پادکست مانی‌ وار – اپیزود ۱: پشت پرده رمز دوم پویا

پادکست مانی‌وار اپیزود ۱
اشتراک گذاری
Share on twitter
Share on telegram
Share on linkedin
Share on whatsapp

اولین اپیزود پادکست مانی وار منتشر شد. این اپیزود را می‌توانید از طریق اپلیکیشن نوار و یا سایر اپلیکیشن‌های پادگیر گوش دهید. همچنین در وبلاگ جیبی‌مو می‌توانید این پادکست را بشنوید و متن کامل یا Transcript پادکست را در ادامه مطلب مطالعه نمایید.

معرفی میزبان

میزبان پادکست مانی‌ وار، دکتر عرفان مرادیان است. وی هم‌بنیان‌گذار و مدیر عامل شرکت جیبی‌مو و یکی از اعضا کمیسیون فین‌تک ایران است. رشته تحصیلی ایشان دکتری کارآفرینی دانشگاه تهران است و با سابقه‌ای بیش از ۱۰ سال در صنعت فین‌تک به عنوان یکی از صاحب‌نظران این حوزه میزبان پادکست مانی‌ وار خواهند بود.

عرفان مرادیان

معرفی مانی‌ وار

امروز ما در دنیایی زندگی می‌کنیم که خیلی از تجربیاتمون خوب یا بد، به صورت دیجیتال داره اتفاق میوفته. از فیلم و کتاب و موسیقی گرفته تا سفارش غذا و تاکسی و رزرو هتل و صدها مورد دیگه. به نظر می‌رسه که هیچ چیزی، از این تحول دیجیتال در امان نبوده و نیست. پول هم به عنوان وسیله‌ای برای تبادل نیازهامون از این قضیه مستتثنی نبوده و همواره در طول تاریخ به اقتضای شرایط تکامل پیدا کرده. در پادکست مانی‌ وار می‌خوام در مورد صنعتی صحبت کنم که سرعت این تکامل رو داره بیشتر و بیشتر می‌کنه و اون صنعت، فین‌تک یا فناوری مالیه.

فین‌تک صنعت مالی جدیدیه که در اون با استفاده از جدیدترین فناوری‌ها، به نوآوری و بهبود در فعالیت‌ها و خدمات مالی می‌پردازند. فین‌تک سبک زندگی همه ما رو در آینده‌ای نزدیک تغییر خواهد داد پس لازمه از امروز خودمون رو برای این تغییرات بزرگ آماده کنیم. من در پادکست مانی‌وار قراره با شما در مورد اتفاقات مهمی که توی فین‌تک میوفته و تأثیری که این نوآوری‌های مالی تو زندگی روزمره‌مون داره صحبت کنم.

موضوع این قسمت

در این قسمت از پادکست مانی‌وار، می‌خوام در مورد رمز دوم پویا و پشت پرده اون باهاتون صحبت کنم. می‌خوایم ببینیم منشأ این موضوع چی بوده و نهایتاً به بعضی از نقدهای جدی‌ای که به این طرح وارد هست، اشاره کنم. تا پایان این قسمت از مانی‌وار همراهم باشید تا هر چیزی که در مورد رمز دوم پویا لازم هست بدونید، براتون کامل شفاف بشه.

آمار تجارت الکترونیک

ما تو ایران تو سال‌های اخیر رشد بالایی از تجارت الکترونیک رو تجربه کردیم. طبق آمارهای رسمی، پارسال یعنی سال ۹۷، ۲۰۸ هزار میلیارد تومن حجم خرید‌های اینترنتی بوده که ۱۴۶ هزار میلیارد تومنش از طریق درگاه‌های پرداخت اینترنتی بوده و مابقیش به صورت کارت به کارت و پرداخت در محل و… از نظر تعداد هم، از سال ۹۶ به ۹۷، ۷۷ درصد رشد داشتیم و چیزی حدود یک میلیارد و ۱۱۳ هزار تا تراکنش اتفاق افتاده که این عدد امسال طبق گزارشات فصلی بانک مرکزی، بیشتر هم شده.

اینا نشون میده که امروز مردم بیشتر و بیشتر از گذشته به صورت اینترنتی دارن خرید میکنن و خب دور از انتظار هم نبود که پا به پای خریدارا، کلاه‌بردار‌های اینترنتی هم بیشتر بشن. و دقیقاً همین اتفاقم افتاد و شاید براتون جالب باشه بدونید که ما امسال تا الان بیش از ۲۳ هزار پرونده برداشت غیرمجاز از حساب بانکی داشتیم و رشد ۱۰۰ درصدی رو توی جرائم اقتصادی تجربه کردیم. ۶۰ درصد این کلاه‌برداری‌ها از طریق فیشینگ اتفاق افتاده.

