بهنام رضاییان مقدم
بهنام رضاییان مقدم
خواندن ۷ دقیقه·۴ سال پیش

کارنامه رمز دوم پویا به روایت آمار

دی و بهمن ۹۸ بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنش‌های کارتی اینترنتی (به استثنای ۱۰۰هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحث‌های بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکه‌ی پرداخت یا کاهش کلاهبرداری‌ و دزدی اطلاعات کارت‌ها منتشر شده است. در نوشته‌ی حاضر با بررسی داده‌های درگاه پرداخت اینترنتی وندار نگاهی موردی به کارنامه‌ی رمز دوم پویا و اجباری شدن آن خواهیم انداخت.

اما سنجش کدام معیارها کارنامه‌ی دقیق‌تری در اختیار ما می‌گذارد؟

از متن بیانیه‌های بانک مرکزی آشکار است که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنش‌های بدون حضور کارت (CNP) تصویب شد. مخاطراتی در تراکنش‌های اینترنتی که باعث رونق کلاهبرداری‌های تله‌گذاری (Phishing) برای دزدیدن رمز کارت‌ها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری‌‌ شده است؟

معیار مناسبی برای سنجش این مسئله تعداد تراکنش‌های مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاه‌های بانکی استعلام می‌کند. این استعلام بخشی از روند رسیدگیِ دادگاه‌ها به شکایت قربانیان کلاهبرداری تله‌گذاری است. اگرچه در بعضی تراکنش‌های مشکوکی که استعلام می‌شوند لزوما جرمی اتفاق نیافته است اما تعداد این تراکنش‌ها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه‌ی پرداخت.

از طرف دیگر مهم‌ترین استدلال مخالفان این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارت‌ها توضیح می‌داد، و این امکان را در اختیار آنها می‌گذاشت که بین انجام آسان‌تر تراکنش‌های اینترنتی با رمز ایستا و امنیت بالاتر رمز پویا انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خرید‌های اینترنتی را پیچیده‌تر و در نتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسب‌وکارهای اینترنتی شده است.

برای سنجش سادگی استفاده از درگاه‌های پرداخت اینترنتی می‌توان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنش‌ها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیک نبوده‌اند و نشان‌دهنده‌ی خطای کاربر در استفاده از خدمات هستند.

نسبت خطاهای کاربری به کل تراکنش‌های درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن
نسبت خطاهای کاربری به کل تراکنش‌های درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن

برای دقیق‌تر شدن این مقایسه می‌توان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسه‌ی این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان می‌دهد که آذر ماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵درصد از کل تراکنش‌ها به دلیل اشتباه کاربران با خطا مواجه می‌شده‌اند و خطاهای مربوط به رمز دلیل ناموفق بودن نزدیک به نیمی از این تراکنش‌ها بوده‌اند.

از دی ماه و با آغاز طرح رمز دوم پویا می‌توان دید که پیچیده‌تر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن ماه به اوج خود در حدود ۲۵درصد کل تراکنش‌ها می‌رساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارت‌ها با فرآیند جدید، از اسفند ماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنش‌ها آغاز می‌شود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵درصد سهم خطاهای کاربری و نزدیک ۱۰درصد خطاهای مربوط به رمز) تثبیت می‌شود.

سهم خطاهای رمز دوم از خطاهای کاربری از ۴۵درصد آذرماه ۹۸ که به بیش از ۶۰درصد در بهمن افزایش یافته بود، خرداد ماه ۹۹ به کمی بیش از ۵۰درصد برگشت.
سهم خطاهای رمز دوم از خطاهای کاربری از ۴۵درصد آذرماه ۹۸ که به بیش از ۶۰درصد در بهمن افزایش یافته بود، خرداد ماه ۹۹ به کمی بیش از ۵۰درصد برگشت.


بدیهی است که برای سنجش تاثیر موردی پیچیده‌تر شدن خرید اینترنتی روی دسترسی‌پذیری این خدمات برای گروه‌های سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گسترده‌تری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیه‌ی آن می‌توان نتیجه گرفت که بخش قابل توجهی از کاربران به خوبی با فرآیند جدید آشنا شده‌اند و اضافه کردن این ابزار امنیتی هزینه‌ی بلندمدتی برای شبکه‌ی پرداخت نخواهد داشت.

