بزرگنمايي:

اخبار محرمانه - ایبنا / بانک مرکزی با راه‌اندازی سامانه هریم (هدایت رمز یکبارمصرف) امکان ارسال رمز دوم پویا در قالب پیامک از سوی بانک‌ها را با تسهیل تجربه کاربری امکان‌پذیر کرده است.
از اوایل تابستان سال گذشته به دلیل افزایش فیشینگ در کشور بحث بهره‌گیری از رمز دوم پویا (یک‌بارمصرف) و حذف رمز دوم ایستا در کشور مطرح شد. در طرح اولیه قرار بود بانک‌ها زیرساخت لازم برای تولید رمز دوم یک‌بارمصرف در قالب اپلیکیشن را فراهم کنند و بهره‌گیری از رمز دوم یک‌بارمصرف از اول خردادماه سال 98 اجباری شود؛ اما به دلیل اینکه تمام کاربران به گوشی‌های هوشمند دسترسی نداشته یا علاقه‌مند به نصب برنامک رمز ساز روی گوشی خود نبوده و همچنین تعدادی از بانک‌ها زیرساخت لازم برای راه‌اندازی این طرح را در اختیار نداشتند الزامی شدن آن به تعویق افتاد و اختیاری شد.
بر اساس این گزارش، با توجه به ادامه روند افزایش چشمگیر فیشینگ و حجم بالای تخلفات ناشی از سرقت اطلاعات کارت‌بانکی و خالی کردن حساب‌های مردم بانک مرکزی با رصد تجربه‌های جهانی در این بخش و همچنین توجه به دسترسی‌پذیری خدمت رمز دوم یک‌بارمصرف برای تمام کاربران و با هدف تسهیل تجربه کاربری در این طرح، الزامات جدید رمز دوم پویا را ابلاغ و سامانه هریم را برای هدایت رمز دوم یک‌بارمصرف در قالب پیامک راه‌اندازی کرد.
تمام بانک‌های کشور بعد از اتصال به سامانه هریم بانک مرکزی می‌توانند درخواست رمز دوم یک‌بارمصرف مشتریان خود را دریافت و پاسخ را در قالب پیامک به مشتریان خود ارائه دهند که از این مسیر افرادی که فاقد گوشی هوشمند هستند و همچنین افرادی که میلی به نصب چندین اپلیکیشن برای پرداخت‌های غیرحضوری خود ندارند، می‌توانند از رمز دوم یک‌بارمصرف (پویا) بهره‌برداری کنند.
تجهیز تمام درگاه های پرداخت بدون حضور کارت به آیکون درخواست صدور رمز یکبار مصرف پویا در قالب پیامک
افزون بر این، در الزامات جدید بانک مرکزی به‌منظور پوشش تمام آحاد جامعه برای استفاده از رمز دوم یک‌بارمصرف دست بانک‌ها برای راه‌اندازی این خدمت از کانال‌های مختلف ازجمله تلفن گویا، پست الکترونیکی، پیامک، کانال USSD و اپلیکیشن های رمز ساز باز گذاشته‌شده است؛ البته کارشناسان معتقدند با توجه به راه‌اندازی سامانه هریم بانک مرکزی دریافت رمز از کانال پیامک منجر به تسهیل تجربه کاربری می‌شود؛ زیرا با تمهیداتی که بانک مرکزی اندیشیده بعد از اتصال کامل تمام بانک‌ها به سامانه هریم تمام درگاه‌های پرداخت غیرحضوری به آیکون و دکمه‌ای مجهز خواهند شد که کاربر بعد از فشردن آن رمز یک‌بارمصرف خود را در قالب پیامک دریافت می‌کند که این روند تجربه کاربری در اجرای این طرح را بسیار تسهیل کرده است.
