دیر زمانی نیست که برای انجام کوچکترین تراکنش های مالی از پرداخت قبوض آب، برق و تلفن تا انواع عوارض و واریزی ها مجبور بودیم که به شعب بانک ها مراجعه کنیم. نوبت بگیریم و مدت زمان زیادی را صرف انجام امور بانکی خود کنیم. در حالت خوشبینانه اگر همه امور به خوبی پیش می رفت و متصدی بانکی و مراجعین مشکلات شخصی و یا منزل را به بانک نیاورده بودند، بحث و جدلی بر سر نوبت دهی و کندی کار کارمند پیش نمی آمد، در نهایت موفق می شدیم بدون قلم خوردگی انواع و اقسام فیش های بانکی را تکمیل و به همراه وجه نقدی که بارها شمرده بودیم که مبادا کسری داشته باشد تحویل بانک داده و رسید دریافت کنیم و اگر سارق نامحترمی پول ما را از روی پیشخوان بانک سرقت نمی کرد، یک روز موفقیت آمیز ولی پر استرس را پشت سر می گذاشتیم.
در همان دوران یکی از خبرهایی که همیشه نگرانی مراجعه به بانک را در همه ما دو چندان می کرد، انواع و اقسام اخبار مربوط به سرقت های مسلحانه از شعب بانکی در داخل و خارج کشور بود که گهگداری با برجای گذاشتن تعدادی کشته یا مجروح و سرقت مبالغی وجه نقد از شعبه و مشتریان به اتمام می رسید.
امروزه به لطف تحولات سریع فناوری، اجرایی شدن بانکداری الکترونیکی، افزایش سرعت و پهنای باند اینترنت، پوشش فراگیر و در حال تکمیل شبکه های اینترنت همراه، گسترش پرشمار ابزارک های عمومی متصل به اینترنت، ساده و کاربردی بودن اپلیکیشن های قابل نصب روی تلفن های همراه، انجام امور بانکی به طرز قابل توجهی سهل تر از گذشته شده است. با در نظر گرفتن فواید ارائه خدمات بانکداری بر بستر اینترنت و با یک جستجوی ساده می توان فهمید که در حال حاضر حتی یک بانک یا موسسه اعتباری در کشور وجود ندارد که خدمات خود را بر بستر اینترنت در اختیار مشتریان قرار نداده باشد.
افزایش سرعت ارائه خدمات، کاهش مراجعه مشتریان به شعب، کاهش هزینه های عملیاتی شبکه بانکی، امکان درآمدزایی از تراکنش های اینترنتی، اجرای تراکنش ها بدون خطا، امنیت بالای عملیات بانکی و از همه مهمتر کاهش نیاز شعب به پول نقد، از جمله مواردی است که بانک ها را به سوی ارائه خدمات اینترنتی به مشتریان خود سوق داده است. از سوی دیگر امکان استفاده از خدمات اینترنتی برای مشتریان بانک ها نیز مزایای بسیاری را در بر داشته که از آن جمله می توان به سرعت دسترسی به خدمات ، انجام غالب تراکنش ها به صورت آنلاین، شبانه روزی بودن امکان استفاده از خدمات، عدم نیاز به حضور در شعبه، عدم نیاز به وجه نقد در معاملات روزانه، جلوگیری از سرقت وجه نقد، دریافت رسید تراکنش، انجام تراکنش های بانکی متعدد و بسیاری مزایای دیگر نام برد.
با مروری بر آخرین گزارش منتشر شده در آذرماه سالجاری (1398) توسط مرکز توسعه تجارت الکترونیکی کشور، تا پایان سال 1397، ضریب نفوذ اینترنت در کشور به 78درصد رسیده است که بالاتر از میانگین خاورمیانه و جهان محسوب می شود، همچنین نرخ کاربران اینترنتی به عنوان خریدار الکترونیکی بالقوه به 70درصد رسیده است و اکنون ایران در زمره 20کشور برتر جهان در این شاخص قرار دارد. با توجه به آمار ارائه شده در گزارش مذکور، حجم معاملات تجارت الکترونیکی کشور مبلغ 208 هزار میلیارد تومان (با رشد اسمی 30درصدی نسبت به سال 96) است. در وصف بزرگی این رقم همین بس که مبلغ دلاری آن با توجه به نرخ این روزهای ارز در بازار غیر رسمی، رقمی در حدود 16 میلیارد دلار خواهد بود. برای کشور ما که تا همین اواخر اکثر معاملات تجاری به صورت سنتی و با رد و بدل شدن وجه نقد انجام می شد، رقم قابل توجهی است.
بر اساس گزارش فوق، در سال 1397 تعداد کل معاملات تجارت الکترونیکی کشور 1 میلیارد و 113 هزار فقره برآورد شده است و قابل توجه این که از این تعداد فقط 122 هزار معامله الکترونیکی توسط دولت به انجام رسیده است. با در نظر گرفتن آمارهای مذکور به خوبی می توان دریافت که با توجه به ضریب نفوذ 78درصدی تلفن همراه، بخش عمده ای از جمعیت کشور حداقل به یکی از شیوه های ارتباط اینترنتی دسترسی دارند که از این تعداد، 70درصد یعنی حدود 58 میلیون نفر از جمعیت کشور خریدار بالقوه الکترونیکی کالا و خدمات می باشند.
آمار قابل توجه دیگری که در گزارش سالانه تجارت الکترونیکی سال 1397 کشور منتشر شده است مربوط به تعداد کل تراکنش های خرید از درگاه پرداخت اینترنتی بانکی می باشد. بر اساس گزارش منتشر شده، در سال 1397، نزدیک به 774 میلیون تراکنش از طریق درگاه های پرداخت اینترنتی بانکی در مقایسه با 438 میلیون تراکنش سال 1396 به انجام رسیده است که این تعداد رشدی برابر با 77درصد نسبت به مدت مشابه سال 96 را نشان می دهد.
با نگاهی به اعداد و ارقام اشاره شده در بالا و توجه به تعداد و حجم گردش مالی کشور که سالانه بر بستر اینترنت انجام می گردد، مهمترین نکته ای که به ذهن متبادر می شود، بحث امنیت تراکنش های مذکور می باشد. امنیتی که در هر دو سوی تراکنش اینترنتی نمود پیدا می کند، یکسو سیستم بانکی و سوی دیگر مشتریان خدمات بانکداری بر پایه اینترنت. با افزایش حجم تراکنش های بانکداری اینترنتی و کاهش مراجعه مشتریان به شعب و بالطبع آن کاهش ورود و خروج پول نقد به شعب بانک ها، میزان سرقت وجه نقد در شعب نیز رو به کاهش نهاده است. سارقانی که پیش از این اطراف یا داخل شعب بانک ها در کمین مشتریان می نشستند، اینک با کسادی کار مواجه شده و مجبور به تغییر شیوه های سرقت می شوند.
رئیس پلیس فتای نیروی انتظامی طی مصاحبه ای در آبان ماه سالجاری گفت که بیش از ۶۰ درصد جرایم سایبری مربوط به برداشت غیرمجاز اینترنتی و همچنین کلاهبرداری اینترنتی است. پنج جرم برتر در کشور بررسی شده است اما اولویت اول در این جرائم، برداشت اینترنتی است که مصداق بارز فیشینگ است و رتبه اول را به خود اختصاص داده. نگاهی به سخنان رئیس پلیس فتای ناجا لزوم تقویت هرچه بیشتر اطلاعات کاربران اینترنت در خصوص فیشینگ و انجام اقدامات لازم به منظور جلوگیری و کاهش کلاهبرداری های اینترنتی را مشخص می نماید.
اما فیشینگ چیست؟ کلمه فیشینگ عبارتی انگلیسی به معنای ماهیگیری است و در معنای تحت اللفظی به معنای ماهیگیری از آب گل آلود تعبیر می گردد. یکی از شیوه های فیشینگ به این صورت است که هکر اقدام به ایجاد صفحه ای دقیقا مشابه با صفحه پرداخت بانکی می نماید و به شیوه های مختلف از قبیل طراحی وب سایت فروش کالا یا خدمات، کاربران را برای پرداخت وجه به صفحه مذکور هدایت می کند. کاربر قربانی با مشاهده صفحه ای که برای وی آشناست و قبلا بارها در آن اقدام به پرداخت کرده است، با اطمینان خاطر نسبت به ثبت اطلاعات کارت از قبیل شماره کارت، رمز دوم، CVV2، و تاریخ انقضاء نموده و کلید ثبت را می فشارد. فشردن کلید ثبت در صفحه جعلی یعنی به قلاب افتادن ماهی (فیشینگ)! کاربر احتمالا با پیامی از قبیل پرداخت انجام شد، یا خطا در انجام تراکنش مواجه می شود، و نهایتا از صفحه مذکور خارج خواهد شد اما نکته مهم اینجاست که هکر کلیه اطلاعات کارت بانکی را به دست آورده است و با دانستن این اطلاعات اقدام به خالی کردن حساب بانکی شخص می نماید. این اقدام ممکن است از طریق انتقال وجه کارت به کارت یا خرید کالا و خدمات از وب سایت دیگر صورت پذیرد.
