نوروزی: زمانی می‌توانیم درباره کارآمدی یا ناکارآمدی یک روش در کاهش جرایم قضاوت کنیم که از زمینه‌ها و علل وقوع چنین جرمی به دقت اطلاع داشته‌باشیم.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طی هفته‌های اخیر هم‌زمان با نزدیک شدن به اول خرداد ماه که پیش از این تصور می‌شد موعد الزام به استفاده از رمز یک‌بار مصرف است، مطالب مختلفی درباره شیوه دریافت این رمز از بانک‌ها، آمادگی شبکه بانکی برای ارائه این رمز و آشنایی مردم با استفاده از آن منتشر شد. آنچه در میان این مطالب کمتر مورد توجه قرار گرفت این بود که آیا این راه‌حل می‌تواند در کاهش جرایم تاثیرگذار باشد و اگر پاسخ مثبت است، میزان این اثرگذاری چقدر خواهدبود.

مهندس شاهین نوروزی، کارشناس و فعال حوزه امنیت در این باره، گفت: یکی از جرایم مرسوم در پرداخت‌های اینترنتی این است که فرد مجرم اطلاعات کارت بانکی قربانی یعنی فردی که از حساب آن پول پرداخت می‌شود و همچین رمز دوم یا همان رمز اینترنتی او را به‌دست آورده و بدون اطلاع وی از فروشگاه‌های اینترنتی خرید می‌کنند. در این حالت یک خرید صحیح و کامل انجام شده و فروشنده موظف به ارسال کالا برای خریدار است، در حالی که خریدار، وجه را از جیب فرد دیگری پرداخت کرده‌است دقیقا مثل اینکه کیف پول شما را بدزدند و با آن خرید کنند. فروشنده کاملاً بی‌اطلاع و در این جرم بی‌تقصیر است. مال‌باخته قربانی است و از خرید، بی‌اطلاع و مجرم به هدف خود می‌رسد. برای جلوگیری از وقوع این جرم که به گفته مراجع امنیتی و قضایی طی سال‌های اخیر تعداد وقع آن روند صعودی داشته، پیشنهاد شد که از روشی استفاده‌شود که در کشور ما به رمز یک‌بار مصرف معروف شده‌است؛ روشی که در نگاه اول کارآمد می‌کنند، چرا که امکان انتقال وجه بدون آگاهی صاحب حساب را تا حد زیادی غیرممکن می‌کند اما این کارآمدی، تمام ماجرا نیست و زمانی می‌توانیم درباره کارآمدی یا ناکارآمدی این روش در کاهش جرایم قضاوت کنیم که از زمینه‌ها و علل وقوع چنین جرمی به دقت اطلاع داشته‌باشیم.

وی با دسته‌بندی این نوع از جرایم به سه گروه ادامه‌داد: در دسته اول صاحب حساب شخصا پرداخت را انجام می‌دهد و به دروغ و با هدف کسب منافع شخصی نزد مراجع قانونی و قضایی اعلام جرم می‌کند. مانند کسی که خودش خودروی خود را بدزدد و از بیمه درخواست خسارت کند. در این حالت مجرم خود صاحب کارت است و با حساب کاربری جعلی خرید یا پرداختی را انجام داده و سپس اعلام شکایت و درخواست دریافت وجه و جبران خسارت کرده‌است.

در دسته دوم فرد به روش‌های مهندسی اجتماعی یا به علت دانش کم از فضای مجازی و اعتماد به آن، اطلاعات بانکی خود را در اختیار افراد دیگری می‌گذارد. به عبارت دیگر فریب شیادان را می‌خورد و با اراده خود اطلاعات بانکی خودش را در اختیار آنها می‌گذارد یا پرداختی انجام می‌دهد، ولی بعدا متوجه می‌شود که فریب خورده و شکایت می‌کند. این دسته، متداول‌ترین نوع کلاهبرداری در حوزه پرداخت‌های اینترنتی است. به عنوان مثال فریب افراد از طریق حمله فیشینگ یا پرداخت وجه به امید جایزه یا عضویت در یک قرعه‌کشی از این نوع موارد هستند.

