راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

آنچه درباره فیشینگ باید بدانیم: تاخت و تاز در دنیای کاربران ناآگاه

امروزه فن‌آوری، انجام امور را تا به حدی تسهیل نموده است که رفته رفته هر فردی با هر سطح آگاهی به برخورداری از این خدمات تمایل نشان می‌دهد و در این بین آنچه این امکانات ارزشمند را به ابزاری پرخطر تبدیل می سازد، بیش از هر چیز عدم اطلاع کاربر نسبت به اصول استفاده مناسب و بهینه از این خدمات و همچنین خطرات احتمالی استفاده ناآگاهانه از آنهاست.

امروزه فن‌آوری، انجام امور را تا به حدی تسهیل نموده است که رفته رفته هر فردی با هر سطح آگاهی به برخورداری از این خدمات تمایل نشان می‌دهد و در این بین آنچه این امکانات ارزشمند را به ابزاری پرخطر تبدیل می سازد، بیش از هر چیز عدم اطلاع کاربر نسبت به اصول استفاده مناسب و بهینه از این خدمات و همچنین خطرات احتمالی استفاده ناآگاهانه از آنهاست.

اگر روزنامه خوان باشید یا عادت داشته باشید هنگام عبور از خیابان نگاهی گذرا به تیتر آن‌ها در کیوسک روزنامه فروشی بیندازید، هر از چند گاهی با اخباری در خصوص هک مواجه می‌شوید و اغلب نیز تنها علتی که در تحلیل دلایل بروز این رخدادها به ذهنتان خطور نمی‌کند این موضوع است که شاید ما نیز به عنوان کاربر نقشی در بروز این گونه رخدادها داشته‌ایم.

فیشینگ (Phishing) یکی از چندین شیوه مرسوم سرقت اطلاعات است که بر اساس سوء استفاده از عدم آگاهی کاربر طراحی شده است.قطعا برخی از ما معنای دقیق آنرا نمی‌دانیم اما کم کم به جهت تکرار آن در روزهای اخیر به واژه ای بدل شده است که گوشمان با آن آشناست. فیشینگ در واقع راهی است که خلافکاران اینترنتی، اطلاعات محرمانه و ارزشمند کاربر را سرقت نموده و در حوزه بانکداری مثلا اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره ۱۶ رقمی کارت، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات همچون شبکه­های اجتماعی، سایت های حراج و درگاه های پرداخت آنلاین و …. به سرقت می برند.

در همین خصوص آقای مهندس علیرضا کیان‌پور، رئیس گروه کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک در تعریف فیشینگ می گوید: فیشینگ را می‌توان در گروه روش‌ها و تکنیک‌های مهندسی اجتماعی برای فریب کاربران اینترنتی دانست که طی آن هکر علاوه بر شناسایی و استفاده از ضعف‌های امنیتی یک وب سایت، با بهره گیری از عدم آگاهی کاربران، عملیات مجرمانه خود را به انجام می رساند. برای اولین بار این قبیل حقه‌ها در سال ۱۹۸۷ مطرح شد و اولین باری که واژه فیشینگ برای نام گذاری این رخداد استفاده گردید، سال ۱۹۹۶ بود. به هر حال قبل از آنکه این نوع حملات تحت نام فیشینگ شناخته شوند هکرها از طریق تلفن و با برخورداری از تکنیک‌های روانشناختانه به جهت فقدان مکانیزم احراز هویت مناسب، مخاطب خود را مجاب به ارائه اطلاعات حساس و محرمانه می‌کردند که غالبا نیز در درون سازمان‌ها این نوع نشت اطلاعات موفقیت‌آمیز بود. واژه فیشینگ را می‌توان نشات گرفته از مفهوم به دام انداختن طعمه از طریق تلفن دانست. بعدها با ایجاد بانکداری اینترنتی هکرها فضای وب را نیز ابزار مناسبی برای این گونه حملات یافتند. این که چرا فیشینگ در زمره مهندسی اجتماعی قرار می‌گیرد از آن جهت است که هکر با بهره گیری از امکانات فنی به گونه ای عمل می‌کند که مخاطب کاملا به صحت عمل او اعتماد می‌نماید و بدون آنکه با ابزار دقیق، هویت پیام دهنده را احراز کند به سادگی به مسیری هدایت می‌شود که هکر برای او طراحی کرده است و در نهایت با در اختیار گذاشتن اطلاعات محرمانه خود، امکان سوء استفاده را فراهم می‌کند.