در حال حاضر برای انجام یک تراکنش بانکی اینترنتی، داشتن چهار کلید اصلی مرتبط به کارت ضروری است. این کلیدها عبارتند از شماره کارت، رمز دوم، تاریخ انقضاء کارت و cvv2، با توجه به اینکه هر چهار کلید مذکور در حال حاضر ثابت می باشند، هکر با به دست آوردن این اطلاعات به راحتی می تواند نسبت به خالی کردن حساب در یک یا چند نوبت اقدام نماید. تصور کنید که حساب هک شده متعلق به شخصی باشد که عواید حاصل از کسب و کار خود را در آن نگهداری می کند و واریز و برداشت به آن در طول روز به صورت مکرر انجام شده و کنترل لحظه ای آن سخت باشد، هکر می تواند بدون جلب توجه و به صورت مستمر نسبت به برداشت از حساب اقدام نماید. عمق فاجعه زمانی مشخص می شود که هکر برای توزیع برداشت های انجام شده از سایر حساب ها، اقدام به واریز وجه و برداشت مجدد آن از حساب مذکور نیز بنماید. در این صورت صاحب حساب از یک سو به عنوان شاکی برداشت غیرقانونی و از سوی دیگر در مضان کلاهبرداری از سایرین نیز قرار خواهد گرفت، که البته برائت از چنین پرونده هایی در مراجع قضایی، با صرف هزینه و وقت زیادی صورت خواهد گرفت.
رئیس کل بانک مرکزی نیز اخیرا در مصاحبه ای اعلام کرده است که بر اساس اعلام نظر کارشناسان، امید می رود با اجرایی کردن سامانه تولید رمز یکبار مصرف یا همان رمز دوم پویا، بالغ بر 90درصد کلاهبرداری های اینترنتی از حساب اشخاص کاهش یابد. بر همین اساس سیستم بانکی کشور مهلت زمانی برای راه اندازی سامانه تولید رمز دوم پویا را ابتدای دیماه سالجاری در نظر گرفته است و بر پایه اطلاعات موجود، راه اندازی سامانه مذکور به مهمترین دغدغه این روزهای نظام بانکی کشور تبدیل شده است.
به موضوع کلیدهای مورد نیاز برای انجام تراکنش اینترنتی برگردیم، اگر سیستم بانکی برای انجام هر تراکنش اینترنتی به شیوه ای عمل کند که حداقل یکی از چهار کلید اصلی مورد نیاز برای انجام تراکنش بانکی متغیر بوده و به صورت امن در اختیار مشتری قرار گیرد، هکر حتی با به دست آوردن چهار کلید نیز فرصتی برای خالی کردن حساب نخواهد داشت زیرا یکی از این کلیدها (رمز دوم حساب)، در مدت زمان کوتاهی (بین 30 تا 120 ثانیه) تغییر خواهد کرد. این کلید باید حداقل دارای چند ویژگی باشد: به سرعت و به صورت امن در اختیار مشتری قرار گیرد، غیرقابل حدس باشد، برای هر حساب شخصی سازی شده و تکراری نیز نباشد. بر همین اساس در حال حاضر دو شیوه برای تولید رمز دوم پویا در نظر گرفته شده است، روش اول مبتنی بر تحویل رمز دوم پویا از طریق سامانه ارسال پیامک و روش دوم تولید و تحویل رمز روی دستگاه تلفن همراه مشتری توسط اپلیکیشن تولید رمز می باشد. در مرحله اول فعال سازی سامانه رمز دوم پویا، لازم است مشتریان یکبار نسبت به تایید شماره تلفن همراه خود در سامانه اقدام نمایند. سپس مشتریانی که از دستگاه های تلفن همراه غیر هوشمند بهره برداری می نمایند لازم است در سامانه پیامکی ثبت نام کرده و از آن طریق رمز را دریافت نمایند. سایر مشتریان نیز می توانند یا از طریق مراجعه به وب سایت یا شعب بانک مربوطه نسبت به دریافت اپلیکیشن تولید رمز پویا اقدام نمایند. برای استفاده از اپلیکیشن تولید رمز پویا پس از نصب، تایید و فعال سازی نیازی به اتصال به اینترنت نخواهد بود و اپلیکیش مذکور به صورت اتوماتیک هر 120 ثانیه یک رمز جدید تولید و به نمایش خواهد گذاشت.
به یاد داشته باشید که جهت تایید شماره تلفن همراه خود در سامانه های بانکی نیازی به درج کلیه اطلاعات کارت در سامانه نمی باشد، عموما شماره کارت، کد ملی، تاریخ تولد و شماره همراه کفایت می نماید. دقت کنید که برای تایید شماره تلفن همراه، حتما وارد سایت اصلی بانک خود شوید و از طریق لینک های ارسالی توسط سامانه های پیامکی ناشناس، وارد سایت های جعلی فیشینگ نشوید. استفاده از روش جدید تولید رمز دوم پویا بسیار ساده بوده و در عین سادگی در استفاده، ابزار مهمی برای حفظ امنیت حساب های مشتریان سیستم بانکی است. امید که مشتریان عزیز شبکه بانکی کشور با همراهی و الحاق هر چه سریعتر به سامانه مذکور، گام مهم و ارزشمندی جهت حفظ امنیت حساب های خود بردارند.
مجید صالح یار
کارشناس امور بانکی
بانک توسعه صادرات ایران