آیا از روش‌های جدید کلاهبرداری، حتی با وجود رمز پویا خبر دارید؟

رمز پویا یا همان رمز یک بار مصرف از ابتدا با این هدف پیش به سوی فراگیر شدن برداشت تا بتواند مانع کلاهبرداری‌های بزرگ اینترنتی و دیگر روش‌های سو استفاده از حساب‌های بانکی شود. اما آیا این بستر توانسته تا حد لازم در هدف خود موفق باشد؟

شاید اینطور تصور کنید که تنها کافیست روش‌های عجیب و غریب فعالسازی رمز پویا را طی کنید و آن زمان است که امنیت شما در استفاده از کارت‌های بانکی هنگام خرید‌های الکترونیک و دیگر روش‌های پرداخت غیرحضوری تضمین شده است. اما حقیقت ماجرا این است که حتی رمز پویا یا رمز یک بار مصرف نیز نمی‌تواند به صورت کامل امنیت شما حین استفاده از کارت‌های بانکی را به صورت کامل فراهم کند.

در واقع کلاهبرداران برای برداشت از حساب‌های شما نیز دست به خلاقیت زده‌اند و روش‌های جدیدی را مورد استفاده قرار می‌دهند که ما را در اظهار نظر اولیه مبنی بر تضمین امنیت 100 درصدی این کارت‌ها وادار به بازنگری خواهد کرد.

به صورت پایه خطر سو‌ء استفاده از کارت‌های بانکی در روش فیشینگ است. فیشینگ روشی است که با استفاده از درگاه‌های جعلی ابتدا حساب کاربران شناسایی شده و با دانستن شماره کارت و رمزهای آن، فیشر می‌تواند کل سرمایه شما که در بانک ذخیره کرده‌اید را بدون توجه‌ و اراده‌تان خارج کند.

اما آیا فیشینگ که مبتنی بر رمز ثابت است تنها راهکار کلاهبرداری از حساب‌های اینترنتی است؟ قهریست که پاسخ این سوال منفی خواهد بود و این افراد برای اینکه بتوانند به نیات شوم خود برسند دست به روش‌های جدیدی خواهند زد که دیگر در دایره رمز ثابت نبوده و بر مبنای رمز پویا برنامه‌ریزی شده است.

اسکیمرها و روش‌های اسکیمینگ
بنابر گزارش شهروند، روش خلاقانه‌تری که این روزها کلاهبرداران به سختی در حال کار روی آن و ارائه راهکاری متفاوت هستند می‌تواند حتی روی بستر کارت‌های با رمز پویا نیز دردسرزا باشد. این روش بیشتر در زمانی به کار می‌آید که شما با کارت خود خریدی را از یک پایانه فیزیکی ترتیب دهید و به دستگاه کارت‌خوان، اسکمیر وصل شده باشد.

اسکیمر ابزاری بسیار شبیه به ساختار دکمه است که روی کارت‌خوان و یا دیگر ابزارهای مشابه وصل شده و هنگامی که شما کارت را روی آن می‌کشید، کلیه اطلاعاتتان استخراج می‌شود. نکته بدتر هم این است که رمز را نیز خود فروشنده وارد می‌کند. این یعنی همه اطلاعات در دست گرداننده اسکیمر خواهد بود و می‌تواند با جعل کردن کارت شما حتی شرایط دریافت رمز دوم را نیز دور بزند؛ چرا که دیگر عملاً نسخه کپی از کارت شما را در دست دارد و حتی در یک روز می‌تواند تا 50 میلیون تومان از شما دزدیده و کارت بکشد.

در کشور ما حدود 8.7 میلیون دستگاه کارت‌خوان وجود دارد
اما نکته مهمتر در این موضوع این است که در حال حاضر تعداد حدوداً 8.7 میلیون کارت‌خوان سیار و ثابت در کشور ما فعال هستند و طبیعتاً نظارت بر همه آنها به صورت فیزیکی بسیار دشوار و یا ناممکن خواهد بود.