حالا فیشینگ چیه؟

فیشینگ

فیشینگ به زبون ساده به سرقت اطلاعات محرمانه آدما از طریق جعل کردن وب‌سایت‌ها و ایمیل‌ها و غیره گفته میشه. یعنی وقتی کسی سعی می‌کنه شما رو فریب بده که اطلاعات شخصی‌تون رو بگیره، فیشینگ اتفاق افتاده. به کسی هم که این کاررو می‌کنه اصطلاحاً می‌گن فیشر. فیشینگ در واقع چیز جدیدی نیست و شروعش حدوداً به دهه هفتاد میلادی برمی‌گرده. فیشر‌ها دنبال انواع و اقسام اطلاعات مثل نام کاربری‌، پسورد و رمزهای عبور و اینا هستن که بتونن به اهدافشون برسن. این اهداف از دسترسی پیدا کردن به ایمیل یا حساب شبکه‌های اجتماعی می‌تونه باشه تا حساب‌های بانکی شما و در حال حاضر یکی از جذاب‌ترین طعمه‌ها برای فیشرا، حساب‌های بانکی مردمه.

فیشینگ خیلی موقع‌ها با مهندسی اجتماعی همراهه. مهندسی اجتماعی یا Social Engineering،  نوعی سوء استفاده از تمایل افراد به اعتماد کردنه. فیشر‌ها سعی می‌کنند به شکل‌های مختلف احساسات شما رو تحریک کنن. مثلا براتون اس‌ام‌اس میاد که همین الان روی این لینک کلیک کنید و یک ماه اینترنت رایگان جایزه بگیرید، یا در فلان قرعه‌کشی برنده شدید، تبلیغ تخفیف‌های عجیب و غریب براتون میفرستن مثلاً محصول ۵۰۰ هزار تومنی به مدت محدود شده ۵۰ هزار تومن و مشابه اینا. بعد از اینکه اعتماد شما رو جلب کردن وارد مرحله بعدی می‌شن و این اون‌جایی هست که اطلاعات شما رو بدست میارن. یکی از تکنیک‌های فیشر‌ها اینه که یه صفحه خیلی خیلی شبیه به صفحه درگاه پرداخت درست می‌کنن و افراد هم به خیال اینکه این صفحه پرداخت اینترنتی واقعیه، به راحتی اطلاعات کارتشون رو وارد می‌کنند و حالا اون فیشر به همه اطلاعات لازم برای خالی کردن حسابتون دسترسی پیدا کرده. تو این مرحله  در واقع اصلاً تراکنشی انجام نمیشه ولی شما بعد از یه مدت کوتاهی میبینید که حسابتون خالی شده.

این البته یکی از راه‌های فیشینگه و فیشرها همیشه سعی می‌کنن تا به روش‌های خلاقانه مختلف واسه مردم دام پهن کنن و حسابشونو خالی کنن. البته بعضی موقع‌ها با یه خورده توجه، میشه فهمید چه درگاه پرداختی، واقعیه و چه درگاهی جعلی ولی با این حال مرکز ماهر یا همون مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با دانشگاه سمنان یه کار باحال پارسال انجام دادن و یه پلاگین یا افزونه درست کردن که با نصبش روی مرورگرتون، می‌تونید متوجه بشید که آیا درگاه پرداختی که واردش شدید اصله یه فیشینگه. این پلاگین روی مرورگرهای گوگل کروم، فایرفاکس و یاندکس قابل نصبه. واسه موبایل هم فک کنم نسخه‌ی مخصوص دارن. پیشنهاد می‌کنم اگه دوست داشتین به سایت cert.ir یه سر بزنید و امتحانش کنین. شاید جالب باشه بدونین از آذر پارسال تا امسال این پلاگین ۱۲۹۵ تا درگاه جعلی رو تشخیص داده.

فیشینگ

ادامه‌ی ماجرا

خلاصه ماجرا به اینجا ختم نشد.

