.
اخبار کاشف

کارنامه رمز دوم پویا به روایت آمار

1399/5/8 چهارشنبه
دی و بهمن ۹۸ بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنش‌های کارتی اینترنتی (به‌استثنای ۱۰۰ هزار تومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحث‌های بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تأثیر عملی این تصمیم روی عملکرد شبکه پرداخت یا کاهش کلاه‌برداری و دزدی اطلاعات کارت‌ها منتشر شده است

از دی‌ماه ۹۸ و با شروع طرح رمز دوم پویا کارت‌هایی که پلیس فتا به دلیل تراکنش‌های مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده است، کاهش قابل‌ملاحظه‌ای داشته‌اند. تا جایی که تعداد استعلام کارت‌های مشکوک به ازای هر ده هزار تراکنش در فروردین‌ماه ۹۹ به کمتر از نیم کارت می‌رسد.
 دی و بهمن ۹۸ بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنش‌های کارتی اینترنتی (به‌استثنای ۱۰۰ هزار تومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحث‌های بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تأثیر عملی این تصمیم روی عملکرد شبکه پرداخت یا کاهش کلاه‌برداری و دزدی اطلاعات کارت‌ها منتشر شده است.
به گزارش بانکداری ایرانی، در نوشته حاضر با بررسی داده‌های درگاه پرداخت اینترنتی وندار نگاهی موردی به کارنامه رمز دوم پویا و اجباری شدن آن خواهیم انداخت.

اما سنجش کدام معیارها کارنامه دقیق‌تری در اختیار ما می‌گذارد؟

از متن بیانیه‌های بانک مرکزی آشکار است که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنش‌های بدون حضور کارت (CNP) تصویب شد. مخاطراتی در تراکنش‌های اینترنتی که باعث رونق کلاه‌برداری‌های تله گذاری (Phishing) برای دزدیدن رمز کارت‌ها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاه‌برداری شده است؟
معیار مناسبی برای سنجش این مسئله تعداد تراکنش‌های مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاه‌های بانکی استعلام می‌کند. این استعلام بخشی از روند رسیدگیِ دادگاه‌ها به شکایت قربانیان کلاه‌برداری تله گذاری است. اگرچه در بعضی تراکنش‌های مشکوکی که استعلام می‌شوند لزوماً جرمی اتفاق نیافته است اما تعداد این تراکنش‌ها مسلماً تخمین مناسبی است از سطح امنیت کلی شبکه پرداخت.
از طرف دیگر مهم‌ترین استدلال مخالفان این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارت‌ها توضیح می‌داد، و این امکان را در اختیار آن‌ها می‌گذاشت که بین انجام آسان‌تر تراکنش‌های اینترنتی با رمز ایستا و امنیت بالاتر رمز پویا انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خریدهای اینترنتی را پیچیده‌تر و درنتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسب‌وکارهای اینترنتی شده است.
برای سنجش سادگی استفاده از درگاه‌های پرداخت اینترنتی می‌توان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنش‌ها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، واردکردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیک نبوده‌اند و نشان‌دهنده خطای کاربر در استفاده از خدمات هستند.

نسبت خطاهای کاربری به کل تراکنش‌های درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن
برای دقیق‌تر شدن این مقایسه می‌توان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسه این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان می‌دهد که آذرماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵ درصد از کل تراکنش‌ها به دلیل اشتباه کاربران با خطا مواجه می‌شده‌اند و خطاهای مربوط به رمز دلیل ناموفق بودن نزدیک به نیمی از این تراکنش‌ها بوده‌اند.
از دی‌ماه و با آغاز طرح رمز دوم پویا می‌توان دید که پیچیده‌تر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن‌ماه به اوج خود در حدود ۲۵ درصد کل تراکنش‌ها می‌رساند. اما برخلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارت‌ها با فرآیند جدید، از اسفندماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنش‌ها آغاز می‌شود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵ درصد سهم خطاهای کاربری و نزدیک ۱۰ درصد خطاهای مربوط به رمز) تثبیت می‌شود.


سهم خطاهای رمز دوم از خطاهای کاربری از ۴۵ درصد آذرماه ۹۸ که به بیش از ۶۰ درصد در بهمن افزایش یافته بود، خردادماه ۹۹ به کمی بیش از ۵۰ درصد برگشت
بدیهی است که برای سنجش تأثیر موردی پیچیده‌تر شدن خرید اینترنتی روی دسترسی‌پذیری این خدمات برای گروه‌های سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گسترده‌تری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیه آن می‌توان نتیجه گرفت که بخش قابل‌توجهی از کاربران به‌خوبی با فرآیند جدید آشنا شده‌اند و اضافه کردن این ابزار امنیتی هزینه بلندمدتی برای شبکه پرداخت نخواهد داشت.

