ایرانی: بانکها میتوانند با بهرهگیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخشهایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابلکنترل است؟
آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه میشود از بررسی حملات، ارائه آموزش و پیادهسازی الزامات نظارتی در درگاههای پرداخت متفاوت است. در دنیا برای کنترل این معضل تمرکز به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاهترین زمان ممکن است. گوگل سرویسی با عنوان safe browsing دارد که صفحات جعلی را شناسایی و محدود میکند و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل کاربر به آن هدایت میشود از طریق این سرویس شناسایی و محدود میشود. ازاینرو باید یک نگاه همهجانبه به این موضوع داشت و تنها فعالیتها به آموزش و یا رعایت الزامات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور کار چندانی بر روی شناسایی ایمیلهای جعلی، تجهیز مرورگرها به ابزارهایی برای شناسایی سایت های جعلی، شناسایی اتک ها و همچنین به اشتراک گذاشتن دیتاهای مختص به سایتهای جعلی فعالیت جدی انجامنشده است. اخیراً موردی فیشینگ در اندروید مشاهدهشده که آدرسی که مرورگر به کاربر نشان میداد با آدرس سایتی که کاربر به آن وارد میشد، متفاوت بود. بدین معنا یکصفحهای در وب طراحیشده بود که به کاربر یک لینک دیگر نشان داده میشد؛ درصورتیکه بکگراند آن چیز دیگری بود و موارد اینچنینی با آموزش قابلشناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایتهای جعلی که دامین آنها شباهت زیادی به دامین بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش میتواند این سایتها را شناسایی کند. مجموعهای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. درست است که OTP صورت کامل نمیتواند فیشینگ را کنترل کند؛ اما منجر به کاهش سوءاستفادهها در این بخش به میزان چشمگیری میشود زیرا حملات را به ۶۰ ثانیه و تنها یکبار محدود میکند. بحث ۳D Secure هم در ایران اجرایی شده اما سمت بانک صادرکننده نیست. در حال حاضر ۳۵ بانک و ۱۲ درگاه پرداخت الکترونیکی داریم و ۳D Secure بین دو عامل کاربر، بانک و پذیرنده یک حلقه اتصال ایجاد میکند و در کشور بهجای بانک الآن PSP نشسته است و این بهنوعی پیادهسازی ۳D Secure است.
ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟
پور طاهر: تمام موارد مذکور در کنترل فیشیبنگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجامنشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقهبندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهرهبرداری قرارگرفته است که بعضی از آنها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکتهای PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایتهای جعلی بهراحتی شناسایی میشوند و اگر این کار از سوی بانک مرکزی و شاپرک بهعنوان رگولاتور با پیادهسازی ابزاری برای شناسایی دامین های مشابه بانکها و شرکتهای PSP بهصورت شبانهروزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاعرسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری میشود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکسالعمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتیویروسها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتیویروس برای شخص فراهم کرده این پروسه با امنیت انجام میشود.
یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. چاپ CVV۲ در پشت کارتبانکی یک راهکار ساده در این بخش است. یک مثلث فراد تعریفشده که شامل انگیزه، توجیه و دسترسی میشود که در ایران هر سه عامل بهشدت در ایران بالا است و در صورت دسترسی به اطلاعات کارتبانکی بهطور حتم فراد شکل میگیرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آنها و بدون دسترسی به اطلاعات کارتبانکی انجام میشود و این امر هم یک راهکار ساده بهمنظور کنترل حجم فیشینگ است.
ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام میدهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیشبینینشده است؛ شما بهعنوان صادرکننده کارت فارغ از اینکه شاپرک چنین قابلیتی ندارد آیا امکاناتی ازایندست را در اختیار مشتری قرار دادهاید یا برنامهریزی در این خصوص انجام دادهاید؟
مستأجری: من اعتقاددارم برای کنترل فیشینگ باید پکیج کامل دیده شود؛ زیرا تنها با اقدام تکنیکال، اصلاح فرآیند و آگاهیرسانی به مردم به نتیجه نمیرسیم. باید مجموعههایی از تمام این موارد کنار هم تعریف شود تا فیشینگ در کشور به حداقل برسد. بحثهای مطرح شد از خصوص سامانههای از جنس FRAUD DETECTION و مدل آن صرف تکنیکال نیست و نیازمند اصلاح فرآیندها است که در کشورهای دیگر نیز تجربهشده است. برفرض مثال تراکنشهای با مبالغ بالا تائید نمیشود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین موارد نیازمند یکسری زیرساختهای تجهیز شده در کشور است. بانک صادرکننده کارت است؛ اما فیشینگ در بخش پذیرندگی رخ میدهد و این امر تنها به وی سایت و بروزر محدود نمیشود؛ زیرا الآن بحثهای فین تکها و پرداختهای درون برنامهای مطرح است که در این فضا URL وجود ندارد و بحث وب در آن مطرح نیست و گل و گلدانی را هم نمیشود ردوبدل کرد. ازاینرو همهچیز دست بانک و صادرکننده کارت نیست. به عقیده من در این فرایند بانکها آمادگی این رادارند که زیرساختهای فنی خود را بر اساس مدلی که رگولاتور تنظیم میکند پیادهسازی کنند.
ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟
مستأجری: به اعتقاد من رگولاتور با OTP راهکار خوبی را در حوزه کارت در پیشگرفته است، چون از یک احراز هویت بهعنوان یک عامل دوم استفاده میکند و من معتقدم راهکارهای تک عاملی اجرایی هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث OTP مطرحشده که مشتری را وادار میکند مستقل از درگاه پرداخت از یک کانال دیگر ارتباطی با صادرکننده کارت مرتبط و بانک صادرکننده کارت به یک اطمینان برسد که این فرد میتواند دارنده کارت باشد. همچنین با توجه به اینکه مدت اعتبار رمز دوم پویا تنها ۶۰ ثانیه در نظر گرفتهشده سرعت عمل افرادی که میخواهند از این مسیر فراد انجام دهند باید بسیار زیاد باشد که در عمل امکانپذیر نیست. در نحوه انجام OTP البته با چالشهایی مواجه هستیم زیرا سقف مبلغی برای آن در نظر گرفته نشده است و به نظر من باید در این بخش باید گامبهگام حرکت کرد. یکی از دغدغههای بزرگ توسعهدهندگان نرمافزار و سامانههای بانکی پیامکهای اپراتورها است؛ زیرا حجم آن بالا و تنها در بانک ملت روزانه ۱۵ میلیون تحت عناوین مختلف ارسال میشود. در بحث ۳D SEURE هر بانک با بانک دیگر متفاوت است؛ زیرا در این روند به ازای هر تراکنش یک تراکنش به سمت سرور اضافه میشود و برای احراز هویت افراد باید یک درخواست به سمت سرور فرستاده شود که ترافیک شبکه را بالابرده و ممکن است کل شبکه را مختل کند. به عقیده من باید یک مقداری از فضای امنیتی که جنس آن Server-side است بیرون بیاییم و تمام بار این مسئله را به دوش صادرکننده کارت نیندازیم.
به نظر من در ابلاغیه جدید OTP که از سوی رگولاتوری ابلاغشده نقش خاصی برای پذیرنده و شرکتهای PSP در نظر گرفته نشده است؛ درصورتیکه کارتهای بانکهای صادرکننده در درگاههای پرداخت مختلف پذیرش میشود و هندل کردن فرادها به دلیل اینکه بانک صادرکننده اختیار آن را ندارد امکانپذیر نیست. شرکتهای PSP در این ابلاغیه تغییری درروند کار خود اعمال نکردهاند و تمام بار کار به دوش صادرکننده کارت سپردهشده است که روش مناسبی نیست. من معتقدم راهکارهایی مثل آگاهی دهی و کنترلهای اپلیکیشنی باید سمت پذیرنده کارتهای اتفاق بیفتد؛ چون آنها ذینفع هستند و باید بخشی از امکانات خود را برای آگاهی دهی، ایجاد راهکارهای واحد در خصوص امن سازی برای جلوگیری از فیشینگ صرف کنند. البته شرکتهای PSP نیز به دلیل اینکه ساب دامینی از شاپرک هستند و این نهاد رگولاتور بخش پرداخت است تنها برای آگاهی دهی در خصوص یک URL نیز اختیار ندارند و چنین فعالیتهای باید از سوی شاپرک انجام شود و سمت دارنده کارت هم باید به سراغ راهکارهای دیگری مثل روشهای ابزار هویت غیر کانال اصلی که یکی از آنها OTP است برود اما اجرای آن را گامبهگام عملیاتی کند. بر اساس ابلاغیه رگولاتوری در خصوص OTP بانکها از خردادماه امسال در صورت بروز هر اتفاقی که به دلیل فراهم نبودن زیرساخت OTP رخ دهد، بانک صادرکننده کارت مسئول جبران این خسارت است. این امر بانکها در موارد متعدد درگیر پروندههایی از جنس تبانی کرده و در آینده نیز خواهد کرد؛ با توجه به الزام بانک مرکزی هنوز هم هیچ بانکی نتوانسته OTP را بهصورت کامل اجرایی کند و هر بانکی برای مشتریان دامنه اختیاری گذاشته است که این امر بیانگر این است که باید حرکتها در این مسیر گامبهگام برداشته شود.
ایرانی: یک مثلث در خصوص فراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام میدهند چگونه این مبالغ را نقد میکنند و همچنین با توجه به اینکه گفته میشود؛ شرکتهای PSP در این روند خیلی درگیر نشده چهکاری میتواند در این بخش انجام شو؟
سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پولشویی در حال حاضر اجرایی میشود و نیاز هم به تخصصهای ویژه ندارد زیرا بسیاری از مجرمهای ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیمکارتهای اعتبار و کارت به کارتهای متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابلپیگیری است اما کار با این ترفندها خیلی پیچیده میشود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابلردیابی نیست.
ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص رمزها ارزها نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.
سرلک: در این روند ما بهنقد کش هم رسیدهایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و بهوسیله این کارت کالاهای مثل طلا خریداریشده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کردهاند و باکارت جعلی خرید انجام دادهاند.
ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت میرود را میتوان با تسویه ۴۸ ساعته پرداختهای غیرحضوری کنترل کرد .
مستأجری: نقد شوندگی وجوه فیشینگ به دلیل که ایران به سیستمهای پرداخت بینالمللی وصل نیست کمی سخت است. البته یک موردی که در پروندهها با آن مواجه شدهایم؛ این بود که دارنده سایت قمار خود فیشینگ میکرد و حسابهای کاربران سایت را در اختیار خود میگرفت و از حسابهای کاربران سایت خرج آنها میداد؛ بدین معنا که فردی در یک فرآیندی در سایت قمار برنده میشد مبلغ وجوه برده شده از حساب یک فرد قمارِ کننده دیگر در آن سایت بهحساب فرد برنده منتقل میشد. مردم زمانی که اطلاعات کارت خود را در فضاهایی وارد میکنند که بر اساس قانون کشور جرم است؛ اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن میروند. این نمونه از مواردی است که اینقدر عرصه تنگشده که مارکت های جدیدی در این مقوله به وجود آمده است و من معتقد هستم این موضوع ته ندارد.
ایرانی: بین صادرکننده کارت، رگولاتور و شرکتهای پرداخت در بحث فیشینگ کدامیک بیشتری کمکاری کردهاند؟
سرلک: به عقیده من شرکتهای پرداخت چون هیچوقت این موضوع برای آنها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمیکنند و به همین دلیل مشخص شرکتهای PSP در این موضوع خود را کمتر درگیر کردهاند؛ زیرا پیش هیچ نهادی پاسخگو نبوده است.
مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری میتواند بکند
ایرانی: آیا شاپرک و شرکتهای PSP مسئول بودهاند و در این حوزه کاری نکردهاند؟
سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام دادهاند؛ اما شرکتهای PSP به دلیل اینکه این موضوع دغدغه آنها نبوده است کمترین کار را در این بخش انجام دادهاند.