مهندس کیان‌پور پر رنگ شدن اخبار مربوط به فیشینگ در رسانه‌ها در هفته‌های اخیر را با اخبار مربوط با بدافزار DNS Changer در دنیا و نیز شایعاتی مبنی بر وقوع حمله فیشینگ در درگاه بانکداری اینترنتی برخی از بانک‌ها مرتبط دانست و افزود، فیشینگ از ابتدای راه‌اندازی بانکداری اینترنتی مطرح بوده است و در ایران نیز همگام با رشد استفاده از سامانه‌های بانکداری اینترنتی و استفاده مردم از درگاه‌های پرداخت برای واریز پول به حساب فروشندگان، احتمال حملات فیشینگ افزایش پیدا کرده و از طرفی عدم اطلاع دقیق کاربران عادی با اصول امنیت اطلاعات در فضای مجازی، تهدید ناشی از این نوع حملات را بیش از پیش مطرح نموده است. اما تاکنون گزارشی در مورد موفقیت‌آمیز بودن حمله فیشینگ بر روی سامانه‌های بانکداری اینترنتی و یا درگاه‌های پرداخت بانک‌های تحت پوشش شرکت خدمات انفورماتیک دریافت نکرده‌ایم.

وی در مورد بدافزار DNS Changer گفت: این بدافزار پس از آنکه بر روی PC کاربر منتقل می‌‌شد، با اعمال تغییراتی بر روی آدرس DNS کامپیوتر کاربر، سایت‌های فراخوانی شده توسط Browser را به سمت یک سایت جعلی هدایت می‌کرد و متعاقبا اطلاعات حساب کاربر اعم از شماره کارت، رمز عبور، CVV2 و تاریخ انقضاء را در اختیار می‌گرفت و کاربر در پایان کار تنها یک پیام دریافت می‌نمود که تراکنش انجام نشده است؛ به این ترتیب هکر با اطلاعات لو رفته به سادگی خرید اینترنتی انجام می‌داد. البته در مورد بدافزار DNS Changer، این بد افزار صرفا برای بانکداری اینترنتی به کار نرفته و در انواع کلاهبرداری­های اینترنتی کاربرد داشته است. در حال حاضر عوامل تولید این بدافزار شناسایی شدند و به جهت تاثیری که این بدافزار در تغییر DNS کاربران آلوده در سطح جهان گذاشته بود امکان از دور خارج کردن یکباره آن وجود نداشت. به همین منظور به محض کشف بدافزار، پس از اطلاع رسانی، زمانی برای کاربران آلوده جهت بازگرداندن DNSها به وضعیت قبلی تعیین شد و با پایان یافتن آن در تاریخ ۱۹/۰۴/۱۳۹۱ سرورهای کنترل این بدافزار غیرفعال شدند که البته به دلیل بی­توجهی برخی از کاربران به توصیه­ها، ارتباط برخی کاربران در برخی کشورها با قطعی مواجه شد.

رئیس گروه کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک در زمینه سایر اشکال فیشینگ می‌گوید: اخیرا وب سایت‌هایی برای کاربران ایرانی طراحی شده که کاربر با مراجعه به آن با برنامه‌های کاربردی جذاب همچون شارژ رایگان تلفن همراه، به دست آوردن Password پست الکتروینک یا شبکه‌های اجتماعی دوستان و یا هر چیزی که ممکن است برای مخاطب جذاب باشد مواجه می‌شود و به محض دریافت و نصب هر یک از این برنامه‌های کاربردی، یک بدافزار مانند تروجان بر روی کامپیوتر کاربر عمل کرده و درصورتیکه کاربر آدرس درگاه‌ پرداخت برخی بانک‌ها را فراخوانی می‌نمود، Browser را به سمت سایت‌های جعلی هدایت می‌کرد که دقیقا عملکردی مشابه بدافزار DNSChanger انجام می‌دهد. خوشبختانه این سایت‌ها سریعا توسط پلیس فتا شناسایی و فیلتر شده‌اند و هم‌اکنون تهدیدی مشخص و شناخته شده‌ای در زمینه حملات فیشینگ کاربران بانکی را تهدید نمی‌کند. مهندس کیان پور افزود در مقوله امنیت اطلاعات هیچ‌گونه نمی‌توان به قطعیت سطح تهدید را صفر دانست و با وجود تمهیداتی که از سوی بانک‌ها و شرکت‌ها برای امن نمودن سامانه‌های بانکداری اینترنتی و درگاه‌های پرداخت شده است، باز هم هوشیاری کاربر مهمترین ابراز مقابله با تهدیدات فضای سایبری و از جمله حملات فیشینگ است.

