در گزارش پیشین عملکرد پنج ماهه نخست رمز دوم پویای اجباری را برمبنای دادههای واقعی درگاه پرداخت اینترنتی وندار، بررسی کردیم. در متن حاضر نتیجهگیری و پیشبینی گزارش پیشین را با محک دادههای ماههای تیر تا مهر۹۹ سنجیدهایم. آیا همانطور که پیشبینی میشد، کاربران به پیچیدهتر شدن فرآیند خرید اینترنتی عادت کردهاند؟ مجرمان پشت کلاهبرداریهای اینترنتی چطور؟ آیا روشهای جدید تلهگذاری (فیشینگ) دستاوردهای رمز دوم پویا را کمرنگ کردهاند؟
عملکرد رمز دوم پویا را میتوان از دو جنبه سنجید:
آیا کاربران به پیچیدهتر شدن فرآیند خرید اینترنتی عادت کردهاند؟
یک معیار خوب برای سنجش پیچیدگی یا سادگی فرآیند خرید اینترنتی، نسبت خطاهای کاربران به تعداد کل تراکنشهای درگاه است. خطاهایی مانند وارد کردن رمز اشتباه، ناکافی بودن موجودی کارت یا نامعتبر بود کارت که به دلیل اختلال در عملکرد نظام پرداخت رخ ندادهاند و نشاندهندهی خطای کاربر در استفاده از این خدمات هستند.
در ادامهی روند ماههای گذشته خطاهای کاربری که در دی و بهمن سال ۹۸ صرفا به دلیل ناآشنایی کاربران با روند تازه افزایش یافته بود، از مرداد و شهریور ۹۹ به سطح عادی خود (پیش از اجباری شدن رمز دوم پویا) بازگشته است.
این بازگشت به سطح تعادلی پیشین به ویژه در سهم تراکنشهای ناموفق ناشی از خطاهای رمز دیده میشود. تراکنشهایی که به نظر میرسد سهمی حدود ۶ تا ۷درصدی از کل تراکنشها دارند و این سهمِ طبیعی ارتباطی به رمز دوم پویا نداشته است.
عملکرد بانکها در پیادهسازی رمز دوم
اما بانکهای مختلف رمز دوم پویا را به یک شکل پیادهسازی نکردهاند. از آغاز این طرح بیشتر بانکها نرمافزار رمزساز مخصوص خود را ارائه کردند و هر بانکی در زمان متفاوتی ارسال پیامکی رمز دوم پویا را فعالسازی کرد. مقایسهی سهم کارت بانکهای مختلف از خطاهای رمز میتواند نشاندهندهی بهرهوری سامانهی رمز دوم بانکها باشد. اما در این مقایسه باید این نکته را در نظر گرفت که سهم بانکها از کارتهای صادرشده یکسان نیست و طبیعتا بانکی که کارتهای بیشتری در دست کاربران دارد، سهم بیشتری هم از خطاهای رمزِ روی درگاه خواهد داشت. برای حذف این اثر، تعداد خطاهای رمز کارتهای هر بانک در هر ماه را به تعداد کل تراکنشهای انجامشده توسط کارتهای آن بانک در آن ماه تقسیم کردیم. به این ترتیب شاخص جدیدی برای سنجش عملکرد سامانهی رمز دوم هر بانک بدست میآید: درصد سهم خطاهای رمز از سهم کل تراکنشها.
در بررسی روند تغییرات این شاخص از یک عامل مهم دیگر هم نباید چشمپوشی کرد. بانکهای مختلف جامعهی مشترکین مختلفی هم دارند، مشترکینی با سطح دانش و مهارت نرمافزاری گوناگون که از بخشهای مختلفی از جامعه آمدهاند. برای در نظر گرفتن این عامل در مقایسهی بالا درصد خطای رمز از کل تراکنشهای آذرماه ۹۸ هر بانک (پیش از اجباری شدن رمز دوم پویا) را مبنای سنجش عملکرد همان بانک قرار میدهیم. و افزایش بیش از ۱.۵درصدی شاخص سهم خطاهای رمز از این مبنا را افزایشی غیرقابل قبول فرض میکنیم.
با این مقایسه در مهر ماه ۹۹ از میان بانکهایی که کارتهای آنها سهم مهمی از تعداد تراکنشهای درگاه وندار داشتهاند (بیش از ۲درصد از کل تراکنشها) بانکهای صادرات و سپه بیشترین افزایش درصد خطا از کل ترکنشها را داشتهاند. بانک سپه نرمافزار رمزیاب مخصوص خودش را توسعه داده است اما بانکهای صادرات، آینده و کشاورزی، هر سه از نرمافزار رمزیاب ریما استفاده میکنند و چنین افزایش معنی داری در درصد خطا از کل تراکنشهای بانکهای آینده و کشاورزی دیده نمیشود. بنابراین شاید علت این مشکل را باید در سیستم پیامکی بانک صادرات جست.
به نظر میرسد بانکهای ملت، سامان، آینده و پارسیان به سرعت توانستهاند مشکلات سامانهی رمز دومشان را اصلاح کنند و درصد خطای رمز کارتهای خود را به صورت چشمگیری کاهش دهند. و سامانههای بانکهای ملی، پاسارگاد، تجارت و شهر از همان ابتدای طرح عملکرد قابل قبولی داشتهاند و بلافاصله بعد از آشنایی کاربران با روندهای تازه سهم خطاهای رمز از کل تراکنشهای آنها به سطح عادی برگشته است.