تنها در ماه آبان گذشته، این دستگاه‌ها ۷۶.۹‌ درصد از مجموع ابزارهای پذیرش فعال سیستمی را به خود اختصاص داده بودند؛ سهم بازار ابزار پذیرش اینترنتی و موبایلی از تمام ابزارهای فعال در شبکه پرداخت آبان نیز حدود ۱۰.۷۴ و ۱۲.۳۷‌ درصد بوده است. همچنین تعداد ۳۲۱‌ میلیون و ۷۶۳‌ هزار عدد انواع کارت بانکی تا پایان آبان‌ماه درکشور صادر شده که نشان می‌دهد به ازای هر ایرانی، ۳.۸۶ عددکارت بانکی وجود دارد.

هر چند کارت‌خوان‌ها به صورت دوره‌ای بازسری می‌شوند ولی همانطور که گفتیم نمی‌توان جلوی سو‌ءاستفاده از آنها را به صورت کامل گرفت.  مشکل عمده‌ای که در نظارت بر کارت‌خوان‌ها وجود دارد مربوط به کارت‌خوان‌های سیار است که در گوشه خیابان‌ها یا قطارهای مترو استفاده می‌شود. با توجه به نظارت نداشتن بر آنها و آشنا نبودن مردم با سازوکار ایمنی کارتخوان‌ها، امکان تقلب و اسکیمینگ در آنها وجود دارد.

برای مقابله با این روش چه باید کرد؟
شاید تصور شود که با وجود خطری که از پایه در استفاده از کارت‌خوان‌ها وجود دارد این است که نمی‌توان مانع کار آنها شد و یا دستگاهی که اسکیمر داشته باشد را به راحتی شناسایی نمود. البته کارت‌های هوشمند بانکی روشی هستند که بانک مرکزی معتقد است می‌توانند مانع کلاهبرداری کاربران شوند.

شبکه بانکی کشور و پرداخت از طریق پایانه‌های فروش برای کارت‌های مغناطیسی (فعلی) طراحی شده که تغییر آن برای استفاده از کارت‌های اسمارت  (هوشمند) طولانی و زمان‌بر است. این بدان علت است که باید زیرساخت‌ها و نرم‌افزارها تغییر کند.

البته باید به این مورد نیز توجه داشته باشیم که با توجه به قرار گرفتن در دوران تحریم در انتقال فناوری‌های مربوط به کارت‌های اسمارت و هوشمند محدودیت‌هایی وجود دارد. با این حال، بانک مرکزی تصمیمات لازم را برای رفع این مشکلات و ایجاد زیرساخت‌ها اخذ و به شبکه بانکی ابلاغ کرده است.

مراقب نرم‌افزارهای جعلی رمز پویا هم باشید
به جز این، اپلیکیشن‌های جعلی رمز پویا هم یکی دیگر از راه‌های جدید کلاهبرداری از مشتریان بانکی است. مصطفی مرتضوی، رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان درباره کلاهبرداری اپلیکیشن‌های جعلی به کاربران فضای مجازی هشدار داد. او به باشگاه خبرنگاران توضیح داده است که  با توجه به الزام بانک‌ها برای عملی‌کردن رمز‌های یک‌بار مصرف (پویا)، کلاهبرداران سایبری با طراحی اپلیکیشن‌های جعلی رمزساز به دنبال سرقت اطلاعات بانکی کاربران هستند تا بدین‌وسیله با دسترسی به اطلاعات کاربران نسبت به خالی کردن حساب آنها اقدام کنند:

برای فعال‌سازی، نرم‌افزار جعلی از کاربر اطلاعات کارت‌ بانکی نظیر شماره کارت، cvv۲، رمز اینترنتی ایستا و تاریخ انقضای کارت را درخواست می‌کند که درنهایت با توجه به فعال بودن رمز دوم ایستا منجر به سرقت اطلاعات حساب بانکی کاربران می‌شود.

رئیس پلیس فتای استان اصفهان با بیان اینکه برای دریافت رمز یک‌بار مصرف نیازی به پرداخت وجه یا ثبت‌نام در هیچ سایتی نیست گفت:

به کاربران فضای مجازی توصیه می‌کنیم به پیام‌ها و درخواست‌های مشکوک به‌خصوص پیامک‌ها از خطوط شخصی اعتنا نکنند و اپلیکیشن‌های مورد نیاز را از منابع معتبر و رسمی دریافت کنند، همچنین حتما برای نصب و فعال‌سازی رمز دوم پویا به سایت رسمی بانک مربوط مراجعه کنند.