اما آیا رمز دوم پویا شبکه پرداخت را امن‌تر از پیش کرده است؟

از دی‌ماه ۹۸ و با شروع طرح رمز دوم پویا کارت‌هایی که پلیس فتا به دلیل تراکنش‌های مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده است، کاهش قابل‌ملاحظه‌ای داشته‌اند. تا جایی که تعداد استعلام کارت‌های مشکوک به ازای هر ده هزار تراکنش در فروردین‌ماه ۹۹ به کمتر از نیم کارت می‌رسد. این کاهش را نمی‌توان یکی از آثار جانبی همه‌گیری ویروس کرونا دانست، چراکه با در نظر گرفتن شاخص تعداد کارت‌های مشکوک در هر ده هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنش‌های ماهیانه تأثیر چندانی بر آن ندارد.

استعلام پلیس فتا از کارت‌های مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹
 بنابراین در یک بازه دو تا سه‌ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته است. نکته نگران‌کننده اما اوج‌گیری دوباره استعلام کارت‌های مشکوک از خرداد ۹۹ است. افزایشی که ادامه‌دار بودن آن تا تیرماه امسال می‌تواند نشانه ابتکارات تازه‌ای در اجرای کلاه‌برداری تله گذاری باشد و درنتیجه می‌تواند در ماه‌های آینده هم ادامه پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.
در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاه‌برداری‌های اینترنتی فرآیندی زمان‌بر است و ممکن است چند ماه طول بکشد تا تمام تراکنش‌های مشکوک رخ‌داده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارت‌های مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد.
از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریباً هیچ استعلامی درباره تراکنش‌هایی با مبلغ کمتر از ۱۰۰ هزار تومان صورت نمی‌گرفته است. اما تقریباً ۷ درصد استعلام‌های خردادماه تراکنش‌هایی با مبلغ کمتر از ۱۰۰ هزار تومان بوده‌اند.
اگر با افزایش احتمالی استعلام‌ها در ماه‌های پیش‌رو این سهم ۷ درصدی هم افزایش پیدا کند می‌توان بازهم رمز دوم پویا را در کاهش مبلغ تراکنش‌های مشکوک موفق دانست.
درنهایت رمز دوم پویا تصمیمی بود برای کاهش مخاطرات خریدهای بدون حضور کارت و محافظت هم‌زمان از دارایی‌های مردم و کسب‌وکارهای اینترنتی. می‌توان درباره چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. لازم است اثر آن در کاهش دسترسی بعضی از گروه‌های سنی یا اجتماعی به خدمات خرید اینترنتی موردبررسی قرار گیرد. اما به نظر می‌رسد که اثر بلندمدت چندانی در پیچیده‌تر شدن فرآیند خرید نداشته باشد و نمی‌توان بر کارایی آن در کاهش کلاه‌برداری‌های تله گذاری نیز چشم پوشید.
وندار به‌عنوان پرداخت‌یاری پیشرو در اجرای شیوه‌نامه‌های امنیتی، بخش مهمی از توان پیگیری و پشتیبانی‌اش را صرف ایجاد ارتباط حرفه‌ای و پاسخگویی سریع بین کسب‌وکارها و مراجع قضایی می‌کند تا هم از مسدود شدن حساب کسب‌وکارهای طرف قرارداد به دلیل مشکلات تراکنش‌های مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواسته‌ها و دستورالعمل‌های ساختار قضایی و پلیس فتا باشد. به همین دلیل خود را در دغدغه بانک مرکزی برای کاهش کلاه‌برداری تله گذاری شریک می‌داند و باور دارد برای افزایش امنیت شبکه پرداخت، اجرای طرح‌هایی مانند رمز دوم پویا به‌تنهایی کافی نیست، و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوه‌های تله گذاری و سرقت اطلاعات کارت‌ها و روش‌های خلاقانه‌ای مانند استفاده از درگاه پرداخت دومرحله‌ای در کسب‌وکارهای فروش رمزارز و کالاهای دیجیتال به کار برده شوند تا نتیجه بهتری از آن‌ها به دست آید.

منبع :


مشاهده همه اخبار
نسخه قابل چاپ
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها