به گزارش دیوان اقتصاد به نقل از راه پرداخت، مشرق نوشته است:

خطر سرقت اطلاعات؛بی‌توجهی «بام» بانک ملی به هشدار مهم پلیس فتا

نبودن امکان استفاده از کیبورد مجازی در سرویس «بام» بانک ملی، از جمله ابهاماتی است که ضریب امنیت این سامانه در موقع استفاده کاربران عادی را با ابهاماتی مواجه می‌کند.

در این متن آمده است:

با بررسی نحوه فعالیت «بام» این سوال را می‌توان مطرح کرد که با وجود افزایش روزافزون جرایم سایبری و بانکی و نبودن دانش امنیتی کافی بخش عمده‌ای از کاربران ایرانی اینگونه سرویس‌ها و از طرفی وجود ابزارهای گوناگون دسترسی غیرمجاز به اطلاعات دیگران مانند انواع کی‌لاگر‌ها (نرم‌افزار خواندن کیبورد) چگونه این سرویس با امکانات فراوان شامل (انتقال پول، تعیین مبلغ و تاریخ چک، مدیریت مالی شخصی و خلاصه حساب‌ها) فاقد ساز و کارهای امنیتی لازم است؟

پیش از این حمیدرضا مختاریان مدیر پروژه سامانه بانکداری اینترنتی بام گفته بود:

یکی از بزرگ‌ترین مشکلات پیش روی نسخه قبلی اینترنت‌بانک ملی این بود که توکن و فرآیند دریافت خود این سخت‌افزار باعث شده بود بانک ملی گروه بالقوه‌ای از مشتریانش را از دست بدهد. اولین نکته‌ای که وجود دارد این است که در سامانه بانکداری اینترنتی بام دیگر خبری از توکن نیست. چیزی مثل توکن به آن شکل سخت‌افزاری نه‌ تنها ازلحاظ هزینه به‌صرفه نبود بلکه از لحاظ تجربه کاربری هم مدل خوبی نبود و از طرف دیگر محدودیت‌هایی که داشت باعث می‌شد خیلی از مشتریان اصلاً دیگر رغبتی به استفاده از این سرویس نکنند. در کنار همه این‌ها، به دلیل گسترش استفاده مردم از تلفن همراه استفاده از یک سخت‌افزار به غیر از تلفن همراه برای تأیید دوعاملی، به‌نوعی غیرمنطقی است. دنیا به این سمت پیش می‌رود که اگر بخواهد تأیید دوعاملی بگیرد، مرحله دوم از طریق موبایل است چراکه هم شخصی و هم امن است.

به‌دلیل اینکه مراحل امنیتی و کنترل این سامانه از طریق ارسال پیامک به شماره تلفن همراه اعلام شده از سوی مشتری انجام می‌گیرد، لذا معرفی شماره همراه مربوطه به‌صورت کتبی به شعبه از الزامات ثبت‌نام مشتریان است و در عین حال مشتریانی که عضو سامانه‌های پیامکی بانک ملی ایران هستند، بدون نیاز به مراجعه به شعبه می‌توانند عضویت خود را در سامانه ثبت و فعال کنند.

حمیدرضا مختاریان در این زمینه یادداشتی برای راه پرداخت ارسال کرده است که در ادامه مشاهده می‌کنید:

یکی از مهم‌ترین دغدغه‌ها در توسعه سامانه بام موضوع امنیت بوده است. در حال حاضر این سامانه از امنیت کافی برخوردار بوده و نتایج تست‌های امنیتی انجام شده گواه این مدعا است. در خصوص عدم استفاده از صفحه کلید مجازی در این سامانه ذکر این نکته ضروری است که کاربرد اصلی صفحه کلید مجازی جلوگیری از عملکرد نسل قدیمی برنامه‌های KeyLogger است. این نسل بر روی کامپیوترهای میزبان نصب شده و کلیه کلیدهای تایپ شده از سوی کاربر را ذخیره می‌کرد. بر اساس تحقیقات به‌عمل آمده از سوی کار‌شناسان و با مطالعه سیر تحول برنامه‌های KeyLogger، مشخص گردید که KeyLogger‌های پیشرفته و جدید به امکاناتی همچون ضبط و ذخیره کلیدهای تایپ شده، کنترل و نظارت بر ClipBoard، تهیه Screen Snapshot از صفحات و حتی تهیه ویدئو از مانیتور کاربران و ضبط کلیه رخدادهای آن مجهز هستند و لذا نمایش صفحه کلید مجازی تنها حس کاذب امنیت را به کاربران منتقل می‌نماید و در عمل هیچ فایده‌ای جهت مقابله با نسل جدید برنامه‌های KeyLogger ندارد.

برنامه این بانک جهت ایجاد تجربه کاربری بهتر، امنیت بالا‌تر و جلوگیری از القای حس امنیت کاذب به مشتریان گرامی، اطلاع رسانی ادواری و مستمر جهت آگاه نمودن ایشان نسبت به موارد زیر است:

از رایانه و تلفن همراه شخصی جهت ورود به سامانه استفاده گردد.

از آنتی ویروس‌های قوی و با مجوز استفاده شده و بروز رسانی منظم آن‌ها مورد توجه جدی قرار گیرد.

در خصوص عدم افشای کلمه عبور برای دیگران توصیه اکید می‌گردد.

از گزینه خروج بعد از اتمام کار در سامانه استفاده شود.

عدم یادداشت و قرار دادن کلمه عبور در کنار نام کاربری توصیه می‌گردد.

عدم انتخاب نام کاربری و کلمه عبور ساده و عمومی توصیه می‌گردد.

در ضمن بررسی وضعیت ۴ بانک بر‌تر کشور آمریکا در زمینه استفاده از کلید مجازی نشان از این دارد که هیچ یک از این بانک‌ها از صفحه کلید مجازی استفاده نمی‌کنند که تصاویر مربوطه موید این امر است.