نوروزی: زمانی میتوانیم درباره کارآمدی یا ناکارآمدی یک روش در کاهش جرایم قضاوت کنیم که از زمینهها و علل وقوع چنین جرمی به دقت اطلاع داشتهباشیم.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طی هفتههای اخیر همزمان با نزدیک شدن به اول خرداد ماه که پیش از این تصور میشد موعد الزام به استفاده از رمز یکبار مصرف است، مطالب مختلفی درباره شیوه دریافت این رمز از بانکها، آمادگی شبکه بانکی برای ارائه این رمز و آشنایی مردم با استفاده از آن منتشر شد. آنچه در میان این مطالب کمتر مورد توجه قرار گرفت این بود که آیا این راهحل میتواند در کاهش جرایم تاثیرگذار باشد و اگر پاسخ مثبت است، میزان این اثرگذاری چقدر خواهدبود.
مهندس شاهین نوروزی، کارشناس و فعال حوزه امنیت در این باره، گفت: یکی از جرایم مرسوم در پرداختهای اینترنتی این است که فرد مجرم اطلاعات کارت بانکی قربانی یعنی فردی که از حساب آن پول پرداخت میشود و همچین رمز دوم یا همان رمز اینترنتی او را بهدست آورده و بدون اطلاع وی از فروشگاههای اینترنتی خرید میکنند. در این حالت یک خرید صحیح و کامل انجام شده و فروشنده موظف به ارسال کالا برای خریدار است، در حالی که خریدار، وجه را از جیب فرد دیگری پرداخت کردهاست دقیقا مثل اینکه کیف پول شما را بدزدند و با آن خرید کنند. فروشنده کاملاً بیاطلاع و در این جرم بیتقصیر است. مالباخته قربانی است و از خرید، بیاطلاع و مجرم به هدف خود میرسد. برای جلوگیری از وقوع این جرم که به گفته مراجع امنیتی و قضایی طی سالهای اخیر تعداد وقع آن روند صعودی داشته، پیشنهاد شد که از روشی استفادهشود که در کشور ما به رمز یکبار مصرف معروف شدهاست؛ روشی که در نگاه اول کارآمد میکنند، چرا که امکان انتقال وجه بدون آگاهی صاحب حساب را تا حد زیادی غیرممکن میکند اما این کارآمدی، تمام ماجرا نیست و زمانی میتوانیم درباره کارآمدی یا ناکارآمدی این روش در کاهش جرایم قضاوت کنیم که از زمینهها و علل وقوع چنین جرمی به دقت اطلاع داشتهباشیم.
وی با دستهبندی این نوع از جرایم به سه گروه ادامهداد: در دسته اول صاحب حساب شخصا پرداخت را انجام میدهد و به دروغ و با هدف کسب منافع شخصی نزد مراجع قانونی و قضایی اعلام جرم میکند. مانند کسی که خودش خودروی خود را بدزدد و از بیمه درخواست خسارت کند. در این حالت مجرم خود صاحب کارت است و با حساب کاربری جعلی خرید یا پرداختی را انجام داده و سپس اعلام شکایت و درخواست دریافت وجه و جبران خسارت کردهاست.
در دسته دوم فرد به روشهای مهندسی اجتماعی یا به علت دانش کم از فضای مجازی و اعتماد به آن، اطلاعات بانکی خود را در اختیار افراد دیگری میگذارد. به عبارت دیگر فریب شیادان را میخورد و با اراده خود اطلاعات بانکی خودش را در اختیار آنها میگذارد یا پرداختی انجام میدهد، ولی بعدا متوجه میشود که فریب خورده و شکایت میکند. این دسته، متداولترین نوع کلاهبرداری در حوزه پرداختهای اینترنتی است. به عنوان مثال فریب افراد از طریق حمله فیشینگ یا پرداخت وجه به امید جایزه یا عضویت در یک قرعهکشی از این نوع موارد هستند.
