مهندس شاهین نوروزی، کارشناس و فعال حوزه امنیت در این باره به حکاک گفت: یکی از جرائم مرسوم در پرداخت‌های اینترنتی این است که فرد مجرم اطلاعات کارت بانکی قربانی یعنی فردی که از حساب آن پول پرداخت می‌شود و همچین رمز دوم یا همان رمز اینترنتی او را بدست آورده و بدون اطلاع وی از فروشگاه‌های اینترنتی خرید می‌کنند. در این حالت یک خرید صحیح و کامل انجام شده و فروشنده موظف به ارسال کالا برای خریدار است، در حالی که خریدار، وجه را از جیب کس دیگری پرداخت کرده ‌است دقیقا مثل این که کیف پول شما را بدزدند و با آن خرید کنند. فروشنده کاملاً بی اطلاع و در این جرم بی تقصیر است. مال باخته قربانی است و از خرید بی اطلاع و مجرم به هدف خود می‌رسد. برای جلوگیری از وقوع این جرم که به گفته مراجع امنیتی و قضایی طی سال‌های اخیر تعداد وقع آن روند صعودی داشته، پیشنهاد شد که از روشی استفاده شود که در کشور ما به رمز یک بار مصرف معروف شده است؛ روشی که در نگاه اول کارآمد می‌نمایند چرا که امکان انتقال وجه بدون آگاهی صاحب حساب را تا حد زیادی غیرممکن می‌کند. این کارآمدی اما تمام ماجرا نیست و زمانی می‌توانیم درباره کارآمدی یا ناکارآمدی این روش در کاهش جرائم قضاوت کنیم که از زمینه‌ها و علل وقوع چنین جرمی به دقت اطلاع داشته باشیم.

وی با دسته‌بندی این نوع از جرائم به سه گروه ادامه‌داد: در دسته اول صاحب حساب شخصا پرداخت را انجام می‌دهد و به دروغ و با هدف کسب منافع شخصی نزد مراجع قانونی و قضایی اعلام جرم می‌کند. مانند کسی که خودش خودروی خود را بدزدد و از بیمه درخواست خسارت کند. در این حالت مجرم خود صاحب کارت است و با حساب کاربری جعلی خرید یا پرداختی را انجام داده و سپس اعلام شکایت و درخواست دریافت وجه و جبران خسارت کرده‌است.

در دسته دوم فرد به روش‌های مهندسی اجتماعی یا به علت دانش کم از فضای مجازی و اعتماد به آن، اطلاعات بانکی خود را در اختیار افراد دیگری می‌گذارد. به عبارت دیگر فریب شیادان را می‌خورد و با اراده خود اطلاعات بانکی خودش را در اختیار آن‌ها می‌گذارد یا پرداختی انجام می‌دهد ولی بعدا متوجه می‌شود که فریب خورده و شکایت می‌کند. این دسته، متداول‌ترین نوع کلاهبرداری در حوزه پرداخت‌های اینترنتی است. به عنوان مثال فریب افراد از طریق حمله فیشینگ یا پرداخت وجه به امید جایزه یا عضویت در یک قرعه‌کشی از این نوع موارد هستند.

نوروزی در تشریح دسته سوم از جرائم مرسوم در حوزه پرداخت اینترنتی گفت: در این شیوه، اطلاعات بانکی فرد سرقت شده و سارق با داشتن کامل اطلاعات بانکی قربانی، از طریق درگاه‌های اینترنتی خرید انجام می‌دهد. این حالت دقیقاً مثل این می‌ماندکه کیف شمارا بدزدند واز پول شما کالایی خریداری کنند. از آنجا که افراد در صورت سرقت کارت و اطلاعات آن به سرعت مراتب را به بانک اطلاع داده و کارت خود را مسدود می‌کنند، این نوع جرائم کمترین آمار را به خود اختصاص می‌دهد.

بیشتر بخوانید:

اپلت‌ ناجی کدهای دستوری یا دردسر تازه؟

چشم‌انداز اقتصادی صنعت امنیت سایبری در جهان

اقدامات و برنامه‌های شاپرک برای افزایش سلامت شبکه پرداخت الکترونیک کشور

مدیرعامل شرکت پندار کوشک ایمن افزود:  سوال اصلی اینجاست که رمز پویا مانع عدم وقوع کدام حالت از جرائم فوق می‌شود؟ بدون هیچ شک و تردیدی رمز پویا امکان ممانعت از وقوع جرائم دسته اول را ندارد چراکه در این حالت مجرم خود صاحب تمام اطلاعات است حتی رمز یکبار مصرف. رمز پویا در جرائم دسته دوم نیز نمی‌تواند مانع وقوع جرم شود چون در این حالت نیز صاحب حساب خود اطلاعات بانکی شامل شماره کارت،CVV2، تاریخ انقضا و حتی رمز پویا را وارد می‌کند و رمز پویا در این حالت چون قابل سرقت نیست فقط می‌تواند مانع تکرار واقعه شود و مانع وقوع خسارت و جرم اولیه نخواهد بود. در دسته سوم اما  رمز پویا کاملاً کارآمد بوده و مانع وقوع تخلف خواهد شد.

این کارشناس امنیت گفت: در چنین شرایطی بهتر و لازم نیست هزینه‌های کلانی که به بانک‌ها برای راه‌اندازی رمز پویا تحمیل می‌شود و معافیت خریدهای زیر۵۰۰ هزار تومان از این روش و مشکلات استفاده از آن در سطح جامعه با  فراوانی جرائم دسته‌های سه‌گانه که در بالا بیان شد، ارزیابی و مقایسه شود؟ آیا ضرورت ندارد متخصصان حوزه آمار، مالی و اجتماعی و نه فقط متخصصان فناوری اطلاعات نظر دهند که آیا این راهکار از جمیع جوانب کارآمد و مفید است یا می‌توان با راه‌حل‌های کم هزینه‌تر و سهل‌تر به همین اندازه در جلوگیری از تخلفات این حوزه موثر بود و اعتماد به پرداخت‌های اینترنتی را افزایش داد؟

نوروزی برای روشن‌تر شدن موضوع مثالی زد و گفت: اگر شما شماره کارت کسی را برای واریز وجه به حسابش بخواهید به احتمال بسیار زیاد بر اساس یک عادت عمومی اشتباه، عکس کارت خود را برای  شما ارسال می‌کند و با این کار در واقع تمام اطلاعات امنیتی کارت شامل شماره، تاریخ انقضا، CVV2 اطلاعات را در اختیار شما قرار می‌دهد! در چنین مواقعی برای جلوگیری از کشف این اطلاعات چه راه حلی وجود دارد؟ یقیناً راه حل از جنس راه‌حل‌های ممکن در فناوری اطلاعات نیست بلکه فقط کافی است CVV2 و تاریخ انقضا را مثل بسیاری از کارت‌های دنیا در پشت کارت چاپ کنیم؛ کاری که هیچ یک از بانک‌های ما انجام نمی‌دهند در حالی که برای حفظ امنیت لازم است.

وی در پایان باید به عنوان کارشناس امنیت فناوری اطلاعات تاکید کرد: در یک اکوسیستم با خدمات الکترونیک حل مسائل امنیتی با هدف کاهش تخلفات و ارتقای سطح اعتماد به آن فقط با حضور متخصصان علوم اجتماعی، حقوقی و مهندسی فناوری اطلاعات و خبرگان آن حوزه امکان پذیر است و درست نیست که از متخصصان حوزه فناوری اطلاعات انتظار ارائه راه‌حل همه مسائل را داشت.