تسهیل شناسایی درگاه های پرداخت جعلی با تجهیز آن به آیکون درخواست رمز یکبار مصرف در قالب پیامک
همچنین با راه‌اندازی سامانه هریم شناسایی سایت‌های جعلی تسهیل می‌شود؛ زیرا در این روند هر درگاه پرداختی که به آیکونی برای درخواست ارسال رمز یکبار مصرف واقعی مجهز باشد قطعاً صفحه پرداخت اصلی بوده و صفحات پرداخت جعلی اصولاً امکان دسترسی به سامانه هریم را ندارند. البته اگر یک درگاه پرداخت غیرحضوری جعلی نیز آیکون هریم بانک مرکزی را شبیه‌سازی کند هنگامی‌که کاربر با فشردن آن آیکون و دکمه رمز یک‌بارمصرف خود را دریافت نکند، امکان سوءاستفاده توسط درگاه جعلی منتفی است.
کارشناسان معتقدند، یکی از بحث‌هایی که در خصوص امنیت ارسال رمز دوم یک‌بارمصرف در قالب پیامک عنوان می‌شود این است که در الزامات بانک مرکزی به بانک‌ها توصیه‌شده رمز یک‌بارمصرف را به کد پذیرنده و مبلغ تراکنش لینک کنند تا رمز یک‌بارمصرفی که بدین شکل و به‌صورت پوبا تولید می‌شود تنها برای یک مبلغ و استفاده از یک پذیرنده خاص کاربرد داشته باشد تا در صورت هک قابل‌استفاده در بقیه موارد نباشد که نکته درستی است و حسب شنیده‌ها بانک مرکزی هم قصد دارد بعد از اجرای اولیه این طرح در گام دوم این مهم را برای تمام بانک‌ها الزام کند؛ اما آنچه در اجرای اولیه بسیار مهم است و برخی منتقدان بدون توجه به این موضوع طرح را نقد کرده‌اند این است که تغییر رقم تراکنش در ارسال رمز پویا از کانال پیامک تنها در صورتی رخ می‌دهد که درگاه پرداخت جعلی باشد؛ درصورتی‌که با توجه به توضیحات قبلی در این یادداشت، با راه‌اندازی سامانه هریم بعد از اجرای این طرح تمام درگاه‌های پرداخت غیرحضوری اصلی به آیکون درخواست رمز دوم یک‌بارمصرف مجهز می‌شوند و درصورتی‌که صفحه پرداخت واقعی نباشد این آیکون کار نمی‌کند و کاربران متوجه خواهند شد که در یک سایت جعلی قرار دارند و در سایت اصلی نیز اگر مبلغ تراکنش تغییر کند این اشتباه متوجه بانک و یا ارائه‌دهنده خدمت پرداخت است و به‌راحتی قابل‌پیگیری و بازگشت وجه را در پی دارد و به‌مثابه فیشینگ نیست؛ ازاین‌رو در همین مقطع نیز با راه‌اندازی سامانه هریم و افزوده شدن آیکون درخواست ارسال رمز یک‌بارمصرف شناسایی درگاه‌های جعلی بسیار آسان‌تر از قبل شده است.
در گام بعدی بانک مرکزی لینک کردن کد پذیرنده و مبلغ هر تراکنش به رمز دوم پویا را برای بانک ها الزامی می کند
افزون بر این، البته این امر بانک مرکزی را از الزام لینک کردن کد پذیرنده و مبلغ هر تراکنش به رمز یک‌بارمصرف و ایجاد رمز پویا در گامی بعدی بازنمی‌دارد؛ اما در شرایط حساس فعلی اجرای این طرح جلوی بسیاری از فیشینگ ها و سرقت اطلاعات بانکی را گرفته و در مرحله بعد با تکمیل‌تر شدن این روند شاهد کاهش شدید فیشینگ و سرقت اطلاعات کارت‌های بانکی خواهیم بود. در انتها یادآوری می‌شود افرادی که از برنامک رمز ساز استفاده می‌کنند نیازی به فشردن کلید دریافت رمز یک‌بارمصرف نخواهند داشت و مستقیماً می‌توانند رمز دریافتی از برنامک خود را وارد کرده و تراکنش را انجام دهند. در این حالت کاربران باید مراقبت کنند که به دام صفحات پرداخت جعلی نیفتند چرا که رمز مزبور طی طول عمر 120 ثانیه‌ای خود ممکن یک‌بار مورد سوءاستفاده قرار گیرد.