پلیس فتا و دستگاه‌های قضایی وقتی دیدن این کلاه‌برداری‌ها داره هر روز بیشتر میشه، شروع کردن با بانک مرکزی و قانون‌گذارهای بانکداری و پرداخت الکترونیکی صحبت کردن که یه راه چاره‌ای برای کم کردن این مشکلات پیدا کنند. نهایتاً، بعد از کلی اندیشه کردن برای اینکه فیشینگ رو کمتر کنن یا به قول خودشون به صفر برسونن، الزامات رمز پویا رو برای اولین بار بانک مرکزی، در شهریور  ۹۷ یعنی پارسال، به بانک‌ها ابلاغ کرد و قرار شد که همه بانک‌ها این طرح رو پیاده کنند. گذشت و گذشت تا با کلی کش و قوس و حرف و حدیث، اردیبهشت امسال، اعلام شد که از ۱ خرداد دیگه رمز دوم پویا الزامیه و همچنین مسئولیت تأمین امنیت مشتریان بانک‌ها در تراکنش‌های بدون حضور کارت یعنی همون خریدهای اینترنتی و USSD با خود بانک‌هاس. البته برای من هنوز سواله که مگه اصولاً یه سازمان وقتی یه خدمتی میده نباید مسئولیت امنیتشو بپذیره؟ بماند…

خلاصه اینکه قرار شد اگه به دلیل آسیب‌پذیری‌های بانکی خسارتی به مشتری وارد بشه، خود بانک اون خسارت رو جبران کنه. این در حالیه که شما وقتی تو یه بانکی حساب باز می‌کنین، تو یکی از صفحه‌هایی که امضا می‌کنید صراحتاً نوشته شده که اگه مشتری کارتش دزدیده بشه یا گم بشه، مسئولیت خسارت‌ها و ضرر و زیان‌هایی که از زمان دزدیده شدن یا مفقودی کارتتون تا زمانی‌ که موضوع به بانک اعلام بشه با خود مشتریه. همین داستان در مورد سیم‌کارتتون هم صدق می‌کنه. نکته اینه که وقتی فیشینگ اتفاق میوفته، اکثر کلاه‌بردارا نصف شب یا روزای تعطیل شروع می‌کنن به خالی کردن حساب‌ها. و شما وقتی متوجه این موضوع میشی که دیگه خیلی دیر شده واسه اعلام کردن به بانک و این داستانا.

علاوه بر اینا، گفته شد که به خاطر حمایت از کسب و کار‌های نوپا و تسهیل پرداخت‌های غیرحضوری، بانک‌ها می‌تونن با قبول مسئولیت تا سقف ۵۰۰ هزار تومان، به مشتریان اجازه بدن که با رمز دوم ثابتشون خرید کنن.

و اما نکته مهم‌تر اینکه بانک‌ها می‌تونستن به جای رمز دوم پویا، از یه راهکار جایگزین امن و مطمئن دیگه به تأیید بانک مرکزی استفاده کنن.

نهایتاً یکم خرداد شد و به علت عدم آمادگی بانک‌ها هیچ کدوم از این چیزایی که گفتم اجرایی نشد و طرح تا اطلاع ثانوی عقب افتاد. تا اینکه چند وقت پیش (فکر کنم تو آبان بود) مجدداً اعلام شد که از اول دی دیگه رمز دوم پویا کاملاً اجباری میشه. اول دی هم شد، بعد دیدن خب هنوز حدود ۳۰ درصد مردم گوشی هوشمند ندارن که اپلیکیشن رمزساز و اینا نصب کنن و از اون ورم بانک‌ها که قرار بود به یه سامانه‌ی دیگه‌ای به اسم هریم (با ه دو چشم) که مخفف سامانه هدایت رمز یکبار مصرف هست، وصل بشن که بتونن رمز پویا رو به صورت اس‌ام‌اسی به مشتریانشون ارسال کنن. که متأسفانه چون هنوز همه بانک‌ها نتونستن بهش وصل بشن، طرح اجباری شدن رمز دوم پویا مجدداً عقب افتاد و قرار شد که دیگه تا آخر دی انشالله همه بانک‌ها به هریم وصل بشن تا اصطلاحاً ضریب نفوذ طرح حداکثر بشه. خب، حالا که در جریان فراز و نشیب‌های رمز دوم پویا قرار گرفتین، می‌خوام یه کم موضوع رو بازتر کنم و در مورد بعضی از ابعاد پنهانش باهاتون صحبت کنم.

درگاه پرداخت و پرداخت دسته‌ای جیبی‌مو

راهکار ۳۶۰ درجه پرداخت
ویژه کسب‌وکارها

اطلاعات بیشتر

رمز دوم و پویا شدن آن

ما حدوداً‌ بیش از ده ساله که با پدیده‌ی رمز دوم سر و کار داریم. پدیده‌ای که به خودی خود غیر استاندارد بوده. و ما برای کارای مختلفی مثل هر مدل پرداخت اینترنتی، استعلام موجودی کارت و انتقال پول به صورت کارت به کارت، مجبوریم از این رمز دوم استفاده کنیم. وجود پدیده‌ی غیراستاندارد دیگه‌ای به اسم کارت به کارت و نبود زیرساخت و سازوکار کارت‌های اعتباری (credit card) که داخل پرانتز بگم: چون توش انتقال پول به صورت آنی نیست، در برابر تقلب مقاوم‌تره؛ باعث شده که تو این چند سال، فیشرها بیشتر به پیدا کردن اطلاعات کارت مردم علاقه‌مند بشن. متأسفانه چون فرهنگ‌سازی درستی هم انجام نشده، کار فیشرها خیلی خیلی راحت‌تر شده. ما تو تلویزیون و رادیو شاید صد‌ها بار بشنویم که از فلان اپلیکیشن شارژ بخرید، قبض پرداخت کنید، کارت به کارت کنید، و امتیاز بگیرید که تو قرعه‌کشی شانستون بیشتر شه. ولی هیچ کدوم از این شرکتا نیومدن نحوه استفاده درست از همین ابزار رو آموزش بدن به مردم. تو هر مغازه که میریم، به راحتی کارتمون رو میدیم طرف مقابلمون تا برامون کارت بکشه، رمزمونم بلند اعلام می‌کنیم. عکس کارتمون رو میدیم به دیگران که برامون کارت به کارت کنن. اینا نمونه‌های کوچیکی از اشتباهایی که هر روز خیلیامون انجام میدیم.

به هر حال، با توجه به اینکه اصلاح فرهنگ، سخت، زمان‌بر و هزینه‌بر هست واسه سازمان‌ها و ارگان‌ها، اولین چیزی که به ذهن میرسه اینه که خب، رمز دوم به جای اینکه ثابت باشه، متغیر و پویا بشه. که عشق آسان نمود اول، ولی افتاد مشکل‌ها.

به این رمز پویا یا Dynamic Password، رمز یکبار مصرف یا OTP یا One-Time Password هم گفته میشه که به شکل‌های مختلفی می‌تونه تولید بشه. یکی از انواع تولید این رمزها، بر اساس زمان هست. این رمز می‌تونه به صورت‌های مختلف به دست کاربر برسه که هر کدومش مشکلات خاص خودشو می‌تونه داشته باشه: می‌تونه از طریق اپلیکیش‌های موبایل باشه، می‌تونه به صورت اس‌ام‌اسی باشه، می‌تونه از طریق USSD (یا همون کدهای ستاره مربعی) یا می‌تونه به صورت توکن‌های سخت‌افزاری باشه. خوبی این رمز‌ها که از اسمشم مشخصه، اینه که یکبار مصرفن. یعنی به محض اینکه شما از رمز تولید شده یک بار استفاده کردید، دیگه نمی‌تونید اونو برای یه تراکنش دیگه مصرفش کنید. خاصیت دیگه این رمز‌های پویا، مدت زمانی که می‌تونید ازشون استفاده کنید. اصولاً به خاطر افزایش امنیت، زمان مصرف این رمز‌ها بیشتر از یک دقیقه‌ نیست. یعنی بعد از یک دقیقه اون رمز باطل میشه و مجدداً باید از رمز دیگه‌ای استفاده کنید.

خب با این تفاسیر، آیا جلوی فیشینگ گرفته می‌شه و تعداد پرونده‌های فیشینگ به صفر می‌رسه؟ قطعاً خیر. صفر شدن فیشینگ توهمی بیش نیست. چون همچنان اون فیشر حداقل یکبار فرصت خالی کردن حساب رو با اون رمز یکبارمصرف‌تون، داره. تفاوتش اینه که شاید نتونه مثل قبل کل حساب رو تو چند مرحله خالی کنه. چون خیلی موقع‌ها فیشر‌ها اگه ندونن موجودی حسابتون چقدره، مبالغ مختلف رو شروع می‌کنن به تست کردن تا اینکه نهایتاً به پیغام موجودی ناکافی برسن. در واقع هیچ وقت، هیچ سیستمی صد درصد امن نمیشه. هرچه امنیت سیستم‌ها پیشرفته‌تر بشه، کلاه‌بردارا هم از تکنیک‌های جدیدتر و پیشرفته‌تری استفاده می‌کنن و البته کارشون سخت‌تر میشه. خود گوشی‌ها که توش اپلیکیشن‌های رمزساز نصب می‌شه، می‌تونن آسیب‌پذیر باشن، اپلیکیشن‌ها جعلی و بدافزارها می‌تونه ساخته بشه. البته فعلاً امنیت خود اپلیکیشن‌های رمزساز، نیاز به توجه اساسی داره. چند ماه پیش یکی از این اپلیکیشن‌ها رمزساز رو که داشتم تست می‌کردم، متوجه شدم که رمز ورودی که برای اون برنامه تعریف کردم، درست و غلط بودنش اهمیتی نداشت و با هر عدد ۶ رقمی می‌شد وارد اون برنامه رمزساز بشی. البته که توی نسخه جدیدش این مشکل خدا رو شکر بر طرف شد.

اگر رمز هم به صورت اس‌ام‌اس ارسال بشه، باز هم ممکنه تقلب اتفاق بیوفته. مثلاً  بعضی از اپلیکیشن‌ها که دسترسی به خوندن اس‌ام‌اس‌ها رو دارن ممکنه، رمز رو به جای دیگه‌ای ارسال کنند. یا حتی اصن ممکنه بعضی وقتا به هر دلیلی اس‌ام‌اس ارسال نشه یا دیر ارسال بشه که تو این حالت عملیات پرداخت مختل می‌تونه بشه.

ولی، به هر حال، با در نظر گرفتن همه این مسائل و خیلی موردهای دیگه که ممکنه بوجود بیاد، می‌تونیم انتظار داشته باشیم که حداقل تو کوتاه مدت، کلاه‌برداری‌هایی مبتنی بر فیشینگ کمتر بشه.

پس اگه بگیم افزایش نسبی امنیت تراکنش‌های اینترنتی به خاطر رمز دوم پویا، نیمه پر لیوانه، بد نیست به نیمه خالی لیوان هم یه اشاره‌ای بکنم. نحوه اجرای این طرح توسط بعضی از بانک‌ها واقعاً عجیب غریب بوده و رسماً اشک آدم رو در میارن برای فعال‌سازی رمز دوم پویا. اینکه بانک‌های ما هنوز درکی از تجربه‌ی کاربری پیدا نکردن واقعاً مأیوس کنندس. نکته دیگه‌ای که ممکنه مطرح بشه اینه که، به علت سخت شدن فرآیند پرداخت و طولانی‌تر شدن زمانش، احتمالا میزان خرید‌های اینترنتی کاهش پیدا کنه و کسب و کارهای آنلاین دچار زیان بشن. این موضوع قطعاً در کوتاه مدت اتفاق میوفته و کمی زمان می‌بره تا این منحنی یادگیری توسط کاربران و مشتریان طی بشه.

تو این چند وقت به نظر میرسه که مشتریا، چندان تجربه مناسبی از رمز دوم پویا بدست نیاوردن و اغلب بازخورهاشون منفی بوده متأسفانه. چنتا از توییت‌هایی که در این خصوص بوده رو براتون می‌خونم:

  • امید میگه که  فعلاً رمز پویا مارو به فنا داد و تراکنش‌های سایتشون ۷۰ درصد کم شده و در حال ضررن -> البته من نمیدونم واقعاً، چون هنوز رمز‌های دوم ثابت کار می‌کنه، قاعدتاً الان ضرر نباید می‌کردن.
  • امیرحسین: به زودی با موارد این شکلی مواجه میشیم – نه رمز اول کار می‌کنه نه رمز دوم – رمز کارت اشتباه است – کارت شما مسدود شد – کارت شما محدود شد – با وارد کردن بیش از سه بار رمز اشتباه از اول برید بانک – به نزدیک‌ترین شعبه مراجعه کنید و … منتظر باشید. به خاطر نبود زیرساخت درست
  • مهتاب: رمز پویای کارتم رو فعال کردم، ازش رمز هم گرفتم (دو بار) و تراکنش انجام نمیشه و می‌گه اطلاعات کارت صحیح نیست. یعنی الحمدالله از دولت الکترونیک داریم بر می‌گردیم به دولت پارینه‌سنگی. به خدا دیگه کم آوردیم از این همه بی‌عرضگی.
  • مجد ناب: یه دقیقه خیییییلی کمه -> دوستان علاقه‌مند هست وقتش بیشتر بشه
  • محمد: از فردای راه‌اندازی رمزپویا، زورگیران محترم، گوشی و کارت بانکی شهروندا رو با هم میگیرن. به همین راحتی -> البته به همین راحتیا هم نیست، خیلی از کلاه‌بردارای اینترنتی، سن کمی دارن و بیشتر تو کامپیوتر سیر می‌کنن تا تو خیابونا و زورگیری. ریسکش براشون بیشتره این کار.
  • علی آقا: برای گرفتن رمز پویا، ۶ تا اپلیکیشن نصب کردم برای بابام
  • اردوان: این ماجرای رمز دوم پویا باعث شد خیلی‌ها فرق بانک بد و بانک خوب و موسسات در پیتی مالی رو بفهمن. امروز متصدی یه بانک با آرامش داشت روش فعالسازی استفاده رمز پویا رو به یه حاج خانم توضیح میداد. کاش تو کشورداری هم رقابت بود.
  • بوهار خانم: ما تمدید دوس داریم. همینجوری تعیطیلی ها و زمان فعالسازی رمز پویا تمدید کنید …
  • امیر سعید: یکی از خوشحالین رمز پویا، رانندگان اسنپ و تپسی هستند که به خاطر مشکلات پرداخت مشتریان، پول نقد میگیرند.
  • متزو: یه چیزی که در واقع اجباریه، چرا باید دونه دونه بریم بگیم فعال کنین؟ چرا همرو خودشون فعال نمی‌کنن؟
  • مهران: من نمیفهمم این رمز پویا رو چرا انقد بیگ دیلش می‌کنید؟ یه اس‌ام‌اس میاد کپی کن بزن تو اون وبسایت بی صاحاب دیگه
  • سینا: اینا نشستن فکر کردن ببینن دهن مشتری‌ها رو چجوری می‌تونن صاف کنن
  • مهسا: ما دوست داریم هک شیم (حرف‌های ملت وقتی رمز پویا اجباری شده)
  • حمیدرضا:‌کلا داستان رمز پویا یه داستان تکراریه… دولت به مرکزیت خودش اعتقاد داره. جهان‌بینی خودش رو به بخش خصوص تحمیل میکنه. بخش خصوص کوتاه میاد. نهایتا کاربران و مردم معمولی باید هر دفعه میخوان خرید کنن با اپ بانک‌ها کلنجار برن
  • رهام: این ماجرای رمز پویا به من یادآوری کرد که ما ملت، چقدرررر در برابر تغییر/بهبود مقاومت می‌کنیم.

خب این بخشی از نظرات دوستان در توییتر در خصوص رمز دوم پویا بود. که نکته قابل توجهش و تأکید اصلی همه روی سختی این طرح بوده حتی برای کسایی که با کلی دردسر میان توییتر. و خب بعضی‌ها هم به زیرساخت‌های بانکی اعتماد چندانی ندارن و به همین دلیل نگرانن که کارشون مختل بشه. برای اینکه به یه جمع‌بندی هم در خصوص این رمز پویا برسیم، به یه سری از سوالات و ابهاماتی که احتمالاً براتون به وجود اومده می‌خوام پاسخ بدم.

ابهامات و سوالات

۱- اگه تا الان رمز دوم پویاتون رو فعال نکردید، اولین سوالی که براتون پیش میاد اینه که چجوری این رمز دوم پویا رو فعال کنم؟

که در جواب باید بگم، که فرآیند فعال‌سازی هر بانک متفاوته و تا حدی هم یه خورده شاید پیچیده. واسه راحتی‌تون یه لینک در قسمت توضیحات این پادکست قرار دادم که می‌تونید وارد بشید و راهنمای مربوط به بانکتون رو مطالعه کنید.

۲- آیا رمز اول پویا هم داریم؟

بله داریم و بعضی از بانک‌ها هم این قابلیت رو اضافه کردن به اپلیکیشنشون. البته استفاده ازش اجباری نخواهد بود. پس صرفاً اگه دوست داشتید، برای بالا بردن امنیت تراکنش‌های حضوریتون می‌تونید فعالش کنید.

۳- آیا اگر رمز پویا رو فعال کنم، رمز ایستا و ثابت کارتم غیرفعال می‌شه؟

در حال حاضر خیر و فعلاً تا قبل از اعلام بانک مرکزی برای غیرفعال شدن رمزهای دوم ثابت، می‌توان در کنار رمز پویا (یکبار مصرف) از رمز ثابت هم استفاده کرد. یعنی احتمالاً تا آخر دی ماه.