نوروزی در تشریح دسته سوم از جرایم مرسوم در حوزه پرداخت اینترنتی گفت: در این شیوه، اطلاعات بانکی فرد سرقت شده و سارق با داشتن کامل اطلاعات بانکی قربانی از طریق درگاههای اینترنتی خرید انجام میدهد. این حالت دقیقاً مثل این میماند که کیف شما را بدزدند و از پول شما کالایی خریداری کنند. از آنجا که افراد در صورت سرقت کارت و اطلاعات آن بهسرعت مراتب را به بانک اطلاع داده و کارت خود را مسدود میکنند، این نوع جرایم کمترین آمار را به خود اختصاص میدهد.
مدیرعامل شرکت پندار کوشک ایمن افزود: سوال اصلی اینجاست که رمز پویا مانع عدم وقوع کدام حالت از جرایم فوق میشود؟ بدون هیچ شک و تردیدی رمز پویا امکان ممانعت از وقوع جرایم دسته اول را ندارد، چراکه در این حالت مجرم خود صاحب تمام اطلاعات است حتی رمز یکبار مصرف. رمز پویا در جریم دسته دوم نیز نمیتواند مانع وقوع جرم شود چون در این حالت نیز صاحب حساب خود اطلاعات بانکی شامل شماره کارت،CVV2، تاریخ انقضا و حتی رمز پویا را وارد میکند و رمز پویا در این حالت چون قابل سرقت نیست فقط میتواند مانع تکرار واقعه شود و مانع وقوع خسارت و جرم اولیه نخواهدبود اما در دسته سوم، رمز پویا کاملاً کارآمد بوده و مانع وقوع تخلف خواهدشد.
این کارشناس امنیت گفت: در چنین شرایطی بهتر و لازم نیست هزینههای کلانی که به بانکها برای راهاندازی رمز پویا تحمیل میشود و معافیت خریدهای زیر۵۰۰ هزار تومان از این روش و مشکلات استفاده از آن در سطح جامعه با فراوانی جرایم دستههای سهگانه که در بالا بیان شد، ارزیابی و مقایسه شود؟ آیا ضرورت ندارد متخصصان حوزه آمار، مالی و اجتماعی و نه فقط متخصصان فناوری اطلاعات نظر دهند که آیا این راهکار از جمیع جوانب کارآمد و مفید است یا میتوان با راهحلهای کمهزینهتر و سهلتر به همین اندازه در جلوگیری از تخلفات این حوزه موثر بود و اعتماد به پرداختهای اینترنتی را افزایش داد؟
نوروزی برای روشنتر شدن موضوع مثالی زد و گفت: اگر شما شماره کارت کسی را برای واریز وجه به حسابش بخواهید به احتمال بسیار زیاد بر اساس یک عادت عمومی اشتباه، عکس کارت خود را برای شما ارسال میکند و با این کار در واقع تمام اطلاعات امنیتی کارت شامل شماره، تاریخ انقضا، CVV2 اطلاعات را در اختیار شما قرار میدهد! در چنین مواقعی برای جلوگیری از کشف این اطلاعات چه راهحلی وجود دارد؟ یقیناً راه حل از جنس راهحلهای ممکن در فناوری اطلاعات نیست بلکه فقط کافی است CVV2 و تاریخ انقضا را مثل بسیاری از کارتهای دنیا در پشت کارت چاپ کنیم؛ کاری که هیچیک از بانکهای ما انجام نمیدهند در حالی که برای حفظ امنیت لازم است.
وی در پایان به عنوان کارشناس امنیت فناوری اطلاعات تاکید کرد: در یک اکوسیستم با خدمات الکترونیک حل مسائل امنیتی با هدف کاهش تخلفات و ارتقای سطح اعتماد به آن فقط با حضور متخصصان علوم اجتماعی، حقوقی و مهندسی فناوری اطلاعات و خبرگان آن حوزه ممکن است و درست نیست که از متخصصان حوزه فناوری اطلاعات انتظار ارائه راهحل همه مسائل را داشت.