اما آیا رمز دوم پویا شبکه‌ی پرداخت را امن‌تر از پیش کرده است؟

از دی ماه ۹۸ و با شروع طرح رمز دوم پویا کارت‌هایی که پلیس فتا به دلیل تراکنش‌های مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده‌ است، کاهش قابل ملاحظه‌ای داشته‌اند. تا جایی که تعداد استعلام کارت‌های مشکوک به ازای هر ده‌ هزار تراکنش در فروردین‌ ماه ۹۹ به کمتر از نیم‌ کارت می‌رسد. این کاهش را نمی‌توان یکی از آثار جانبی همه‌گیری ویروس کرونا دانست، چرا که با در نظر گرفتن شاخص تعداد کارت‌های مشکوک در هر ده هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنش‌های ماهیانه تاثیر چندانی بر آن ندارد.

استعلام پلیس فتا از  کارت‌های مشکوک در هر ده هزار تراکنش در  درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹
استعلام پلیس فتا از کارت‌های مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹

بنابراین در یک بازه‌ی دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته است. نکته‌ی نگران‌کننده اما اوج‌گیری دوباره‌ی استعلام کارت‌های مشکوک از خرداد ۹۹ است. افزایشی که ادامه‌دار بودن آن تا تیر ماه امسال می‌تواند نشانه‌ی ابتکارات تازه‌‌ای در اجرای کلاهبرداری تله‌گذاری باشد و در نتیجه می‌تواند در ماه‌های آینده هم ادامه‌ پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.

در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداری‌های اینترنتی فرآیندی زمان‌بر است و ممکن است چند ماه طول بکشد تا تمام تراکنش‌های مشکوک رخ‌داده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارت‌های مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد.

از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی درباره‌ی تراکنش‌هایی با مبلغ کمتر از ۱۰۰هزار تومان صورت نمی‌گرفته است. اما تقریبا ۷درصد استعلام‌های خرداد ماه تراکنش‌هایی با مبلغ کمتر از ۱۰۰هزار تومان بوده‌اند.

اگر با افزایش احتمالی استعلام‌ها در ما‌ه‌های پیش‌رو این سهم ۷درصدی هم افزایش پیدا کند می‌توان باز هم رمز دوم پویا را در کاهش مبلغ تراکنش‌های مشکوک موفق دانست.

در نهایت رمز دوم پویا تصمیمی بود برای کاهش مخاطرات خرید‌های بدون حضور کارت و محافظت همزمان از دارایی‌های مردم و کسب‌وکارهای اینترنتی. می‌توان درباره‌ی چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. لازم است اثر آن در کاهش دسترسی بعضی از گروه‌های سنی یا اجتماعی به خدمات خرید اینترنتی مورد بررسی قرار گیرد. اما به نظر می‌رسد که اثر بلندمدت چندانی در پیچیده‌تر شدن فرآیند خرید‌ نداشته باشد و نمی‌توان بر کارایی آن در کاهش کلاهبرداری‌های تله‌گذاری نیز چشم‌ پوشید.

وندار به عنوان پرداخت‌یاری پیشرو در اجرای شیوه‌نامه‌های امنیتی، بخش مهمی از توان پیگیری و پشتیبانی‌اش را صرف ایجاد ارتباط حرفه‌ای و پاسخگویی سریع بین کسب‌وکارها و مراجع قضایی می‌کند تا هم از مسدود شدن حساب کسب‌وکارهای طرف قرارداد به دلیل مشکلات تراکنش‌های مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواسته‌ها و دستورالعمل‌های ساختار قضایی و پلیس فتا باشد. به همین دلیل خود را در دغدغه‌ی بانک مرکزی برای کاهش کلاه‌برداری‌ تله‌گذاری شریک می‌داند و باور دارد برای افزایش امنیت شبکه‌ی پرداخت، اجرای طرح‌هایی مانند رمز دوم پویا به تنهایی کافی نیست، و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوه‌های تله‌گذاری و سرقت اطلاعات کارت‌ها و روش‌های خلاقانه‌ای مانند استفاده از درگاه پرداخت دومرحله‌ای در کسب‌وکارهای فروش رمز‌ارز و کالاهای دیجیتال به کار برده شوند تا نتیجه‌ی بهتری از آنها بدست آید.



رمز دوم پویادرگاه پرداخت اینترنتیخرید اینترنتیفیشینگ
نویسنده‌ی محتوا در وندار
شاید از این پست‌ها خوشتان بیاید