۴- آیا برای فعال‌سازی رمز پویا باید حتماً به بانک رفت؟

در برخی از بانک‌ها امکان فعال‌سازی غیر حضوری (مثلا از طریق اینترنت بانک) وجود داره اما واسه یه سری دیگه از بانک‌ها حتماً یا باید شعبه برید یا به دستگاه خودپرداز متعلق به بانکتون.

۵- حداکثر مدت زمان استفاده از رمز دوم پویا در هر تراکنش چقدره؟

اصولاً یک دقیقه هست ولی باز بسته به بانک متفاوته و ممکنه تا دو دقیقه هم باشه.

۶- تکلیف کسایی که گوشی هوشمند ندارند چی میشه آخر؟

هنوز همه‌ی بانک‌ها به «سامانه هریم» بانک مرکزی متصل نشدن ولی به محض اینکه این اتفاق بیوفته، همه‌ی دارندگان کارت بانکی می‌تونن رمز پویا رو به صورت اس ام اس بگیرن. البته بعضی از بانک‌ها رمز پویا رو روی USSD هم ارائه میدن که میشه از اون راهم استفاده کرد.

۷- آیا رمز یکبار مصرف را با هر شماره موبایلی میشه فعال کرد؟

خیر، فعال‌سازی حتما باید با شماره موبایلی که در شعبه ثبت شده، انجام بشه. حتی اگه شمارتون هم عوض بشه، حتماً حتماً باید حضوری برید بانک و اعلام کنید تا شماره جدیدتون به حساب بانکی‌تون متصل بشه.

۸- آیا برای همه حساب‌هام باید به صورت جداگانه رمز پویا (یکبار مصرف) بگیرم؟

رمز پویا مربوط به کارت است و باید برای هر کارت به صورت جداگانه عملیات فعال‌سازی رمز پویا یا یکبار مصرف را انجام دهید. البته خب بعضیا پیشنهاد میدن که کاش بانک مرکزی یه اپلیکیشن مثل گوگل آتنتیکیتور می‌داد که همه بانک‌ها رو پشتیبانی میکرد.

۹- آیا برای استفاده از اپلیکیشن‌های رمزساز به اینترنت نیازه؟

اپلیکیشن‌های تولید رمز پویا اغلب بدون اینترنت کار می‌کنن ولی برای فعال‌سازی اونا در اولین استفاده به اینترنت نیاز هست.

 ۱۰- آیا فعال‌سازی رمز پویا هزینه داره؟

طبق مصوبه بانک مرکزی فعال‌سازی و استفاده از رمز پویا کاملاً رایگانه و هزینه‌ای از مشتری نباید گرفته بشه. ولی اون دوستانی که گوشی‌های اپل دارن، باید از این استورهای ایرانی مثل سیب‌اپ و سیبچه و اینا استفاده کنن که اونا یه حق اشتراکی می‌گیرن اول ازتون تا بتونید برنامه رو دانلود کنید رو گوشیتون.

آینده امنیت پرداخت

در پایان باید به چند مورد اشاره  کنم، مورد اول اینکه همیشه برای هر تغییری مقاومت وجود داره. دنه‌میلر برای «تغییر» فرمولی را ارائه داده که توی شرایط مختلف خیلی به آن  رجوع می‌شه:

ChangeFormula

یعنی تغییر زمانی اتفاق می‌افته که حاصلضرب نارضایتی از شرایط موجود و چشم‌اندازی که از شرایط داریم و اولین قدم‌های مثبتی که برای آن چشم‌انداز برداشته شده، از میزان مقاومت بیشتر باشه. اگر تغییر از رمز ثابت به رمز پویا را هم در همین فرمول بگذاریم، نتیجه جالبی حاصل می‌شه.

بعضیا میگن آیا واقعاً میزان کلاه‌برداری‌ها انقدر زیاد بوده که این هزینه تحمیل بشه به بانک‌ها؟ میشه اینطور گفت که واقعاً تعداد پرونده‌ها و تعداد مالباخته‌ها فقط، یکی از چند فاکتوری هستش که باید در نظر بگیریم: از سردرگمی این مالباخته‌ها بعد از اینکه حسابشون خالی شده و نمیدونن چی کار باید بکنن، بگیرید، تا مسدود شدن حساب کسب‌وکارهایی که گاهاً اون کلاه‌بردار بخشی از پول مالباخته رو بهش برای ردگم کنی یا حتی خرید محصول، واریز می‌کنه. میدونید یه کسب و کار به صورت ناخواسته چقدر متحمل ضرر و زیان می‌شه وقتی این اتفاق براش میوفته؟ چقدر برای مشتریای اون کسب و کار نارضایتی پیش میاد و ممکنه حتی دیگه ازش خرید هم نکنن. یعنی هرچی هزینه کرده بود برای جذب اون مشتری، یک شبه از بین میره. و خیلی بازیگران دیگه که خواسته یا ناخواسته، مستقیم یا غیرمستقیم درگیر پیامد‌های یه فیشینگ به ظاهر ساده و کم‌اهمیت میشن.

