هشت ماه رمز دوم پویا به روایت آمار

در گزارش پیشین عملکرد پنج ماهه نخست رمز دوم پویای اجباری را برمبنای داده‌های واقعی درگاه پرداخت اینترنتی وندار، بررسی کردیم. در متن حاضر نتیجه‌گیری و پیش‌بینی گزارش پیشین را با محک داده‌های ماه‌های تیر تا مهر۹۹ سنجیده‌ایم. آیا همان‌طور که پیش‌بینی می‌شد، کاربران به پیچیده‌تر شدن فرآیند خرید اینترنتی عادت کرده‌اند؟ مجرمان پشت کلاهبرداری‌های اینترنتی چطور؟ آیا روش‌های جدید تله‌گذاری (فیشینگ) دستاورد‌های رمز دوم پویا را کمرنگ کرده‌اند؟

عملکرد رمز دوم پویا را می‌توان از دو جنبه سنجید:

• پیچیده‌تر شدن فرآیند خرید اینترنتی و در نتیجه افزایش خطاهای کاربری در درگاه‌ پرداخت
• افزایش امنیت کارت‌های بانکی و در نتیجه کاهش تراکنش‌های استعلام شده توسط پلیس فتا

آیا کاربران به پیچیده‌تر شدن فرآیند خرید اینترنتی عادت کرده‌اند؟

یک معیار خوب برای سنجش پیچیدگی یا سادگی فرآیند خرید اینترنتی، نسبت خطاهای کاربران به تعداد کل تراکنش‌های درگاه است. خطاهایی مانند وارد کردن رمز اشتباه، ناکافی بودن موجودی کارت یا نامعتبر بود کارت که به دلیل اختلال در عملکرد نظام پرداخت رخ‌ نداده‌اند و نشان‌دهنده‌ی خطای کاربر در استفاده از این خدمات هستند.

در ادامه‌ی روند ماه‌های گذشته خطاهای کاربری‌ که در دی و بهمن سال ۹۸ صرفا به دلیل ناآشنایی کاربران با روند تازه افزایش یافته بود، از مرداد و شهریور ۹۹ به سطح عادی خود (پیش از اجباری شدن رمز دوم پویا) بازگشته است.

این بازگشت به سطح تعادلی پیشین به ویژه در سهم تراکنش‌های ناموفق ناشی از خطاهای رمز دیده می‌شود. تراکنش‌هایی که به نظر می‌رسد سهمی حدود ۶ تا ۷درصدی از کل تراکنش‌ها دارند و این سهمِ طبیعی ارتباطی به رمز دوم پویا نداشته است.

عملکرد بانک‌ها در پیاده‌سازی رمز دوم

اما بانک‌های مختلف رمز دوم پویا را به یک شکل پیاده‌سازی نکرده‌اند. از آغاز این طرح بیشتر بانک‌ها نرم‌افزار رمزساز مخصوص خود را ارائه کردند و هر بانکی در زمان متفاوتی ارسال پیامکی رمز دوم پویا را فعال‌سازی کرد. مقایسه‌ی سهم کارت بانک‌های مختلف از خطاهای رمز می‌تواند نشان‌‌دهنده‌ی بهره‌وری سامانه‌ی رمز دوم بانک‌ها باشد. اما در این مقایسه باید این نکته را در نظر گرفت که سهم بانک‌ها از کارت‌های صادرشده یکسان نیست و طبیعتا بانکی که کارت‌های بیشتری در دست کاربران دارد، سهم بیشتری هم از خطاهای رمزِ روی درگاه خواهد داشت. برای حذف این اثر، تعداد خطاهای رمز کارت‌های هر بانک‌ در هر ماه را به تعداد کل تراکنش‌های انجام‌شده توسط کارت‌های آن بانک در آن ماه تقسیم کردیم. به این ترتیب شاخص جدیدی برای سنجش عملکرد سامانه‌ی رمز دوم هر بانک بدست می‌آید: درصد سهم خطاهای رمز از سهم کل تراکنش‌ها.

