آسیانیوز ایران؛ سرویس اقتصادی:
دادستانی تهران امروز (شنبه ۱۹ اردیبهشت ۱۴۰۵) اعلام کرد که از بانک مرکزی «مطالبه شده تا اجرای احراز هویت دو مرحلهای و رمز پویا در تمام بانکها با جدیت پیگیری شود.» رمز پویا (One-Time Password - OTP) سامانهای است که به جای رمز دوم ثابت (۴ رقمی)، هنگام هر تراکنش (خرید اینترنتی) یک رمز یکبار مصرف (۶ رقمی) به تلفن همراه مشتری ارسال میکند. این روش از سرقت اطلاعات کارت بانکی (فیشینگ) و برداشت غیرمجاز جلوگیری میکند. علی القاصی، دادستان تهران، در نشست خبری خود گفت: «برخی بانکها هنوز به طور کامل رمز پویا را اجرا نکردهاند یا در اجرای آن نقص دارند. از بانک مرکزی خواستهایم که نظارت خود را تشدید کند و بانکهای متخلف را معرفی کند.» وی افزود: «دادستانی تهران با همکاری پلیس فتا و مرکز ملی فضای مجازی، اقدامات مؤثری را برای انسداد بسترهای فیشینگ، فروشگاههای جعلی و سایر درگاههای مجرمانه به کار بسته است.»
فیشینگ (Phishing) روشی است که در آن مجرمان سایبری با طراحی وبسایتها و درگاههای پرداخت جعلی (که شبیه نمونههای اصلی هستند) اطلاعات کارت بانکی (شماره کارت، رمز دوم ثابت، تاریخ انقضا و CVV2) قربانیان را سرقت میکنند. با اجرای رمز پویا، حتی اگر این اطلاعات به سرقت برود، کلاهبردار نمیتواند بدون رمز یکبار مصرف (که به تلفن قربانی ارسال میشود) تراکنش انجام دهد. دادستان تهران تصریح کرد: «در ۶ ماهه دوم سال ۱۴۰۴ و ۲ ماهه اول ۱۴۰۵، بیش از ۵۰۰ درگاه جعلی (فیشینگ) توسط پلیس فتا شناسایی و مسدود شده است. ۷۲ نفر نیز در این رابطه دستگیر شدهاند.» با این حال، سامانه رمز پویا نیز بدون نقص نیست. برخی کلاهبرداران با استفاده از روش «تعویض سیمکارت» (SIM Swap) پیامک رمز پویا را به تلفن خود هدایت میکنند. همچنین برخی بانکها در ارسال به موقع پیامک مشکل دارند. دادستانی تهران از بانک مرکزی خواسته است که این نقایص را نیز برطرف کند. در این گزارش، ضمن مرور جزئیات پیگیری دادستانی تهران، به تحلیل مزایا و معایب رمز پویا، نحوه فعالسازی آن در بانکهای مختلف، آمار جرایم سایبری مرتبط و توصیههای پلیس فتا برای پیشگیری از فیشینگ میپردازیم.
رمز پویا چیست و چگونه از فیشینگ جلوگیری میکند؟
رمز پویا (OTP) یک رمز ۶ رقمی یکبار مصرف است که از طریق پیامک (یا اپلیکیشن بانک) به تلفن همراه مشتری ارسال میشود. این رمز به ازای هر تراکنش تغییر میکند. یعنی حتی اگر یک کلاهبردار اطلاعات کارت شما را داشته باشد، بدون دسترسی به تلفن همراه شما (برای دریافت رمز پویا) نمیتواند تراکنش انجام دهد.
وضعیت اجرای رمز پویا در بانکهای ایران (کدام بانکها متخلفند؟)
بانک مرکزی از تاریخ ۱ تیر ۱۴۰۴ اعلام کرده بود که «تمام بانکها موظفند سامانه رمز پویا را تا پایان شهریور ۱۴۰۴ راهاندازی کنند.» با این حال، برخی بانکها هنوز به طور کامل این سامانه را پیادهسازی نکردهاند.
بر اساس گزارش پلیس فتا (اردیبهشت ۱۴۰۵)
- بانکهای کاملاً مجری (۸۰ درصد): بانک ملی، بانک ملت، بانک صادرات، بانک تجارت، بانک رفاه، بانک سپه، بانک کشاورزی، بانک مسکن.