پس میشه گفت که توی این فرمول، قطعاً میزان نارضایتی صفر نبوده و خیلی بیشتر از اون چیزی که فکر می‌کردیم، بوده. در مورد چشم‌انداز، خب قطعاً کسی بدش نمیاد که یک سامانه پرداخت امن و مطمئن توی کشور داشته باشیم که کمترین تقلب توش اتفاق بیوفته. متغیر بعدی، قدم‌های اولیه بوده که بانک مرکزی با الزام کردن این موضوع، همه بانک‌ها رو وادار کرد که بعد از مدت‌ها به فکر بیوفتن و بهبودی توی سطح امنیت خدماتشون بدن. به نظر من، برآیند این متغیر‌ها، انقدری بیشتر از مقاومت موجود در برابر این طرح هست که تا چند وقت دیگه، این تغییر اتفاق بیوفته. شاید اولین تغییر هم این باشه که مردم کمی بیشتر به امنیت خودشون توجه کنن.

مورد دوم در راستای مورد اول هست. فرض بکنید که ویروسی مرگبار تو  جامعه در حال شیوع هست و برای اینکه بیشتر از یه حدی همه رو به خودش مبتلا نکنه، باید واکسیناسیون انجام بشه.  هر واکسنی، ممکنه رو افراد یه سری اثرات جانبی داشته باشه مثل تب و لرز و حالت تهوع و غیره. من رمز دوم پویا رو مثل این واکسن میبینم و سهل‌انگاری بانک‌ها و موسسات ذیربط در خصوص فرهنگ‌سازی و آموزش و ارتقای قابلیت‌های امنیتی رو به اون ویروس تشبیه می‌کنم. که روز به روز در حال زیان رسوندن به افراد بوده.

مورد سوم، قطعاً رمز دوم پویا درمان قطعی برای فیشینگ نخواهد بود و حالا حالاها جا داره که از ایستایی در بیاد و در بهترین حالت مثل مسکن عمل می‌کنه. بانک‌ها باید نهایتاً به سمت بیومتریک‌های رفتاری حرکت کنند. همونطور که در سایر کشورها هم روی این موضوع کار شده و به خوبی داره امتحان خودش رو پس میده.

مورد آخری که می‌خوام بگم بیشتر یه توصیه یا سلیقه شخصی هست. پیشنهاد می‌کنم تا جایی که ممکنه از پدید‌ه‌های غیراستانداردی مثل کارت به کارت دوری کنین و تا جای ممکن دنبال راه‌حل‌های جایگزینش باشین. برای شروع فقط کافیه تو گوگل سرچ کنید جایگزین کارت به کارت و راهکارهای مبتنی بر کیف‌پول. زمانی که شروع کنید به استفاده کردن از این راهکارهای جایگزین، قطعاً تجربه کاربری بهتر رو لمس می‌کنید.

پرداخت امن و آسان با جیبی‌مو

اطلاعات بیشتر

این پایان قسمت اول پادکست مانی‌واره و ممنونم از وقتی که گذاشتید و بهم گوش دادید. امیدوارم لذت برده باشید. در نهایت، خیلی خوشحال می‌شم نظرتون رو در مورد موضوع این قسمت  با ما در میون بگذارید و برامون کامنت بگذارید.

تا قسمت بعدی از مانی‌ وار، رمزهایتان پویا باد.

لینک‌های مفید:

پادکست مانی وار – اپیزود ۲: سفر در زمان (تاریخچه فین‌تک)

پادکست مانی وار – اپیزود ۳: پینوفوبیا

رمز دوم یکبار مصرف برای تراکنش‌ها تا سقف ۱۰۰ هزار تومان روزانه اجباری نیست!

فعال‌سازی رمز پویا پیامکی; دکمه درخواست رمز پویا در درگاه پرداخت

رمز پویا چیست و نحوه گرفتن رمز پویا چگونه است؟ (تمام بانک‌ها)

به جمع 100 هزار کاربر جیبی‌مو بپیوندید.

دیدگاهتان را بنویسید

اشتراک گذاری
Share on twitter
Share on telegram
Share on linkedin
Share on whatsapp

مطالب مرتبط