اما آیا روشهای جدید تلهگذاری (فیشینگ) دستاوردهای رمز دوم پویا را کمرنگ نکردهاند؟
استعلامهای پلیس فتا از کارتهای مشکوکی که در درگاههای بانکی معامله کردهاند، بخشی از روند رسیدگیِ دادگاهها به شکایت قربانیان کلاهبرداری تلهگذاری است. اگرچه در بعضی از مواردِ این استعلامها لزوما جرمی اتفاق نیافتاده است، اما تعداد آنها مسلما تخمین مناسبی است از سطح امنیت کلی شبکهی پرداخت.
این استعلامها با اجباری شدن رمز دوم پویا کاهش چشمگیری یافتند، تا جایی که تعداد آنها به ازای هر ده هزار تراکنشِ درگاه در فروردین ماه ۹۹ به کمتر از نیم رسید. اما از خرداد ماه و با روشهای تازهای که کلاهبرداران برای تلهگذاری سرراه کاربران بکار بردند، موج جدیدی از استعلامها از راه رسید. موجی که به نظر میرسید شیب نگرانکنندهاش ظرف چند ماه، سطح تراکنشهای مشکوک را به عددی نزدیک به آذرماه و پیش از اجباری شدن رمز پویا بازگرداند. دادههای ماههای اخیر اما نشان میدهد که اگرچه این تراکنشهای مشکوک همچنان بسیار بیشتر از فروردین ماه هستند، اما تعادلی در تعدادی بسیار پایینتر از تعداد آنها در آذرماه (بیش از ۳۰تراکنش مشکوک در هر ۱۰هزار تراکنش) در حال شکلگیری است. روندی که میتواند باعث شود تعداد این تراکنشها در محدودهی عددی کمتر از ۱۰ تراکنش مشکوک در هر ۱۰هزار تراکنش بماند.
نکتهی امیدوارکننده این است که سرعت رسیدگی قضایی به کلاهبرداریهای اینترنتی در ماههای گذشته افزایش قابل توجهی داشته است. و برخلاف گذشته انتظار نمیرود تراکنشهای مشکوکی که در این گزارش به آنها اشاره شده است، با گذشت زمان و پیگیری پروندههای بیشتر، افزایش قابل اعتنایی پیدا کنند.
در بررسی این دادهها باید توجه داشت که حساب بانکی کاربران مانند خانهای است که کلاهبرداران اینترنتی قصد سرقت از آن را دارند. اگرچه رمز دوم پویا درِ ورودی ضدسرقتی است که با بخشنامهی بانک مرکزی به صورت اجباری روی همهی خانهها نصب شده، اما همچنان دزدهای حرفهایتر میتوانند از پنجرههای بیحفاظ وارد این خانه شوند. مشاهدات نشان میدهد که خرید اینترنتی با یک کارت مشکوک گاهی آخرین حلقه از یک کلاهبرداری پیچیدهتر است که ممکن است از تلهگذاری برای اینترنت بانک کاربر شروع شده باشد.
در موارد اینچنینی مجرمان اینترنتی پس از تلهگذاری و دستیابی به رمز اینترنت بانک کاربران، موجودی حساب قربانی را به یک حساب اجارهای منتقل میکنند و از آنجا با کارتی اجارهای در یک درگاه پرداخت، پول سرقتشده را به کالاهایی غیرقابل ردگیری مانند رمزارزها تبدیل میکنند. رمز دوم پویا نمیتواند در برابر اینگونه تلهگذاریها ابزار موثری باشد، چرا که در این موارد اصولا رمز کارتی که آخرین تراکنش با آن انجام شده، به سرقت نرفته بوده است (کوچ کلاهبرداری اینترنتی از درگاه، به اینترنت بانک).
در هفتههای اخیر زمزمههای طرحهایی برای بهبود رمز دوم پویا به گوش میرسد. هرچند در مورد سود و زیان طرحهایی مانند هریم۲ که با افزایش امنیت رمز پویا همزمان مشکلات و پیچیدگیهای بیشتری سر راه کسبوکارهای اینترنتی قرار میدهند باید در گزارش دیگری صحبت کرد، اما به نظر وندار به عنوان پرداختیاری پیشرو در اجرای شیوهنامههای امنیتی، طرحهایی مانند این برای افزایش امنیت شبکهی پرداخت به تنهایی کافی نیستند. و اگر این تصمیمات در کنار آموزش همگانی برای آشنایی با شیوههای تلهگذاری و مسئولیت افراد روی حسابهایی که به نام آنها باز شده است و افزایش همزمان حساسیت روی همهی خروجیهای حسابهای بانکی (مانند اینترنت بانک)، به کار برده شوند نتیجهی بهتری خواهند داشت.
در پایان به باور ما دادههای حاضر بیانگر عملکرد قابل قبول رمز دوم پویا در افزایش امنیت حساب بانکی کاربران است. البته همچنان دغدغههای کسانی که نگران دسترسیپذیری خدمات اینترنتی برای گروههای سنی و اجتماعی مختلف یا افرادی با سطح تواناییهای متفاوت جسمی هستند را، نگرانیهای بهجایی میدانیم که متخصصین دیگری باید دربارهی آنها اظهار نظر کنند.
وندار خود را به ساختن ارتباطی حرفهای و پاسخگویی سریع بین کسبوکارها و مراجع قضایی و کمک به ارائه راهکارهای خلاقانه برای جلوگیری از تلهگذاری متعهد میداند. به این امید که هم از مسدود شدن حساب کسبوکارهای طرف قرارداد به دلیل مشکلات تراکنشهای مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواستهها و دستورالعملهای ساختار قضایی و پلیس فتا باشد.