کارنامه رمز دوم پویا به روایت آمار: آیا عادت کردیم و فیشینگ هم کم شد؟

استفاده از رمز دوم پویا اواخر سال گذشته اجباری شد؛ تصمیمی که هنوز هم موافقان و مخالفان سرسختی دارد و هر دو گروه نیز، استدلال‌هایی منطقی را بیان می‌کنند. با این حال پرسش مهم اینجاست که آیا پس از گذشت ماه‌ها از اجباری شدن رمز دوم پویا، کاربران به پیچیده‌تر شدن فرآیند خرید اینترنتی عادت کرده‌اند؟ از سوی دیگر مجرمان پشت کلاهبرداری‌های اینترنتی چطور؛ آیا روش‌های جدید تله‌گذاری یا «فیشینگ» دستاورد‌های رمز دوم پویا را کمرنگ کرد؟ این گزارش تلاش می‌کند به همین سوالات، پاسخ دهد و کارنامه‌ی رمز دوم پویا را در یک بازه زمانی ۸ ماهه بررسی کند.

داده‌هایی که در این گزارش مشاهده خواهید کرد، برمبنای داده‌های واقعی درگاه پرداخت اینترنتی شرکت پرداخت یار «وندار» نزد کسب‌وکارهای گوناگون به دست آمده‌اند. پیش از این و در تیر ماه، دیجیاتو و وندار کارنامه‌ی ۵ ماهه‌ی رمز دوم پویا را بررسی کرده بودند که می‌توانید این گزارش را از اینجا بخوانید. اکنون اما این گزارش بازه زمانی بیشتری را بررسی کرده است تا عملکرد رمز دوم پویا برمبنای داده‌های واقعی درگاه پرداخت اینترنتی وندار نزد کسب‌وکارهای گوناگون، از دو جنبه سنجیده شود:

  • پیچیده‌تر شدن فرآیند خرید اینترنتی و در نتیجه افزایش خطاهای کاربری در درگاه‌ پرداخت
  • افزایش امنیت کارت‌های بانکی و در نتیجه کاهش تراکنش‌های استعلام شده توسط پلیس فتا

آیا کاربران به پیچیده‌تر شدن فرآیند خرید اینترنتی عادت کرده‌اند؟

نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنش‌ها معیار مناسبی برای سنجش پیچیدگی یا سادگی فرآیند خرید اینترنتی است. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیکی نبوده‌اند و نشان‌دهنده‌ی خطای کاربر در استفاده از خدمات هستند.

نسبت خطاهای کاربری به کل تراکنش‌های درگاه پرداخت وندار از آذر ۹۸ تا مهر ۹۹ و سهم خطاهای رمز در آن.

همانطور که پیش‌بینی می‌شد افزایش خطاهای کاربری در دی و بهمن‌ ماه سال ۹۸ صرفا به دلیل ناآشنا بودن کاربران با روند جدید بوده و به تدریج نسبت خطاهای کاربری و سهم خطاهای رمز (وارد کردن اشتباه رمز کارت) به سطح عادی خود، پیش از اجباری شدن رمز دوم پویا برگشته‌ است.

این بازگشت به سطح تعادلی پیشین به ویژه در سهم خطاهای رمز از خطاهای کاربری دیده می‌شود. داده‌ها نشان می‌دهد که سهم حدود ۶ تا ۷ درصدی تراکنش‌های ناموفقِ ناشی از خطا در وارد کردن رمز از کل تراکش‌ها، سهم طبیعی این دست از خطاها بوده و ارتباطی به رمز دوم پویا ندارد.

سهم خطای رمز از کل خطاهای کاربری در ماه‌های اخیر در همان حدود ۵۰ درصد آذرماه ۹۸ به تعادل رسیده است.

سهم بانک‌ها در خطاهای رمز دوم

اما پیاده‌سازی رمز دوم پویا در بانک‌های مختلف رمز دوم پویا را یکسان نبوده است. از ابتدا بانک‌ها نرم‌افزار رمزساز مخصوص خود را ارائه کردند و هر بانکی در زمان متفاوتی، ارسال پیامکی رمز دوم پویا را فعال کرد. مقایسه‌ی سهم کارت بانک‌های مختلف از خطاهای رمز می‌تواند نشان‌‌دهنده‌ی بهره‌وری سامانه‌ی رمز دوم بانک‌ها باشد.

