کارنامه رمز دوم پویا به روایت آمار/ سهم بانکها در خطاهای رمز دوم
اخبار بانک و بیمه پایشگر-استفاده از رمز دوم پویا ،اواخر سال گذشته اجباری شد تصمیمی که هنوز هم موافقان و مخالفان سرسختی دارد و هر دو گروه نیز، استدلالهایی منطقی را بیان میکنند. با این حال پرسش مهم اینجاست که آیا پس از گذشت ماهها از اجباری شدن رمز دوم پویا، کاربران به پیچیدهتر شدن فرآیند خرید اینترنتی عادت کردهاند؟ از سوی دیگر مجرمان پشت کلاهبرداریهای اینترنتی چطور؛ آیا روشهای جدید تلهگذاری یا «فیشینگ» دستاوردهای رمز دوم پویا را کمرنگ کرد؟ این گزارش تلاش میکند به همین سوالات، پاسخ دهد و کارنامه رمز دوم پویا را در یک بازه زمانی ۸ ماهه بررسی کند.
به گزارش پایگاه خبری تحلیلی پایشگر ، دادههایی که در این مطلب مشاهده خواهید کرد، برمبنای دادههای واقعی درگاه پرداخت اینترنتی شرکت پرداخت یار «وندار» نزد کسبوکارهای گوناگون به دست آمدهاند. پیش از این و در تیر ماه، دیجیاتو و وندار کارنامه ۵ ماهه رمز دوم پویا را بررسی کرده بودند. اکنون اما این گزارش بازه زمانی بیشتری را بررسی کرده است تا عملکرد رمز دوم پویا برمبنای دادههای واقعی درگاه پرداخت اینترنتی وندار نزد کسبوکارهای گوناگون، از دو جنبه سنجیده شود:
- پیچیدهتر شدن فرآیند خرید اینترنتی و در نتیجه افزایش خطاهای کاربری در درگاه پرداخت
- افزایش امنیت کارتهای بانکی و در نتیجه کاهش تراکنشهای استعلام شده توسط پلیس فتا
آیا کاربران به پیچیدهتر شدن فرآیند خرید اینترنتی عادت کردهاند؟
نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنشها معیار مناسبی برای سنجش پیچیدگی یا سادگی فرآیند خرید اینترنتی است. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیکی نبودهاند و نشاندهندهی خطای کاربر در استفاده از خدمات هستند.
همانطور که پیشبینی میشد افزایش خطاهای کاربری در دی و بهمن ماه سال ۹۸ صرفا به دلیل ناآشنا بودن کاربران با روند جدید بوده و به تدریج نسبت خطاهای کاربری و سهم خطاهای رمز (وارد کردن اشتباه رمز کارت) به سطح عادی خود، پیش از اجباری شدن رمز دوم پویا برگشته است.
این بازگشت به سطح تعادلی پیشین به ویژه در سهم خطاهای رمز از خطاهای کاربری دیده میشود. دادهها نشان میدهد که سهم حدود ۶ تا ۷ درصدی تراکنشهای ناموفقِ ناشی از خطا در وارد کردن رمز از کل تراکشها، سهم طبیعی این دست از خطاها بوده و ارتباطی به رمز دوم پویا ندارد.
سهم بانکها در خطاهای رمز دوم
اما پیادهسازی رمز دوم پویا در بانکهای مختلف رمز دوم پویا را یکسان نبوده است. از ابتدا بانکها نرمافزار رمزساز مخصوص خود را ارائه کردند و هر بانکی در زمان متفاوتی، ارسال پیامکی رمز دوم پویا را فعال کرد. مقایسهی سهم کارت بانکهای مختلف از خطاهای رمز میتواند نشاندهندهی بهرهوری سامانهی رمز دوم بانکها باشد.
