باگ امنیتی در رمز یکبار مصرف ، پیامک امن نیست!

آنالیز طرح رمز دوم پویا نشان می دهد که این طرح در بعضی موارد مربوط به ارسال پیامک با مسائل امنیتی روبرو است و می تواند حساب های بانکی مشتریان را به خطر بیندازد.

باگ امنیتی در رمز یکبار مصرف ، پیامک امن نیست!

به گزارش گروه مالی خبرنگاران، بانک مرکزی بانک ها را موظف نموده تا طرح رمز دوم پویا را از ابتدای دی ماه امسال به صورت الزامی برای تمام مشتریان به اجرا درآورند.

این در حالی است که پیش تر این طرح قرار بود در ابتدای خردادماه اجرایی گردد، اما به دلایلی به تعویق افتاد که یکی از مهم ترین دلایل آن را می توان عدم دسترسی تمامی مشتریان بانکی به گوشی های هوشمند دانست، چراکه در ابتدا قرار بود دریافت رمز دوم پویا توسط مشتریان به وسیله اپلیکیشن های بانکی انجام گردد.

بر اساس آمار به دست آمده حدود 20 درصد از مشتریان بانکی دسترسی به گوشی های هوشمند ندارند و به همین دلیل بانک مرکزی تصمیم گرفت با توسعه این طرح، امکان ارسال رمز دوم پویا را از دو طریق اپلیکیشن های بانکی و پیغامک فراهم کند.

برای این کار مشتریان بانکی باید از یکی از سه راه مراجعه حضوری به شعبه، خودپرداز یا اینترنت بانک هایی که تایید هویت دو مرحله ای دارند، شماره تلفن همراه خود را تایید نمایند که البته برای تغییر شماره تلفن همراه، مراجعه به شعبه الزامی است.

بانک مرکزی این طرح را برای کاهش آمار فیشینگ و جلوگری از کلاهبرداری های مشابه و به عبارت دیگر افزایش ضریب امنیتی تراکنش های بدون حضور کارت اجرا می نماید و این در حالی است که در بخشی از شکل اجرای این طرح، مسائل امنیتی مهمی وجود دارد.

مشتریانی که اقدام به دریافت رمز دوم پویا به وسیله اپلیکیشن های بانکی می نمایند، باید پس از ورود به اپلیکیشن و وارد کردن نام کاربری و رمز عبور که از بانک دریافت نموده اند یا روش های دیگری، چون اثر انگشت، رمز دوم پویا را به وسیله اپلیکیشن دریافت نمایند.

البته این نرم افزار ها برای ارسال رمز به صورت آفلاین عمل نموده و نیازی به دسترسی به اینترنت ندارند.

حال آنکه افرادی که فاقد گوشی هوشمند هستند یا به هر دلیلی می خواهند به وسیله پیغامک رمز دوم پویای خود را دریافت نمایند، با کلیک روی دکمه ای که در درگاه پرداخت اینترنتی یا سایر تراکنش های بدون حضور کارت تعبیه می گردد، می توانند رمز دوم را به صورت پیغامک دریافت نمایند.

به این ترتیب، در صورتی که گوشی تلفن همراه و کارت بانکی فردی به سرقت رفته، مفقود گردد یا به هر دلیلی در اختیار شخص دیگری باشد، آن شخص می تواند تنها با داشتن شماره کارت، CVV 2 و تاریخ انقضا که همه آن ها روی کارت بانکی درج شده، حتی بدون در اختیار داشتن کارت و فقط با گوشی فرد اقدام به سرقت از کارت بانکی فرد کند.

این در حالی است که تنها راه حل حاضر برای جلوگیری از این موضوع، سوزاندن سریع سیم کارت یا کارت بانکی به سرقت رفته است، در حالی که ممکن است سرقت یا مفقودی در ساعات غیرکاری یا روز های تعطیل اتفاق بیفتد که در آن صورت فرد دسترسی به شعب بانکی یا تلفن همراه برای از بین بردن کارت بانکی یا سیم کارت خود ندارد.

از سوی دیگر در حال حاضر بسیاری از گوشی های تلفن همراه دارای قفل ایمنی صفحه نمایش هستند، اما اعلان های (Notification) پیغامک و سایر پیغام رسان های آن ها حتی در صورت قفل بودن گوشی روی صفحه ظاهر می گردد، بنابراین تمامی مشتریان بانکی باید با مراجعه به تنظیمات گوشی تلفن همراه خود، محتوای اعلان های خود را در زمان قفل بودن صفحه نمایش پنهان نمایند.

اما باید این را در نظر داشت که بعضی گوشی های تلفن همراه قدیمی که هوشمند هم نیستند، سیستم قفل صفحه نمایش به صورت رمزگذاری ندارند و به سادگی می توان به آن ها دسترسی پیدا کرد.

راه کار چیست؟

در این زمینه بانک مرکزی هنوز راه حلی ارائه ننموده و بر همین اساس مردم باید این موضوع را مدنظر قرار دهند که تا حد امکان از اپلیکیشن های بانکی برای دریافت رمز دوم استفاده نمایند.

همچنین بانک ها نیز باید با توجه به سوابق مشتریانی که به وسیله اپلیکیشن اقدام به دریافت رمز دوم نموده اند، در صورت درخواست ارسال پیغامک، آن ها را ملزم به استفاده از اپلیکشن برای دریافت رمز نمایند، چراکه ممکن است، مشتری قبلا به وسیله اپلیکیشن رمز خود را گرفته باشد، اما فرد سودجو درخواست پیغامک برای انجام عملیات را بدهد.

البته این موضوع می تواند از سوی دیگر اخلال در کار مشتریان ایجاد کند، برای مثال ممکن است فعالیت یک اپلیکیشن بانکی به هر دلیلی روی گوشی فردی متوقف گردد و فرد بخواهد از پیغامک استفاده کند که در این مورد با مشکل روبرو خواهد شد.

شاید بهترین راه این باشد که درخواست ارسال پیغامک برای مشتریانی که قبلا از اپلیکیشن استفاده نموده اند فقط در زمان ساعات کاری بانک و پس از وقفه ای چند ساعته در دسترس باشد.

به هر حال این توصیه به مردم می گردد که از اپلیکیشن های بانکی به جای پیغامک برای دریافت رمز دوم استفاده نمایند، هرچند که بانک مرکزی و بانک ها نیز باید برای این مسائل پاسخ گو باشند.

منبع: خبرگزاری دانشجو
انتشار: بروزرسانی: 22 دی 1398 شناسه مطلب: 669

به "باگ امنیتی در رمز یکبار مصرف ، پیامک امن نیست!" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "باگ امنیتی در رمز یکبار مصرف ، پیامک امن نیست!"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید