پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
آنچه درباره فيشينگ بايد بدانيم: تاخت و تاز در دنياي كاربران ناآگاه
امروزه فنآوري، انجام امور را تا به حدي تسهيل نموده است كه رفته رفته هر فردي با هر سطح آگاهي به برخورداري از اين خدمات تمايل نشان ميدهد و در اين بين آنچه اين امكانات ارزشمند را به ابزاري پرخطر تبديل مي سازد، بيش از هر چيز عدم اطلاع كاربر نسبت به اصول استفاده مناسب و بهينه از اين خدمات و همچنين خطرات احتمالي استفاده ناآگاهانه از آنهاست.
امروزه فنآوري، انجام امور را تا به حدي تسهيل نموده است كه رفته رفته هر فردي با هر سطح آگاهي به برخورداري از اين خدمات تمايل نشان ميدهد و در اين بين آنچه اين امكانات ارزشمند را به ابزاري پرخطر تبديل مي سازد، بيش از هر چيز عدم اطلاع كاربر نسبت به اصول استفاده مناسب و بهينه از اين خدمات و همچنين خطرات احتمالي استفاده ناآگاهانه از آنهاست.
اگر روزنامه خوان باشيد يا عادت داشته باشيد هنگام عبور از خيابان نگاهي گذرا به تيتر آنها در كيوسك روزنامه فروشي بيندازيد، هر از چند گاهي با اخباري در خصوص هك مواجه ميشويد و اغلب نيز تنها علتي كه در تحليل دلايل بروز اين رخدادها به ذهنتان خطور نميكند اين موضوع است كه شايد ما نيز به عنوان كاربر نقشي در بروز اين گونه رخدادها داشتهايم.
فيشينگ (Phishing) يكي از چندين شيوه مرسوم سرقت اطلاعات است كه بر اساس سوء استفاده از عدم آگاهي كاربر طراحي شده است.قطعا برخي از ما معناي دقيق آنرا نميدانيم اما كم كم به جهت تكرار آن در روزهاي اخير به واژه اي بدل شده است كه گوشمان با آن آشناست. فيشينگ در واقع راهي است كه خلافكاران اينترنتي، اطلاعات محرمانه و ارزشمند كاربر را سرقت نموده و در حوزه بانكداري مثلا اطلاعاتي نظير كلمه كاربري، رمز عبور، شماره 16 رقمي كارت، رمز دوم و CVV2 را از طريق ابزارهاي الكترونيكي ارتباطات همچون شبكههاي اجتماعي، سايت هاي حراج و درگاه هاي پرداخت آنلاين و …. به سرقت مي برند.
در همين خصوص آقاي مهندس عليرضا كيانپور، رئيس گروه كنترل و ارزيابي امنيت اطلاعات شركت خدمات انفورماتيك در تعريف فيشينگ مي گويد: فيشينگ را ميتوان در گروه روشها و تكنيكهاي مهندسي اجتماعي براي فريب كاربران اينترنتي دانست كه طي آن هكر علاوه بر شناسايي و استفاده از ضعفهاي امنيتي يك وب سايت، با بهره گيري از عدم آگاهي كاربران، عمليات مجرمانه خود را به انجام مي رساند. براي اولين بار اين قبيل حقهها در سال 1987 مطرح شد و اولين باري كه واژه فيشينگ براي نام گذاري اين رخداد استفاده گرديد، سال 1996 بود. به هر حال قبل از آنكه اين نوع حملات تحت نام فيشينگ شناخته شوند هكرها از طريق تلفن و با برخورداري از تكنيكهاي روانشناختانه به جهت فقدان مكانيزم احراز هويت مناسب، مخاطب خود را مجاب به ارائه اطلاعات حساس و محرمانه ميكردند كه غالبا نيز در درون سازمانها اين نوع نشت اطلاعات موفقيتآميز بود. واژه فيشينگ را ميتوان نشات گرفته از مفهوم به دام انداختن طعمه از طريق تلفن دانست. بعدها با ايجاد بانكداري اينترنتي هكرها فضاي وب را نيز ابزار مناسبي براي اين گونه حملات يافتند. اين كه چرا فيشينگ در زمره مهندسي اجتماعي قرار ميگيرد از آن جهت است كه هكر با بهره گيري از امكانات فني به گونه اي عمل ميكند كه مخاطب كاملا به صحت عمل او اعتماد مينمايد و بدون آنكه با ابزار دقيق، هويت پيام دهنده را احراز كند به سادگي به مسيري هدايت ميشود كه هكر براي او طراحي كرده است و در نهايت با در اختيار گذاشتن اطلاعات محرمانه خود، امكان سوء استفاده را فراهم ميكند.
مهندس كيانپور پر رنگ شدن اخبار مربوط به فيشينگ در رسانهها در هفتههاي اخير را با اخبار مربوط با بدافزار DNS Changer در دنيا و نيز شايعاتي مبني بر وقوع حمله فيشينگ در درگاه بانكداري اينترنتي برخي از بانكها مرتبط دانست و افزود، فيشينگ از ابتداي راهاندازي بانكداري اينترنتي مطرح بوده است و در ايران نيز همگام با رشد استفاده از سامانههاي بانكداري اينترنتي و استفاده مردم از درگاههاي پرداخت براي واريز پول به حساب فروشندگان، احتمال حملات فيشينگ افزايش پيدا كرده و از طرفي عدم اطلاع دقيق كاربران عادي با اصول امنيت اطلاعات در فضاي مجازي، تهديد ناشي از اين نوع حملات را بيش از پيش مطرح نموده است. اما تاكنون گزارشي در مورد موفقيتآميز بودن حمله فيشينگ بر روي سامانههاي بانكداري اينترنتي و يا درگاههاي پرداخت بانكهاي تحت پوشش شركت خدمات انفورماتيك دريافت نكردهايم.
وي در مورد بدافزار DNS Changer گفت: اين بدافزار پس از آنكه بر روي PC كاربر منتقل ميشد، با اعمال تغييراتي بر روي آدرس DNS كامپيوتر كاربر، سايتهاي فراخواني شده توسط Browser را به سمت يك سايت جعلي هدايت ميكرد و متعاقبا اطلاعات حساب كاربر اعم از شماره كارت، رمز عبور، CVV2 و تاريخ انقضاء را در اختيار ميگرفت و كاربر در پايان كار تنها يك پيام دريافت مينمود كه تراكنش انجام نشده است؛ به اين ترتيب هكر با اطلاعات لو رفته به سادگي خريد اينترنتي انجام ميداد. البته در مورد بدافزار DNS Changer، اين بد افزار صرفا براي بانكداري اينترنتي به كار نرفته و در انواع كلاهبرداريهاي اينترنتي كاربرد داشته است. در حال حاضر عوامل توليد اين بدافزار شناسايي شدند و به جهت تاثيري كه اين بدافزار در تغيير DNS كاربران آلوده در سطح جهان گذاشته بود امكان از دور خارج كردن يكباره آن وجود نداشت. به همين منظور به محض كشف بدافزار، پس از اطلاع رساني، زماني براي كاربران آلوده جهت بازگرداندن DNSها به وضعيت قبلي تعيين شد و با پايان يافتن آن در تاريخ 19/04/1391 سرورهاي كنترل اين بدافزار غيرفعال شدند كه البته به دليل بيتوجهي برخي از كاربران به توصيهها، ارتباط برخي كاربران در برخي كشورها با قطعي مواجه شد.
رئيس گروه كنترل و ارزيابي امنيت اطلاعات شركت خدمات انفورماتيك در زمينه ساير اشكال فيشينگ ميگويد: اخيرا وب سايتهايي براي كاربران ايراني طراحي شده كه كاربر با مراجعه به آن با برنامههاي كاربردي جذاب همچون شارژ رايگان تلفن همراه، به دست آوردن Password پست الكتروينك يا شبكههاي اجتماعي دوستان و يا هر چيزي كه ممكن است براي مخاطب جذاب باشد مواجه ميشود و به محض دريافت و نصب هر يك از اين برنامههاي كاربردي، يك بدافزار مانند تروجان بر روي كامپيوتر كاربر عمل كرده و درصورتيكه كاربر آدرس درگاه پرداخت برخي بانكها را فراخواني مينمود، Browser را به سمت سايتهاي جعلي هدايت ميكرد كه دقيقا عملكردي مشابه بدافزار DNSChanger انجام ميدهد. خوشبختانه اين سايتها سريعا توسط پليس فتا شناسايي و فيلتر شدهاند و هماكنون تهديدي مشخص و شناخته شدهاي در زمينه حملات فيشينگ كاربران بانكي را تهديد نميكند. مهندس كيان پور افزود در مقوله امنيت اطلاعات هيچگونه نميتوان به قطعيت سطح تهديد را صفر دانست و با وجود تمهيداتي كه از سوي بانكها و شركتها براي امن نمودن سامانههاي بانكداري اينترنتي و درگاههاي پرداخت شده است، باز هم هوشياري كاربر مهمترين ابراز مقابله با تهديدات فضاي سايبري و از جمله حملات فيشينگ است.