در بررسی روند تغییرات این شاخص از یک عامل مهم دیگر هم نباید چشم‌پوشی کرد. بانک‌های مختلف جامعه‌ی مشترکین مختلفی هم دارند، مشترکینی با سطح دانش و مهارت نرم‌افزاری گوناگون که از بخش‌های مختلفی از جامعه آمده‌اند. برای در نظر گرفتن این عامل در مقایسه‌ی بالا درصد خطای رمز از کل تراکنش‌های آذرماه ۹۸ هر بانک (پیش از اجباری شدن رمز دوم پویا) را مبنای سنجش عملکرد همان بانک قرار می‌دهیم. و افزایش بیش از ۱.۵درصدی شاخص سهم خطاهای رمز از این مبنا را افزایشی غیرقابل قبول فرض می‌کنیم.

با این مقایسه در مهر ماه ۹۹ از میان بانک‌هایی که کارت‌های آنها سهم مهمی از تعداد تراکنش‌های درگاه وندار داشته‌اند (بیش از ۲درصد از کل تراکنش‌ها) بانک‌های صادرات و سپه بیشترین افزایش درصد خطا از کل ترکنش‌ها را داشته‌اند. بانک سپه نرم‌افزار رمز‌یاب مخصوص خودش را توسعه داده است اما بانک‌های صادرات، آینده و کشاورزی، هر سه از نرم‌افزار رمزیاب ریما استفاده می‌کنند و چنین افزایش معنی داری در درصد خطا از کل تراکنش‌های بانک‌های آینده و کشاورزی دیده نمی‌شود. بنابراین شاید علت این مشکل را باید در سیستم پیامکی بانک صادرات جست.

به نظر می‌رسد بانک‌های ملت، سامان، آینده و پارسیان به سرعت توانسته‌اند مشکلات سامانه‌ی رمز دوم‌شان را اصلاح کنند و درصد خطای رمز کارت‌های خود را به صورت چشمگیری کاهش دهند. و سامانه‌های بانک‌های ملی‌، پاسارگاد، تجارت و شهر از همان ابتدای طرح عملکرد قابل قبولی داشته‌اند و بلافاصله بعد از آشنایی کاربران با روند‌های تازه سهم خطاهای رمز از کل تراکنش‌های آنها به سطح عادی برگشته است.

اما آیا روش‌های جدید تله‌گذاری (فیشینگ) دستاورد‌های رمز دوم پویا را کمرنگ نکرده‌اند؟

استعلام‌های پلیس فتا از کارت‌های مشکوکی که در درگاه‌های بانکی معامله کرده‌اند، بخشی از روند رسیدگی‌ِ دادگاه‌ها به شکایت قربانیان کلاهبرداری تله‌گذاری است. اگرچه در بعضی از مواردِ این استعلام‌ها لزوما جرمی اتفاق نیافتاده است، اما تعداد آنها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه‌ی پرداخت.

این استعلام‌ها با اجباری شدن رمز دوم پویا کاهش چشمگیری یافتند، تا جایی که تعداد آنها به ازای هر ده هزار تراکنشِ درگاه در فروردین‌ ماه ۹۹ به کمتر از نیم رسید. اما از خرداد ماه و با روش‌های تازه‌ای که کلاه‌برداران برای تله‌گذاری سرراه کاربران بکار بردند، موج جدیدی از استعلام‌ها از راه رسید. موجی که به نظر می‌رسید شیب نگران‌کننده‌اش ظرف چند ماه، سطح تراکنش‌های مشکوک را به عددی نزدیک به آذرماه و پیش از اجباری شدن رمز پویا بازگرداند. داده‌های ماه‌های اخیر اما نشان می‌دهد که اگرچه این تراکنش‌های مشکوک همچنان بسیار بیشتر از فروردین‌ ماه هستند، اما تعادلی در تعدادی بسیار پایین‌تر از تعداد آنها در آذرماه (بیش از ۳۰تراکنش مشکوک در هر ۱۰هزار تراکنش) در حال شکل‌گیری است. روندی که می‌تواند باعث شود تعداد این تراکنش‌ها در محدوده‌ی عددی کمتر از ۱۰ تراکنش مشکوک در هر ۱۰هزار تراکنش بماند.