اما نکته‌ی مهم در این مقایسه این است که سهم بانک‌ها از کارت‌های صادرشده یکسان نیست. بانکی که کارت‌های بیشتری در دست کاربران دارد، طبیعتاً سهم بیشتری هم از خطاهای رمزِ روی درگاه دارد. روشی که این اثر را حذف می‌کند، تقسیم تعداد خطاهای رمز کارت‌های هر بانک‌ در هر ماه به تعداد کل تراکنش‌های انجام‌شده توسط کارت‌های آن بانک در آن ماه است. روشی که شاخص جدیدی برای سنجش عملکرد سامانه‌ی رمز دوم هر بانک به دست می‌دهد: «درصد سهم خطاهای رمز از سهم کل تراکنش‌ها.»

تغییرات درصد خطای رمز از کل تراکنش‌های کارت‌های هر بانک در هشت ماه ابتدایی اجرای رمز دوم پویا.

اما در هنگام بررسی روند تغییرات این شاخص از سطح دانش و مهارت‌ کار با نرم‌افزار متفاوت جامعه‌ی مشترکین هر بانک هم نباید چشم‌پوشید. چرا که بانک‌های مختلف سابقه و جامعه‌ی هدف مشترکین متفاوتی از بخش‌های مختلف جامعه دارند. مبنا قرار دادن افزایش درصد خطای رمز از کل تراکنش‌ها به نسبت عدد این شاخص در آذرماه ۹۸ هر بانک (پیش از اجباری شدن رمز دوم پویا) می‌تواند این عامل مهم را هم از مقایسه‌ی بالا حذف کند. در جدول بالا افزایش بیش از ۱.۵ درصدی این شاخص، افزایشی غیرقابل قبول فرض شده است.

در مهر ۹۹ بانک‌های صادرات و سپه بیشترین افزایش درصد خطا را داشته‌اند

به این ترتیب در مهر ماه ۹۹، از میان بانک‌هایی که کارت‌های آنها سهم مهمی از تعداد تراکنش‌های درگاه وندار داشته‌اند (بیش از ۲درصد از کل تراکنش‌ها) بانک‌های صادرات و سپه بیشترین افزایش درصد خطا از کل ترکنش‌ها را داشته‌اند. بانک سپه نرم‌افزار رمز‌یاب مخصوص خودش را توسعه داده است اما بانک‌های صادرات، آینده و کشاورزی، هر سه از نرم‌افزار رمزیاب ریما استفاده می‌کنند و چنین افزایش معنی‌داری در درصد خطا از کل تراکنش‌های بانک‌های آینده و کشاورزی دیده نمی‌شود. بنابراین شاید علت این مشکل را باید در سیستم پیامکی بانک صادرات جستجو کرد.

به نظر می‌رسد بانک‌های ملت، سامان، آینده و پارسیان به سرعت توانسته‌اند مشکلات سامانه‌ی رمز دوم‌شان را اصلاح کنند و درصد خطای رمز کارت‌های خود را به صورت چشمگیری کاهش دهند. و سامانه‌های بانک‌های ملی‌، پاسارگاد، تجارت و شهر از همان ابتدای طرح عملکرد قابل قبولی داشته‌اند و بلافاصله بعد از آشنایی کاربران با روند‌های تازه سهم خطاهای رمز از کل تراکنش‌های آنها به سطح عادی برگشته است.

آیا روش‌های جدید فیشینگ دستاورد‌های رمز دوم پویا را کمرنگ نکرد؟

تعداد کارت‌های مشکوکی که پلیس فتا از درگاه‌های بانکی استعلام می‌کند، بخشی از روند رسیدگیِ دادگاه‌ها به شکایت قربانیان کلاهبرداری تله‌گذاری است. اگرچه در بعضی تراکنش‌های مشکوکی که استعلام می‌شوند لزوما جرمی رخ نداده، اما تعداد این استعلام‌ها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه‌ی پرداخت.

استعلام‌های پلیس فتا با اجباری شدن رمز دوم پویا کاهش قابل ملاحظه‌ای داشته‌اند

همان‌طور که روند داده‌های ما‌ه‌های گذشته نشان می‌داد، این استعلام‌ها با اجباری شدن رمز دوم پویا کاهش قابل ملاحظه‌ای داشته‌اند. تا جایی که تعداد استعلام کارت‌های مشکوک به ازای هر ده‌ هزار تراکنش در فروردین‌ ماه ۹۹ به کمتر از نیم‌ کارت ‌رسید. اما از خرداد ماه و با روش‌های جدیدی که مجرمان اینترنتی برای تله‌گذاری سرراه کاربران بکار بردند، موج جدیدی از استعلام کارت‌های مشکوک از راه رسید. موجی که با شیب نگران‌کننده‌اش به نظر می‌رسید بتواند ظرف چند ماه سطح تراکنش‌های مشکوک را به سطحی نزدیک به آذر ماه و پیش از اجباری شدن رمز پویا برگرداند.