وي افزود، چنين رويدادهايي خاص ايران نبوده و غالبا شبكههاي بانكي در سراسر دنيا بطور روزانه با حملات مختلف و متعددي دست به گريبانند. به عنوان مثال بزرگترين حمله به سامانههاي بانكي مربوط به بانك هارتلند امريكا بوده است كه طي آن اطلاعات 130 ميليون كارت مشتريان لو رفته است.
وي در خصوص آنچه كاربران بايد رعايت كنند به موارد ذيل اشاره مي كند:
1-ابتدا كاربران دقت داشته باشند كه درگاه بانكداري اينترنتي با پروتكلhttps شروع شود. هرچند به اين مورد اكتفا نكنند چراكه برخي سايتهاي جعلي نيز در ابتداي آدرس خود واژه https را دارند اما به محض ورود كاربر با اين سايتها، پيغامي مبني بر جعلي بودن گواهينامه (Certificate) سايت نمايش داده ميشود.
2- در گوشه سمت راست Toolbar حتما آيكون با تصوير قفل را مشاهده كنند .در اين مرحله نيز متوقف نشوند.
3-با كليك بر روي قفل بايد گزينه ViewCertificates را بررسي كرده كه طي آن اصلي بودن گواهينامه سايت و زمان اعتبار آن از سوي شركت صادر كننده گواهينامه ارايه شده است.
4- درصورتي كه سايت بانك به صفحه كليد مجازي مجهز است، حتما از اين صحفه كليد استفاده شود.
5- پس از پايان عمليات بانكي حتما از سايت خارج شده (SignOut كنند) و تنها به بستن Browser خود اكتفا نكنند.
وي در خصوص نوع ديگري از اين حملات مي گويد: كاربر ايميلي با اين مضمون دريافت ميكند كه شما مبلغ زيادي پول برنده شدهايد لطفا اطلاعات شماره حساب خود را اعلام كنيد تا بخشي از پول را به حساب شما واريز كنيم. براي اين موارد نيز كاربران به خاطر داشته باشند اگر بانكي قرار باشد اطلاعي را به كاربر خود بدهد قطعا بخشي از شماره حساب يا نام دقيق كاربر را درج ميكند و تنها به واژه “كاربر گرامي” اكتفا نميكند. از طرفي ارسال ايميل از سمت بانك قطعا با درخواست قبلي كاربر صورت ميگيرد و اگر فردي درخواست اطلاعرساني از طرق ايميل را در هنگام افتتاح حساب به بانك نداده باشد و با اين حال ايميلي از بانك خود دريافت كند، احتمالا با فيشينگ مواجه شده است. از طرفي ارسال پيامك نيز صرفا براي فراخوان و اطلاعرساني صورت ميگيرد و دريافت اطلاعات حساس كاربران به هيچ عنوان توسط پيامك صورت نميگيرد.
وي در مورد وظايف بانكها نسبت به كاهش احتمال وقوع حملات فيشينگ افزود: بانكها موظفند علاوه بر اخذ دامنههاي .ir براي سامانههاي بانكداري اينترنتي خود، نسبت به دريافت گواهينامه معتبر براي ارتباطات SSL اقدام نموده و علاوه بر آن نسبت به اطلاعرساني و آموزش به مشتريان از طريق پورتال و يا وب سايت خود اقدام نمايند. از طرفي پيادهسازي و رعايت استانداردهاي امنيتي بانكداري الكترونيك نيز نقش بسيار مهمي در كاهش حملات در اين حوزه خواهد داشت.
از منظر مهندس كيان پور شركتهاي ارائه دهنده خدمات بانكداري اينترنتي نيز بايد علاوه بر مشاوره فني به موقع و پيشگيرانه به بانكها، به طور مداوم آزمون تست نفوذ را بر روي سايتها و درگاههاي پرداخت انجام داده تا هرگونه احتمال نفوذ را شناسايي و به بانك مربوطه اعلام نمايند تا موارد رفع شود. در پايان باز هم متذكر مي شويم؛ فراموش نكنيم آنچه باعث مي شود چنين حملاتي نتيجه اي در بر نداشته باشد هوشياري و آگاهي ارائه دهنده خدمت و كاربر است.
منبع: شرکت خدمات انفورماتیک