کارت به کارت، قاتق نان یا بلای جان

حجم فيشينگ در شبکه بانکي کشور روزبه‌روز در حال افزايش است. گزارش‌ها حاکي‌ست که حجم بزرگي از پرونده‌هاي نزد پليس فتا به فيشينگ اختصاص دارد. گاهي تصور می‌کنیم فيشينگ صرفاً به افراد با سواد کم سايبري اختصاص دارد؛ اما در عمل افراد بسیاری از قشر تحصيل‌کرده اين کشور را در بر مي‌گيرد که حتماً اخبار آن را شنیده‌اید.

در حال حاضر حجم زيادي از تراکنش‌هاي مالي بر بستر اپ‌ها و درگاه پرداخت موبايلي و اينترنتي صورت می‌گیرد و با گسترش خدمات الکترونيکي بر اين حجم افزوده می‌شود.

يکي از روش‌هاي داراي ريسک در عمليات بانکي که به علت سهولت به شدت فراگير شده است، روش کارت به کارت از طريق اپ‌ها يا درگاه‌هاي اينترنتي است. تفاوت اين روش با انجام کارت به کارت در ATM اين است که در ATM حتماً بايد کارت مبدأ به صورت فيزيکي در اختيار فرد باشد تا قادر به انجام اين امر شود، در حالي که در روش کارت به کارت روي اينترنت و موبايل، اطميناني از وجود و تعلق کارت مبدأ به انجام‌دهنده انتقال وجود ندارد.

کارت به کارت از طریق اینترنت جزو خدمات بانکداری اینترنتی محسوب نمی‌شود و از آنجایی که ریسک امنیتی بالایی دارد، بانک مرکزی هیچ‌گونه مسئولیتی در قبال آن بر عهده نگرفته است؛ با اينکه اين سرويس، سرويس شتاب ي است و در چارچوب شاپرک قرار نمي‌گيرد و تراکنش بر زيرساخت شبکه شتاب منتقل می‌شود.

عدم وجود تأييد دو مرحله‌اي و عدم امکان احصاء موقعيت مکاني و عدم امکان بررسي شماره موبايل مبدأ سرويس کارت به کارت را به شدت براي سودجويان مناسب می‌کند.

مشکل ديگر، احتمال نگهداري يا انتقال غير امن اطلاعات کارت در برخي سوئيچ‌هاي بانکي و قابليت شنود غير مجاز در بستر اينترنت يا بدافزارهاي ساکن بر گوشي‌ها و رايانه‌هاست که احتمال بروز اين ريسک را به شدت افزايش مي‌دهد.

اصولاً اين سرويس، در بانکداري الکترونيکي ساير کشورها، سرويس متداولي نيست و عموماً اين عمل از طريق شعب، کيف پول يا ATM صورت مي‌پذيرد يا در برخي از کشورها با استفاده از ترکيب کيف پول با امضاء ديجيتال صورت می‌گیرد؛ البته متداول‌ترين و ايمن‌ترين روش در همه دنيا براي اين‌گونه تراکنش‌ها، استفاده از کيف پول‌هاي الکترونيکي است که با استفاده از استاندارد‌هاي 3D Secure و ساير استانداردهاي اين حوزه از ايمني مناسب برای اين اقدام برخوردارند.

متأسفانه با گذشت چندين سال از صدور کارت هوشمند ملي، بحث امضاء ديجيتال فردي، در کشور بلاتکليف باقی مانده است و هنوز هم استفاده از کارت هوشمند ملي براي چنين امري به علت بي‌توجهي مسئولان، در ‌هاله‌اي از ابهام قرار دارد. در ضمن شاپرک هم با تعلل جدي و بي‌عملي در حوزه تدوين قواعد امنيتي و چارچوب‌هاي کيف پول و فعالان آن براي سال‌هاي متمادي، به اين ريسک دامن می‌زند.

روش OTP يا رمز دوم پويا به علت برخي اختلالات مخابراتي و هزينه پيامک، روش مناسبي نیست و صرفاً به عنوان يک مُسَکِن مي‌توان آن را در نظر گرفت که البته هزينه‌هاي بانک‌ها را با وجود کارمزد فعلي افزايش می‌دهد و فشار ديگري بر بانک‌ها وارد می‌کند.

با توجه به آنچه گذشت، برای ايجاد بستر امن انتقال فوري پول بين افراد به زيرساخت‌هاي زير نیاز داریم:

1-    راه‌اندازي بيمه پرداخت‌هاي خرد که تقريباً در بخش عمده جهان ريسک تراکنش‌هاي مالي را کاهش مي‌دهد.
2-    راه‌اندازي امضاء ديجيتال بانکي با روش‌هاي سهل‌الوصول، مانند کارت‌هاي هوشمندي که قابليت اتصال به پورت USB کامپيوتر را دارند.
3-    انتخاب و تدوين استاندارد ملي کيف پول الکترونيکي و نحوه تبادل اطلاعات في‌مابين اين کيف‌ها با حفظ محرمانگي از طريق استانداردهاي لازم
4-    عدم استفاده از کارت به کارت برای انتقال فوري پول و محول کردن اين وظيفه به کيف‌هاي پول الکترونيکي
5-    تعيين ضوابط حاکم بر فعالان کيف پول و نحوة نظارت و پردازش‌هاي فني مورد نياز
6-    استفاده از استانداردهاي امنيتي شبيه به 3D Secure و تأييديه‌هاي امنيتي دو مرحله‌اي

در خاتمه چون تحقق موارد مطروحه بالا با همگرایی نهادهاي متعدد از جمله بيمه مرکزي، بانک مرکزي، شاپرک ، ثبت احوال (به عنوان متولي امضاء ديجيتال و گواهي ديجيتال ملي) و … امکان‌پذیر است و چون نهادهای نام‌برده اراده واحد و لازم را ندارند تا زماني که اشکالات جدي رخ ندهد، پيش‌بيني استفاده از مُسَکِن‌هايي نظير OTP مطرح می‌شود که به صورت مقطعي، بخشي و ناپايدار مشکل را مرتفع می‌کنند.

ماهنامه بانکداری آینده