک‌بار مصرف بوده‌اند. هر چند همتی، رییس کل بانک مرکزی هفته قبل مجددا تاکید کرد که رمز دوم یک‌بار مصرف هزینه‌ای برای مشتریان نخواهد داشت، ولی باید دید منافع شرکت‌ها و اشخاص اجازه می‌دهد که چنین پروژه‌ای بدون هزینه اجرا شود؟ البته این طور به نظر می‌رسد که در صورتی که هزینه رمز دوم برای مردم از بین برود، حتما این هزینه بر دوش بانک‌ها قرار می‌گیرد که لازم است برای آن فکری شود.

بانک‌ها چه اقداماتی کرده‌اند؟

عملکرد بانک‌ها در این زمینه متفاوت بوده است. بانک‌های بزرگ به دلیل تعداد کارت صادر شده و حجم تراکنش‌هایشان، زودتر از بقیه نسبت به تغییرات زیرساختی خود اقدام کردند. آمارها نشان می‌دهد که بیش از 50 درصد تراکنش‌ها مربوط به 3 بانک بزرگ کشور است. بنابراین لازم است بانک‌های بزرگ ابتدا پوشش کامل را برای کارت‌های خود فراهم آورند. البته با مشاهده دقیق نحوه پیاده‌سازی به این نتیجه می‌رسیم که هر بانک مسیر و روش خود را طی کرده است. مثلا طول رمز دوم پویا در اپلیکیشن‌هایی که ارایه شده از 6 تا 8 کاراکتر متفاوت است. یا زمان معتبر بودن رمز نیز در برخی از اپلیکیشن‌ها 30 ثانیه و در برخی 60 ثانیه است و بعد از این زمان رمز دیگری تولید می‌شود. مشتری نیز برای فعال‌سازی اپلیکیشن خود باید به شعب بانک مراجعه کرده و ضمن احراز هویت، کد فعال‌سازی را دریافت کند. البته نکته جالب اینجاست که در یک بانک، این احراز هویت به صورت چهره به چهره صورت نمی‌گیرد و مشتری با مراجعه به خودپرداز بانک خود و ارایه رمز اول کارت، می‌تواند کد فعال‌سازی رادریافت کند که همه این مسایل نشان‌دهنده چندگانگی در نحوه پیاده سازی توسط بانک‌ها است.

سوالاتی بی‌پاسخ

اگر بخواهیم در جمع‌بندی این گزارش، از نقطه نظر کسب و کار بانک‌ها به مساله رمز دوم یک‌بار مصرف بنگریم، با توجه به این که احتمالا تمام هزینه و ریسک آن بر عهده بانک‌های کشور قرار خواهد گرفت، سوالات زیادی بی‌پاسخ می‌ماند که امیدواریم مجددا بانک مرکزی و شرکت‌های تابعه‌ بدون همفکری و مشورت با بانک‌ها و سایر ذی‌نفعان تصمیم‌گیری نکنند. مثلا چرا بانک مرکزی که سال‌هاست از سامانه‌های مانا (مراکز ارایه نشانه‌های الکترونیکی) و سهند (سامانه هدایت نشانه‌های دیجیتال) صحبت می‌کند، برای اجرای این پروژه از آنها استفاده نکرده است؟ چرا رمزهای دوم پویا در یک سامانه متمرکز تولید نمی‌شوند تا حداقل مردم مجبور نباشند برای هر کدام از کارت‌های خود اپلیکیشن رمزساز مجزایی نصب کنند؟ تکلیف تراکنش‌های USSD در استفاده از رمز دوم یک‌بار مصرف چیست؟ زیرا نمی‌توان در تراکنش USSD که بسیار هم پرطرفدار است، منتظر دریافت رمز از طریق اپلیکیشن یا پیامک ماند. سوال بی‌پاسخ دیگر آن است که راه‌حل بانک مرکزی برای دارندگان تلفن‌های همراه غیرهوشمند (30 درصد مشترکان) که دسترسی به اینترنت و اپلیکیشن ندارند چیست و برای گوشی‌های ios و مشکلاتی که در زمینه مجوز توسعه اپلیکیشن بر بستر ios وجود دارد چه فکری شده است؟ سوال اساسی دیگر، مشخص نشدن تکلیف پروژه‌های مانا، سهند و سپاس است. با توجه به آن که محرمیان اشراف کافی بر این پروژه‌ها داشته است، آیا وقت آن نرسیده که مساله کیف پول و پرداخت‌بان‌ها حل شود و بالاخره شاهد توسعه مناسب کیف پول در کشور باشیم؟ زیرا تراکنش‌های کیف پول با ریسک کم و بدون نیاز به otp قابل انجام بوده و به خودی خود بخش مهمی از مشکلات را حل و فصل می‌کند. در ادامه این زنجیره، توسعه کسب و کار کیف پول الکترونیکی هم در گرو اصلاح نظام کارمزد است که محرمیان قولش را داده است. بنابراین شاهد سلسله‌ای از سوالات بی‌پاسخ و مسایل حل نشده در نظام‌های پرداخت کشور هستیم که لازم است پشت سر هم حل شوند چراکه در غیر این صورت، رفتار مشتری در مسیری نامناسب جهت‌دهی می‌شود که بعدها تغییر دادن آن بسیار پرهزینه خواهد بود.


[1] One Time Password(PIN)

[2] Card Not Present

درباره نویسنده
عبداله افتاده
دانش آموخته رشته روابط عمومی الکترونیک هستم، به واسطه شرایط زندگی رشته‌های مختلف کاری را تجربه کردم، تا اینکه در سال 1380 با ورود به خبرگزاری ایرنا استان تهران به عنوان خبرنگار متوجه اشتیاق فراوان به این حرفه شدم. از آن زمان تاکنون نیز در رسانه‌های مختلف در حوزه فناوری اطلاعات و ارتباطات مشغول به فعالیت بوده‌ام. موجب خرسندی است اگر انتقادات، پیشنهادات و سوژه های خبری خود را از طریق کانال‌های ارتباطی زیر با من به اشتراک بگذارید.

ارسال یک نظر