نکته‌ی امیدوارکننده این است که سرعت رسیدگی قضایی به کلاهبرداری‌های اینترنتی در ماه‌های گذشته افزایش قابل توجهی داشته است. و برخلاف گذشته انتظار نمی‌رود تراکنش‌های مشکوکی که در این گزارش به آنها اشاره شده است، با گذشت زمان و پیگیری پرونده‌های بیشتر، افزایش قابل اعتنایی پیدا کنند.

در بررسی این داده‌ها باید توجه داشت که حساب بانکی کاربران مانند خانه‌ای است که کلاهبرداران اینترنتی قصد سرقت از آن را دارند. اگرچه رمز دوم پویا درِ ورودی ضدسرقتی است که با بخش‌نامه‌ی بانک مرکزی به صورت اجباری روی همه‌ی خانه‌ها نصب شده، اما همچنان دزدهای حرفه‌ای‌تر می‌توانند از پنجره‌های بی‌حفاظ وارد این خانه شوند. مشاهدات نشان می‌دهد که خرید اینترنتی با یک کارت مشکوک گاهی آخرین حلقه از یک کلاهبرداری پیچیده‌تر است که ممکن است از تله‌گذاری برای اینترنت بانک کاربر شروع شده باشد.

در موارد این‌چنینی مجرمان اینترنتی پس از تله‌گذاری و دست‌یابی به رمز اینترنت بانک کاربران، موجودی حساب قربانی را به یک حساب اجاره‌ای منتقل می‌کنند و از آنجا با کارتی اجاره‌ای در یک درگاه پرداخت، پول سرقت‌شده را به کالاهایی غیرقابل ردگیری مانند رمزارزها تبدیل می‌کنند. رمز دوم پویا نمی‌تواند در برابر این‌گونه تله‌گذاری‌ها ابزار موثری باشد، چرا که در این موارد اصولا رمز کارتی که آخرین تراکنش با آن انجام شده، به سرقت نرفته‌ بوده است (کوچ کلاهبرداری اینترنتی از درگاه، به اینترنت بانک).

در هفته‌های اخیر زمزمه‌های طرح‌هایی برای بهبود رمز دوم پویا به گوش می‌رسد. هرچند در مورد سود و زیان طرح‌هایی مانند هریم۲ که با افزایش امنیت رمز پویا همزمان مشکلات و پیچیدگی‌های بیشتری سر راه کسب‌وکارهای اینترنتی قرار می‌دهند باید در گزارش دیگری صحبت کرد، اما به نظر وندار به عنوان پرداخت‌یاری پیشرو در اجرای شیوه‌نامه‌های امنیتی، طرح‌هایی مانند این برای افزایش امنیت شبکه‌ی پرداخت به تنهایی کافی نیستند. و اگر این تصمیمات در کنار آموزش همگانی برای آشنایی با شیوه‌های تله‌گذاری و مسئولیت افراد روی حساب‌هایی که به نام آنها باز شده است و افزایش همزمان حساسیت روی همه‌ی خروجی‌های حساب‌های بانکی (مانند اینترنت بانک)، به کار برده شوند نتیجه‌ی بهتری خواهند داشت.

در پایان به باور ما داده‌های حاضر بیانگر عملکرد قابل قبول رمز دوم پویا در افزایش امنیت حساب بانکی کاربران است. البته همچنان دغدغه‌های کسانی که نگران دسترسی‌پذیری خدمات اینترنتی برای گروه‌های سنی و اجتماعی مختلف یا افرادی با سطح توانایی‌های متفاوت جسمی هستند را، نگرانی‌های به‌جایی می‌دانیم که متخصصین دیگری باید درباره‌ی آنها اظهار نظر کنند.

وندار خود را به ساختن ارتباطی حرفه‌ای و پاسخگویی سریع بین کسب‌وکارها و مراجع قضایی و کمک به ارائه راه‌کارهای خلاقانه برای جلوگیری از تله‌گذاری متعهد می‌داند. به این امید که هم از مسدود شدن حساب کسب‌وکارهای طرف قرارداد به دلیل مشکلات تراکنش‌های مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواسته‌ها و دستورالعمل‌های ساختار قضایی و پلیس فتا باشد.