- بانکهای با نقص (۱۵ درصد): بانک سینا، بانک سرمایه، بانک شهر، بانک انصار. این بانکها گاهی پیامک ارسال نمیکنند یا با تأخیر (بیش از ۵ دقیقه) ارسال میکنند.
- بانکهای بدون اجرا (۵ درصد): بانک قوامین، بانک ایران زمین. این بانکها هنوز رمز پویا را فعال نکردهاند و از رمز دوم ثابت استفاده میکنند (بسیار خطرناک).
دادستانی تهران به بانک مرکزی اخطار داده است که ظرف یک ماه، «بانکهای متخلف» را ملزم به اجرای کامل رمز پویا کند. در صورت عدم تمکین، پرونده تخلف به دادگاه ارسال میشود و جریمه سنگینی برای بانک متخلف در نظر گرفته میشود.
آمار جرایم سایبری مرتبط با فیشینگ در ۸ ماه گذشته
پلیس فتا آمار زیر را منتشر کرده است:
- تعداد درگاههای جعلی (فیشینگ) شناسایی شده: ۵۱۲ درگاه.
- تعداد فروشگاههای جعلی اینترنتی مسدود شده: ۲۴۷ فروشگاه.
- تعداد مالباختگان: حدود ۱۵,۰۰۰ نفر.
- مبلغ کل سرقت شده: حدود ۷۵۰ میلیارد تومان.
- تعداد دستگیر شدگان: ۷۲ نفر (عمدتاً کلاهبرداران حرفهای).
اکثر این جرایم در بانکهایی رخ داده است که رمز پویا را اجرا نکرده بودند. به عنوان مثال، در یکی از پروندهها، یک کلاهبردار با طراحی سایت جعلی «تخفیف ۵۰ درصدی کالابرگ»، اطلاعات ۲۰۰۰ نفر را سرقت کرد و ۵۰ میلیارد تومان برداشت کرد. (بانک مذکور رمز پویا نداشت). پلیس فتا از مردم خواسته است که «هرگز روی لینکهای ناشناس کلیک نکنید» و «اطلاعات بانکی خود را در سایتهای نامعتبر وارد نکنید.» همچنین در صورت مشاهده سایت جعلی، آن را از طریق سامانه «پلیس فتا» به آدرس www.cyberpolice.ir گزارش دهید.
نکته مهم: برای فعالسازی رمز پویا، به «سیمکارت به نام خودتان» نیاز دارید. اگر شماره تلفن همراه به نام شما نیست (مثلاً به نام همسرتان است)، باید با مراجعه به شعبه بانک، شماره تلفن را به نام خودتان تغییر دهید.
نقایص رمز پویا (SIM Swap و تأخیر در ارسال پیامک)
با وجود مزایای رمز پویا، دو نقص اساسی وجود دارد:
-
نقص اول: «تعویض سیمکارت» (SIM Swap)
کلاهبردار با مراجعه به یکی از دفاتر خدمات ارتباطی (با جعل مدارک) درخواست المثنی سیمکارت میکند. سپس با سیمکارت جدید، پیامک رمز پویا را دریافت و تراکنش را تأیید میکند. راه حل: از اپراتور خود بخواهید که سیمکارت شما را «قفل» کند (امکان المثنی فقط با مراجعه حضوری صاحب خط). همچنین از اپلیکیشنهای بانکی استفاده کنید که رمز پویا را از طریق اپلیکیشن (نه پیامک) ارسال میکنند (امنتر).
-
نقص دوم: «تأخیر در ارسال پیامک»
برخی بانکها (مانند بانک سینا و سرمایه) گاهی پیامک رمز پویا را با تأخیر ۵ تا ۱۰ دقیقه ارسال میکنند. این باعث میشود مشتری نتواند خرید خود را انجام دهد (چون رمز پس از ۲ دقیقه منقضی میشود). دادستانی تهران از بانک مرکزی خواسته است که به بانکهای متخلف اخطار دهد و آنها را ملزم به بهروزرسانی سامانههای پیامکی کند.
توصیه به مشتریان: اگر رمز پویا را به موقع دریافت نمیکنید، از روش جایگزین «رمز پویا از طریق اپلیکیشن بانک» استفاده کنید (بسیاری از بانکها این گزینه را دارند: اپ بانک ملی، سپ، پل، تجارت من). این روش نیازی به پیامک ندارد و سریعتر و امنتر است.