اما داده‌های سه ماه گذشته نشان می‌دهد که اگرچه این تراکنش‌های مشکوک همچنان بسیار بیشتر از فروردین ماه هستند، اما تعادلی در سطحی بسیار پایین‌تر از تعداد آنها در آذرماه (بیش از ۳۰تراکنش مشکوک در هر ۱۰هزار تراکنش) در حال شکل‌گیری است و دور از انتظار نیست که در ماه‌های آینده هم این رقم همچنان کمتر از ۱۰تراکنش مشکوک در هر ۱۰هزار تراکنش باقی بماند.

باید توجه داشت که سرعت رسیدگی قضایی به کلاهبرداری‌های اینترنتی در ماه‌های گذشته به صورت قابل توجهی افزایش یافته است و برخلاف گذشته انتظار نمی‌رود تراکنش‌های مشکوکی که در این گزارش به آنها اشاره شده است با گذشت زمان افزایش قابل‌ اعتنایی پیدا کنند.

استعلام پلیس فتا از کارت‌های مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا مهر ۹۹.

همچنین در تحلیل این آمار باید در نظر داشت که حساب بانکی کاربران مثل خانه‌ای است که کلاهبرداران اینترنتی قصد سرقت از آن را دارند. اگرچه رمز دوم پویا در ورودی ضد سرقتی است که با بخش‌نامه‌ی بانک مرکزی به صورت اجباری روی همه‌ی خانه‌ها نصب شده است، اما همچنان دزدهای حرفه‌ای‌تر می‌توانند از پنجره‌های بی‌حفاظ وارد این خانه شوند.

مشاهدات نشان می‌دهد که خرید اینترنتی با یک کارت مشکوک گاهی آخرین حلقه از یک کلاهبرداری پیچیده‌تر است که ممکن است از تله‌گذاری برای اینترنت بانک کاربر شروع شده باشد. در این موارد پس از تله‌گذاری و دست‌یابی به رمز اینترنت بانک کاربران، مجرمان اینترنتی موجودی حساب قربانی را به یک حساب اجاره‌ای منتقل می‌کنند و از آنجا با کارتی اجاره‌ای در یک درگاه پرداخت، پول سرقت شده را به کالاهایی غیر قابل ردگیری مانند رمز ارزها تبدیل می‌کنند. رمز دوم پویا نمی‌تواند در برابر این‌گونه تله‌گذاری‌ها موثر باشد چرا که در موارد این‌چنینی اصولا رمز کارتی که آخرین تراکنش با آن انجام شده به سرقت نرفته بوده است.

وندار اعلام می‌کند که این گزارش، نشان‌دهنده‌ی عملکرد قابل قبول رمز دوم پویا برای افزایش امنیت حساب بانکی کاربران است، البته همچنان دغدغه‌های مخالفانی که نگران دسترسی‌پذیری خدمات اینترنتی برای گروه‌های سنی، اجتماعی یا افرادی با سطح توانایی‌های متفاوت جسمی هستند را نگرانی‌هایی به جا می‌داند که متخصصین دیگری باید درباره‌ی آنها اظهار نظر کنند.

از سوی دیگر، در هفته‌های اخیر زمزمه‌های طرح‌هایی برای بهبود رمز دوم پویا به گوش می‌رسد. هرچند در مورد سود و زیان طرح‌هایی مانند «هریم۲» که با افزایش امنیت رمز پویا همزمان مشکلات و پیچیدگی‌های بیشتری سر راه کسب‌وکارهای اینترنتی قرار می‌دهند باید در گزارش دیگری صحبت کرد، اما وندار در همین رابطه می‌نویسد:

«برای افزایش امنیت شبکه‌ی پرداخت، اجرای طرح‌هایی مانند این به تنهایی کافی نیست، و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوه‌های تله‌گذاری و مسئولیت افراد روی حساب‌هایی که به نام آنها باز شده است و افزایش همزمان حساسیت روی همه‌ی خروجی‌های حساب‌های بانکی (مانند اینترنت بانک)، به کار برده شوند تا نتیجه‌ی بهتری بدست آید.»

ویجیاتو

نظرات ۳

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