باگ امنیتی در رمز یکبار مصرف/ پیامک امن نیست!

بررسی طرح رمز دوم پویا نشان می‌دهد که این طرح در برخی موارد مربوط به ارسال پیامک با مشکلات امنیتی روبرو است و می‌تواند حساب‌های بانکی مشتریان را به خطر بیندازد.
 
 بانک مرکزی بانک‌ها را موظف کرده تا طرح رمز دوم پویا را از ابتدای دی‌ماه سال جاری به صورت الزامی برای تمام مشتریان به اجرا درآورند.
 
این در حالی است که پیش‌تر این طرح قرار بود در ابتدای خردادماه اجرایی شود، اما به دلایلی به تعویق افتاد که یکی از مهم‌ترین دلایل آن را می‌توان عدم دسترسی تمامی مشتریان بانکی به گوشی‌های هوشمند دانست، چراکه در ابتدا قرار بود دریافت رمز دوم پویا توسط مشتریان از طریق اپلیکیشن‌های بانکی انجام شود.
 
بر اساس آمار به دست آمده حدود ۲۰ درصد از مشتریان بانکی دسترسی به گوشی‌های هوشمند ندارند و در همین راستا بانک مرکزی تصمیم گرفت با توسعه این طرح، امکان ارسال رمز دوم پویا را از دو طریق اپلیکیشن‌های بانکی و پیامک فراهم کند.
 
برای این کار مشتریان بانکی باید از یکی از سه راه مراجعه حضوری به شعبه، خودپرداز یا اینترنت‌بانک‌هایی که تایید هویت دو مرحله‌ای دارند، شماره تلفن همراه خود را تایید کنند که البته برای تغییر شماره تلفن همراه، مراجعه به شعبه الزامی است.
 
بانک مرکزی این طرح را برای کاهش آمار فیشینگ و جلوگری از کلاهبرداری‌های مشابه و به عبارت دیگر افزایش ضریب امنیتی تراکنش‌های بدون حضور کارت اجرا می‌کند و این در حالی است که در بخشی از شکل اجرای این طرح، مشکلات امنیتی مهمی وجود دارد.
 
مشتریانی که اقدام به دریافت رمز دوم پویا از طریق اپلیکیشن‌های بانکی می‌کنند، باید پس از ورود به اپلیکیشن و وارد کردن نام کاربری و رمز عبور که از بانک‌ دریافت کرده‌اند یا روش‌های دیگری چون اثر انگشت، رمز دوم پویا را از طریق اپلیکیشن‌ دریافت کنند.
 
البته این نرم‌افزارها برای ارسال رمز به صورت آفلاین عمل کرده و نیازی به دسترسی به اینترنت ندارند.
 
حال آنکه افرادی که فاقد گوشی هوشمند هستند یا به هر دلیلی می‌خواهند از طریق پیامک رمز دوم پویای خود را دریافت کنند، با کلیک روی دکمه‌ای که در درگاه پرداخت اینترنتی یا سایر تراکنش‌های بدون حضور کارت تعبیه می‌شود، می‌توانند رمز دوم را به صورت پیامک دریافت کنند.
 
به این ترتیب، در صورتی که گوشی تلفن همراه و کارت بانکی فردی به سرقت رفته، مفقود شود یا به هر دلیلی در اختیار شخص دیگری باشد، آن شخص می‌تواند تنها با داشتن شماره کارت، CVV۲ و تاریخ انقضا که همه آن‌ها روی کارت بانکی درج شده، حتی بدون در اختیار داشتن کارت و فقط با گوشی فرد اقدام به سرقت از کارت بانکی فرد کند.
 
این در حالی است که تنها راهکار حاضر برای جلوگیری از این موضوع، سوزاندن سریع سیم کارت یا کارت بانکی به سرقت رفته است، در حالی که ممکن است سرقت یا مفقودی در ساعات غیرکاری یا روزهای تعطیل اتفاق بیفتد که در آن صورت فرد دسترسی به شعب بانکی یا تلفن همراه برای از بین بردن کارت بانکی یا سیم کارت خود ندارد.
 
از سوی دیگر در حال حاضر بسیاری از گوشی‌های تلفن همراه دارای قفل ایمنی صفحه نمایش هستند، اما اعلان‌های (Notification) پیامک و سایر پیام‌رسان‌های آن‌ها حتی در صورت قفل بودن گوشی روی صفحه ظاهر می‌شود، بنابراین تمامی مشتریان بانکی باید با مراجعه به تنظیمات گوشی تلفن همراه خود، محتوای اعلان‌های خود را در زمان قفل بودن صفحه نمایش پنهان کنند.
 
اما باید این را در نظر داشت که برخی گوشی‌های تلفن همراه قدیمی که هوشمند هم نیستند، سیستم قفل صفحه نمایش به صورت رمزگذاری ندارند و به سادگی می‌توان به آن‌ها دسترسی پیدا کرد.
 
راه‌کار چیست؟
 
در این زمینه بانک مرکزی هنوز راهکاری ارائه نکرده و بر همین اساس مردم باید این موضوع را مدنظر قرار دهند که تا حد امکان از اپلیکیشن‌های بانکی برای دریافت رمز دوم استفاده کنند. ‌
 
همچنین بانک‌ها نیز باید با توجه به سوابق مشتریانی که از طریق اپلیکیشن‌ اقدام به دریافت رمز دوم کرده‌اند، در صورت درخواست ارسال پیامک، آن‌ها را ملزم به استفاده از اپلیکشن برای دریافت رمز کنند، چراکه ممکن است، مشتری قبلا از طریق اپلیکیشن رمز خود را گرفته باشد، اما فرد سودجو درخواست پیامک برای انجام عملیات را بدهد.
 
البته این موضوع می‌تواند از سوی دیگر اخلال در کار مشتریان ایجاد کند، برای مثال ممکن است فعالیت یک اپلیکیشن بانکی به هر دلیلی روی گوشی فردی متوقف شود و فرد بخواهد از پیامک استفاده کند که در این مورد با مشکل مواجه خواهد شد.
 
شاید بهترین راه این باشد که درخواست ارسال پیامک برای مشتریانی که قبلا از اپلیکیشن‌ استفاده کرده‌اند فقط در زمان ساعات کاری بانک و پس از وقفه‌ای چند ساعته در دسترس باشد.
 
به هر حال این توصیه به مردم می‌شود که از اپلیکیشن‌های بانکی به جای پیامک برای دریافت رمز دوم استفاده کنند، هرچند که بانک مرکزی و بانک‌ها نیز باید برای این مشکلات پاسخ‌گو باشند.