ایرانی: در خارج از کشور افراد بدون دغدغههای امنیتی پرداختهای غیرحضوری خود را انجام میدهند حال سؤال این است که در این کشورها چهکارهایی از سوی بازیگران انجامشده که این اطمینان حاصلشده است؟
آیت: عکس گلدان شما همان کلید رمزنگاریشده در OTP است که بانک مرکزی و رگولاتور به این سمت حرکت کردهاند که بحث ۳D SECURE را پیادهسازی کنند. دوستان اتفاقنظر دارند تمام مشکلات سمت قانونگذار است؛ اما در این بخش باید قانونگذار را درک کرد؛ زیرا الزامات رمزهای پویا باآنکه مفصل هم نبود ولی هیچ بانکی نتوانست آن را بهصورت کامل پیادهسازی کند. یکسری از بانکهای گفتند secure element سمت موبایل نداریم و یکسری رفتن سراغ راهکار پیامک به دلیل اینکه خیلی از مردم از گوشهای هوشمند برخوردار نیستند؛ اما به دلیل هزینه بالای آن و همچنین تفاوت SLA بانکی و با اپراتور با توجه به تلاش رگولاتور به حذف کدهای دستوری باز الآن سرویس OTP قرار است به بستر کدهای دستوری بازگردد. این امر بیانگر این است که قانونگذار خیلی راحت نمیتواند به بانکها ابلاغ کند، فراد را پیادهسازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت است و نهاد ناظر در این بخش بیشتر در حال درک بانکها و PSP ها است.
ایرانی: بانکها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کردهاند؟
آیت: من نماینده شرکت خدمات هستم و بیشتر از دیدگاه بانک مرکزی صحبت کردم و نمیشود جواب مشخصی به این سؤال داد؛ زیرا در حال حاضر در کشور زیرساختی که بتوان یک سرویس را بهصورت کاملاً امن بر روی آن پیادهسازی کرد و در اختیار تمام کاربران قرار داد، وجود ندارد. بسیاری از کاربران با OTP آشنا نیستند و ممکن است دراینبین دچار مشکل شوند و یک trade off بین چندین موضوع در این حوزه وجود دارد که نمیشود بهراحتی انتخاب کرد و یکسری الزامات سفتوسخت را ابلاغ و با قانونگذاری این مشکل را حل کرد.
مستأجری: وقتی پای اپراتور در مارکت و چرخه پرداخت وسط کشیده میشود، منجر به ایجاد یکسری از مشکلات متعدد میشود. البته باید شرایط کشور را نیز درک کرد. بانک ملی اپلیکیشن شصت و بانک ملت نیز اپلیکیشن رمزنگار را دارد درصورتیکه به دلیل تحریمها افرادی که از گوشیهای آیفون استفاده میکنند، قادر به نصب این اپ ها نیستند. در حال حاضر در دنیا از المانهای امنیتی گوشی استفاده میشود؛ در صورتی کهِ در ایران از آن محروم هستیم. همچنین در بخش OTP در کشورهای دیگر روشهای احراز هویت متمرکزی وجود دارد که در ایران وجود ندارد.
آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PS۲ الزام شده که احراز هویت سمت صادرکننده کارت باشد.
ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.
آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغههای امنیتی در سایتهای مختلف اطلاعات کارتبانکی خود را وارد میکنند؛ باید بگویم در آن کشورها الزامات بسیاری در حوزه PCI وجود دارد و PCI الزام میکند اگر اطلاعات کارت از مسیری عبور کرد باید تمامی الزامات در آن مسیر پیادهسازی شده باشد و یا نه به سراغ ۳D SEURE برویم در این صورت لازم نیست تمامی الزامات پیادهسازی شود. در ایران در بحثهای PCI و نظارتهای که شاپرک انجام میدهد کمکاری اتفاق افتاده است. برفرض مثال من هنگامیکه سراغ یکی از اپلیکیشن های حوزه پرداخت میروم مشاهده میکنم experience date من را درگذشته ذخیره کرده و تمام کارتهای که در این اپ ها درگذشته استفاده کردهام در هر پرداخت نشان داده میشود و باید دید با چه مجوزی اطلاعات کارتهای کاربران از طریق برخی اپلیکیشن های پرداخت سیو میشود.
ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشن های پرداخت نمایش داده میشود.
آیت: این بیانگر این نکته است که ممیزیها در ایران جدی گرفته نمیشود؛ زیرا از اولین الزامات PCI است که ذخیرهسازی اطلاعات کارت بهصورت خاص نباید صورت بگیرد و یا باید سرویس توکنایزشن راهاندازی شود. بحث بعدی این است که در کشور FRAUD DETECTION نداریم و اما زمانی که در بسیاری از سایتها وارد میشویم رفتار افراد track میشود و بر اساس script و کوکیهای که در آن سایت وجود دارد به کاربران پیشنهادهایی ارائه میشود و یک بازار میلیارد دلاری هم بر این اساس شکلگرفته است. درصورتیکه از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمیشود و این مهم به زیرساخت پیچیدهای هم نیاز ندارد. میتوان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بودهایم ازاینرو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکردهایم.
ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟
پور طاهر: اگر من صحبت خود را با OTP آغاز کنم بههرحال این راهکار یک مرحله شرایط را بهتر میکند؛ البته معایبی هم دارد که یکی از مهمترین آنها بحث سخت کردن کار است. اپلیکیشن شصت کاملترین نوع اپلیکیشن در حوزه تولید رمز پویا است زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد اینچنینی در کشور ترند میشود و وقتی OTP اجرایی بشود یکدفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاهمدت هستند. بحث بعدی اینکه نظام بانکی و پرداخت کشور به دلیل اینکه در شرایط تحریم قرار دارد به شبکه بینالمللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار سادهای که رگولاتور برای کاهش فیشینگ میتواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم بهصورت قانون مصوب شود.
ایرانی: میتوان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاههای پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.
پور طاهر: این موارد کارهای سادهای است که بزرگترین کمکاری که از سمت رگولاتور در این بخش صورت گرفته است. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود منجر به کاهش فیشینگ در کشور میشود.
ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا میکند برای مبالغ زیر ۵ هزار تومان سیمکارت وی بهصورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز میخواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سالها از این مسیر رخداده از بین میرود.
مستأجری: من هنوز معتقد به بهرهگیری از راهکارهای متمرکز و یکپارچه هستم. مثالهای که در این جلسه زده شد همه از مواردی است که رگولاتور در آن باید وارد عمل شود. مواردی مثل direct debit (برداشتهای خودکار) به دلیل این برای انجام آن، بانکها باید به سازمانهای دیگر API ارائه دهند و در این خصوص رگولاتور هنوز وارد نشده و در قبال آن سکوت اختیار کرده است و این موضوع خود میتواند در آینده یکسری نگرانیهای امنیتی دیگر به وجود آورد. ممکن است OTP دلچسب و یا کامل نباشد؛ اما در حال حاضر فیشینگ در کشور با این راهکار به میزان قابلتوجهی کاهش مییابد.
سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش مییابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتیکه بحث بهرهگیری از OTP در صنعت بانکی و پرداخت شروعشده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل اینکه دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهرهگیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاینرو زودتر باید این موضوع بهصورت کامل اجرایی شود.
مستأجری: زیرساخت بانکها در حال حاضر در حداکثر توان عملیاتی آنها است که حتی اگر ۵ درصد به بار این ترافیک افزوده شود دچار اختلال میشود و بهرهگیری از OTP بهطور حتم بار این ترافیک را افزایش میدهد به همین دلیل بانکها نمیتوانند بهراحتی به این سمت حرکت کنند و باید این روند به صورت گام به گام اجرایی شود.
آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاینرو ابعاد این قضیه باید بررسی شود و بر اساس آن گامها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص حملهکنندگان باشد یا موارد دیگر. بازهم تأکید میکنم قانونگذار در خصوص این موارد راحت است اما اجرای آن است که کار را سخت میکند.