اما نکتهی مهم در این مقایسه این است که سهم بانکها از کارتهای صادرشده یکسان نیست. بانکی که کارتهای بیشتری در دست کاربران دارد، طبیعتاً سهم بیشتری هم از خطاهای رمزِ روی درگاه دارد. روشی که این اثر را حذف میکند، تقسیم تعداد خطاهای رمز کارتهای هر بانک در هر ماه به تعداد کل تراکنشهای انجامشده توسط کارتهای آن بانک در آن ماه است. روشی که شاخص جدیدی برای سنجش عملکرد سامانهی رمز دوم هر بانک به دست میدهد: «درصد سهم خطاهای رمز از سهم کل تراکنشها.»
اما در هنگام بررسی روند تغییرات این شاخص از سطح دانش و مهارت کار با نرمافزار متفاوت جامعهی مشترکین هر بانک هم نباید چشمپوشید. چرا که بانکهای مختلف سابقه و جامعهی هدف مشترکین متفاوتی از بخشهای مختلف جامعه دارند. مبنا قرار دادن افزایش درصد خطای رمز از کل تراکنشها به نسبت عدد این شاخص در آذرماه ۹۸ هر بانک (پیش از اجباری شدن رمز دوم پویا) میتواند این عامل مهم را هم از مقایسهی بالا حذف کند. در جدول بالا افزایش بیش از ۱.۵ درصدی این شاخص، افزایشی غیرقابل قبول فرض شده است.
به این ترتیب در مهر ماه ۹۹، از میان بانکهایی که کارتهای آنها سهم مهمی از تعداد تراکنشهای درگاه وندار داشتهاند (بیش از ۲درصد از کل تراکنشها) بانکهای صادرات و سپه بیشترین افزایش درصد خطا از کل ترکنشها را داشتهاند. بانک سپه نرمافزار رمزیاب مخصوص خودش را توسعه داده است اما بانکهای صادرات، آینده و کشاورزی، هر سه از نرمافزار رمزیاب ریما استفاده میکنند و چنین افزایش معنیداری در درصد خطا از کل تراکنشهای بانکهای آینده و کشاورزی دیده نمیشود. بنابراین شاید علت این مشکل را باید در سیستم پیامکی بانک صادرات جستجو کرد.
به نظر میرسد بانکهای ملت، سامان، آینده و پارسیان به سرعت توانستهاند مشکلات سامانهی رمز دومشان را اصلاح کنند و درصد خطای رمز کارتهای خود را به صورت چشمگیری کاهش دهند. و سامانههای بانکهای ملی، پاسارگاد، تجارت و شهر از همان ابتدای طرح عملکرد قابل قبولی داشتهاند و بلافاصله بعد از آشنایی کاربران با روندهای تازه سهم خطاهای رمز از کل تراکنشهای آنها به سطح عادی برگشته است.
آیا روشهای جدید فیشینگ دستاوردهای رمز دوم پویا را کمرنگ نکرد؟
تعداد کارتهای مشکوکی که پلیس فتا از درگاههای بانکی استعلام میکند، بخشی از روند رسیدگیِ دادگاهها به شکایت قربانیان کلاهبرداری تلهگذاری است. اگرچه در بعضی تراکنشهای مشکوکی که استعلام میشوند لزوما جرمی رخ نداده، اما تعداد این استعلامها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه پرداخت.
همانطور که روند دادههای ماههای گذشته نشان میداد، این استعلامها با اجباری شدن رمز دوم پویا کاهش قابل ملاحظهای داشتهاند. تا جایی که تعداد استعلام کارتهای مشکوک به ازای هر ده هزار تراکنش در فروردین ماه ۹۹ به کمتر از نیم کارت رسید. اما از خرداد ماه و با روشهای جدیدی که مجرمان اینترنتی برای تلهگذاری سرراه کاربران بکار بردند، موج جدیدی از استعلام کارتهای مشکوک از راه رسید. موجی که با شیب نگرانکنندهاش به نظر میرسید بتواند ظرف چند ماه سطح تراکنشهای مشکوک را به سطحی نزدیک به آذر ماه و پیش از اجباری شدن رمز پویا برگرداند.