وی افزود، چنین رویدادهایی خاص ایران نبوده و غالبا شبکه‌های بانکی در سراسر دنیا بطور روزانه با حملات مختلف و متعددی دست به گریبانند. به عنوان مثال بزرگترین حمله به سامانه‌های بانکی مربوط به بانک هارتلند امریکا بوده است که طی آن اطلاعات ۱۳۰ میلیون کارت مشتریان لو رفته است.

 

وی در خصوص آنچه کاربران باید رعایت کنند به موارد ذیل اشاره می کند:

۱-ابتدا کاربران دقت داشته باشند که درگاه بانکداری اینترنتی با پروتکلhttps شروع شود. هرچند به این مورد اکتفا نکنند چراکه برخی سایت‌های جعلی نیز در ابتدای آدرس خود واژه https را دارند اما به محض ورود کاربر با این سایت‌ها، پیغامی مبنی بر جعلی بودن گواهینامه (Certificate) سایت نمایش داده می‌شود.

۲- در گوشه سمت راست Toolbar حتما آیکون با تصویر قفل را مشاهده کنند .در این مرحله نیز متوقف نشوند.

۳-با کلیک بر روی قفل باید گزینه ViewCertificates را بررسی کرده که طی آن اصلی بودن گواهینامه سایت و زمان اعتبار آن از سوی شرکت صادر کننده گواهینامه ارایه شده است.

۴- درصورتی که سایت بانک به صفحه کلید مجازی مجهز است، حتما از این صحفه کلید استفاده شود.

۵- پس از پایان عملیات بانکی حتما از سایت خارج شده (SignOut کنند) و تنها به بستن Browser خود اکتفا نکنند.

 

وی در خصوص نوع دیگری از این حملات می گوید: کاربر ایمیلی با این مضمون دریافت می­کند که شما مبلغ زیادی پول برنده شده­اید لطفا اطلاعات شماره حساب خود را اعلام کنید تا بخشی از پول را به حساب شما واریز کنیم. برای این موارد نیز کاربران به خاطر داشته باشند اگر بانکی قرار باشد اطلاعی را به کاربر خود بدهد قطعا بخشی از شماره حساب یا نام دقیق کاربر را درج می‌کند و تنها به واژه “کاربر گرامی” اکتفا نمی‌کند. از طرفی ارسال ایمیل از سمت بانک قطعا با درخواست قبلی کاربر صورت می‌گیرد و اگر فردی درخواست اطلاع‌رسانی از طرق ایمیل را در هنگام افتتاح حساب به بانک نداده باشد و با این حال ایمیلی از بانک خود دریافت کند، احتمالا با فیشینگ مواجه شده است. از طرفی ارسال پیامک نیز صرفا برای فراخوان و اطلاع‌رسانی صورت می‌گیرد و دریافت اطلاعات حساس کاربران به هیچ عنوان توسط پیامک صورت نمی‌گیرد.

وی در مورد وظایف بانک‌ها نسبت به کاهش احتمال وقوع حملات فیشینگ افزود: بانک‌ها موظفند علاوه بر اخذ دامنه‌های .ir برای سامانه‌های بانکداری اینترنتی خود، نسبت به دریافت گواهینامه معتبر برای ارتباطات SSL اقدام نموده و علاوه بر آن نسبت به اطلاع‌رسانی و آموزش به مشتریان از طریق پورتال و یا وب سایت خود اقدام نمایند. از طرفی پیاده­سازی و رعایت استانداردهای امنیتی بانکداری الکترونیک نیز نقش بسیار مهمی در کاهش حملات در این حوزه خواهد داشت.

از منظر مهندس کیان پور شرکت­های ارائه دهنده خدمات بانکداری اینترنتی نیز باید علاوه بر مشاوره فنی به موقع و پیشگیرانه به بانک‌ها، به طور مداوم آزمون تست نفوذ را بر روی سایت‌ها و درگاه‌های پرداخت انجام داده تا هرگونه احتمال نفوذ را شناسایی و به بانک مربوطه اعلام نمایند تا موارد رفع شود. در پایان باز هم متذکر می شویم؛ فراموش نکنیم آنچه باعث می شود چنین حملاتی نتیجه ای در بر نداشته باشد هوشیاری و آگاهی ارائه دهنده خدمت و کاربر است.

منبع: شرکت خدمات انفورماتیک

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.