نوروزی در تشریح دسته سوم از جرایم مرسوم در حوزه پرداخت اینترنتی گفت: در این شیوه، اطلاعات بانکی فرد سرقت شده و سارق با داشتن کامل اطلاعات بانکی قربانی از طریق درگاه‌های اینترنتی خرید انجام می‌دهد. این حالت دقیقاً مثل این می‌ماند که کیف شما را بدزدند و از پول شما کالایی خریداری کنند. از آنجا که افراد در صورت سرقت کارت و اطلاعات آن به‌سرعت مراتب را به بانک اطلاع داده و کارت خود را مسدود می‌کنند، این نوع جرایم کمترین آمار را به خود اختصاص می‌دهد.

مدیرعامل شرکت پندار کوشک ایمن افزود: سوال اصلی اینجاست که رمز پویا مانع عدم وقوع کدام حالت از جرایم فوق می‌شود؟ بدون هیچ شک و تردیدی رمز پویا امکان ممانعت از وقوع جرایم دسته اول را ندارد، چراکه در این حالت مجرم خود صاحب تمام اطلاعات است حتی رمز یک‌بار مصرف. رمز پویا در جریم دسته دوم نیز نمی‌تواند مانع وقوع جرم شود چون در این حالت نیز صاحب حساب خود اطلاعات بانکی شامل شماره کارت،CVV2، تاریخ انقضا و حتی رمز پویا را وارد می‌کند و رمز پویا در این حالت چون قابل سرقت نیست فقط می‌تواند مانع تکرار واقعه شود و مانع وقوع خسارت و جرم اولیه نخواهدبود اما در دسته سوم، رمز پویا کاملاً کارآمد بوده و مانع وقوع تخلف خواهدشد.

این کارشناس امنیت گفت: در چنین شرایطی بهتر و لازم نیست هزینه‌های کلانی که به بانک‌ها برای راه‌اندازی رمز پویا تحمیل می‌شود و معافیت خریدهای زیر۵۰۰ هزار تومان از این روش و مشکلات استفاده از آن در سطح جامعه با فراوانی جرایم دسته‌های سه‌گانه که در بالا بیان شد، ارزیابی و مقایسه شود؟ آیا ضرورت ندارد متخصصان حوزه آمار، مالی و اجتماعی و نه فقط متخصصان فناوری اطلاعات نظر دهند که آیا این راهکار از جمیع جوانب کارآمد و مفید است یا می‌توان با راه‌حل‌های کم‌هزینه‌تر و سهل‌تر به همین اندازه در جلوگیری از تخلفات این حوزه موثر بود و اعتماد به پرداخت‌های اینترنتی را افزایش داد؟

نوروزی برای روشن‌تر شدن موضوع مثالی زد و گفت: اگر شما شماره کارت کسی را برای واریز وجه به حسابش بخواهید به احتمال بسیار زیاد بر اساس یک عادت عمومی اشتباه، عکس کارت خود را برای شما ارسال می‌کند و با این کار در واقع تمام اطلاعات امنیتی کارت شامل شماره، تاریخ انقضا، CVV2 اطلاعات را در اختیار شما قرار می‌دهد! در چنین مواقعی برای جلوگیری از کشف این اطلاعات چه راه‌حلی وجود دارد؟ یقیناً راه حل از جنس راه‌حل‌های ممکن در فناوری اطلاعات نیست بلکه فقط کافی است CVV2 و تاریخ انقضا را مثل بسیاری از کارت‌های دنیا در پشت کارت چاپ کنیم؛ کاری که هیچ‌یک از بانک‌های ما انجام نمی‌دهند در حالی که برای حفظ امنیت لازم است.

وی در پایان به عنوان کارشناس امنیت فناوری اطلاعات تاکید کرد: در یک اکوسیستم با خدمات الکترونیک حل مسائل امنیتی با هدف کاهش تخلفات و ارتقای سطح اعتماد به آن فقط با حضور متخصصان علوم اجتماعی، حقوقی و مهندسی فناوری اطلاعات و خبرگان آن حوزه ممکن است و درست نیست که از متخصصان حوزه فناوری اطلاعات انتظار ارائه راه‌حل همه مسائل را داشت.