اما دادههای سه ماه گذشته نشان میدهد که اگرچه این تراکنشهای مشکوک همچنان بسیار بیشتر از فروردین ماه هستند، اما تعادلی در سطحی بسیار پایینتر از تعداد آنها در آذرماه (بیش از ۳۰تراکنش مشکوک در هر ۱۰هزار تراکنش) در حال شکلگیری است و دور از انتظار نیست که در ماههای آینده هم این رقم همچنان کمتر از ۱۰تراکنش مشکوک در هر ۱۰هزار تراکنش باقی بماند.
باید توجه داشت که سرعت رسیدگی قضایی به کلاهبرداریهای اینترنتی در ماههای گذشته به صورت قابل توجهی افزایش یافته است و برخلاف گذشته انتظار نمیرود تراکنشهای مشکوکی که در این گزارش به آنها اشاره شده است با گذشت زمان افزایش قابل اعتنایی پیدا کنند.
همچنین در تحلیل این آمار باید در نظر داشت که حساب بانکی کاربران مثل خانهای است که کلاهبرداران اینترنتی قصد سرقت از آن را دارند. اگرچه رمز دوم پویا در ورودی ضد سرقتی است که با بخشنامهی بانک مرکزی به صورت اجباری روی همهی خانهها نصب شده است، اما همچنان دزدهای حرفهایتر میتوانند از پنجرههای بیحفاظ وارد این خانه شوند.
مشاهدات نشان میدهد که خرید اینترنتی با یک کارت مشکوک گاهی آخرین حلقه از یک کلاهبرداری پیچیدهتر است که ممکن است از تلهگذاری برای اینترنت بانک کاربر شروع شده باشد. در این موارد پس از تلهگذاری و دستیابی به رمز اینترنت بانک کاربران، مجرمان اینترنتی موجودی حساب قربانی را به یک حساب اجارهای منتقل میکنند و از آنجا با کارتی اجارهای در یک درگاه پرداخت، پول سرقت شده را به کالاهایی غیر قابل ردگیری مانند رمز ارزها تبدیل میکنند. رمز دوم پویا نمیتواند در برابر اینگونه تلهگذاریها موثر باشد چرا که در موارد اینچنینی اصولا رمز کارتی که آخرین تراکنش با آن انجام شده به سرقت نرفته بوده است.
وندار اعلام میکند که این گزارش، نشاندهندهی عملکرد قابل قبول رمز دوم پویا برای افزایش امنیت حساب بانکی کاربران است، البته همچنان دغدغههای مخالفانی که نگران دسترسیپذیری خدمات اینترنتی برای گروههای سنی، اجتماعی یا افرادی با سطح تواناییهای متفاوت جسمی هستند را نگرانیهایی به جا میداند که متخصصین دیگری باید دربارهی آنها اظهار نظر کنند.
از سوی دیگر، در هفتههای اخیر زمزمههای طرحهایی برای بهبود رمز دوم پویا به گوش میرسد. هرچند در مورد سود و زیان طرحهایی مانند «هریم۲» که با افزایش امنیت رمز پویا همزمان مشکلات و پیچیدگیهای بیشتری سر راه کسبوکارهای اینترنتی قرار میدهند باید در گزارش دیگری صحبت کرد، اما وندار در همین رابطه مینویسد:
«برای افزایش امنیت شبکه پرداخت، اجرای طرحهایی مانند این به تنهایی کافی نیست، و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوههای تلهگذاری و مسئولیت افراد روی حسابهایی که به نام آنها باز شده است و افزایش همزمان حساسیت روی همهی خروجیهای حسابهای بانکی (مانند اینترنت بانک)، به کار برده شوند تا نتیجهی بهتری بدست آید.»
*امیر مستکین