در یک سال گذشته به چه دلایلی جرائم بانکداری الکترونیک رشد صددرصدی داشتند؟ / کلاهتان را سفت بچسبید

شاید برایتان جالب باشد بگوییم اینکه از فیشینگ می‌گویند و اینکه آمار آن روزبه‌روز در حال افزایش است به قصوری برمی‌گردد که ناشی از خود کاربر است، فریبی که او می‌خورد باعث شده حدود 23 هزار پرونده برداشت از حساب از آغاز سال 1398 تشکیل شود. نمی‌خواهیم توپ را در زمین کاربر بیندازیم؛ چراکه در این پنل به این نتیجه رسیدیم که هنوز خیلی‌ها وظایف خود را به‌درستی انجام نداده‌اند.

نویسنده: فاطمه قوّتی در تاریخ 26 آذر سال 1398 ساعت 16:53 2

ماهنامه عصر تراکنش 29 / در شبکه‌های اجتماعی‌ ترند می‌شود، کاربران از تجربیات خود می‌گویند، از صف‌های طولانی که دیده‌اند و درباره آنها شنیده‌اند، اما راه به جایی نبرده‌اند. یک روز یک پلیس تذکر می‌دهد، یک روز یک کارشناس. خلاصه همه دست به دست هم داده‌اند تا جلوی آن را بگیرند، اما آنچه آمار و ارقام نشان می‌دهد، ما در این زمینه موفق نبوده‌ایم. قضیه یک مهندسی اجتماعی است که ما نتوانسته‌ایم جلوی آن بایستیم و هر بار به‌نوعی از آن فریب خورده‌ایم. داریم درباره فیشینگ صحبت می‌کنیم؛ مساله‌ای که این روزها ذهن خیلی‌ها را به خود مشغول کرده و راه‌حل‌های متعددی برای آن در نظر گرفته شده است.

جدیدترین راه‌حل هم به اجرای طرح رمز دوم پویا بازمی‌گردد. فارغ از اینکه رمز دوم پویا تا چه حد قرار است مسائل این حوزه را مرتفع کند، تا چه حد می‌تواند جلوی فیشینگ بایستد و تا چه حد برای کسب‌وکارها مساله‌ساز است؛ پنلی را با حضور افرادی برگزار کردیم از هر چهار حوزه‌ای که به‌نوعی با این مساله دست‌وپنجه نرم می‌کنند. سرهنگ داوود معظمی گودرزی، مسئول رده مبارزه با جرائم سایبری پلیس فتای تهران و جانشین پلیس فتای تهران؛ نوشا عطار، رئیس اداره امنیت بانک گردشگری؛ حسن مختاریان، مدیر توسعه محصول ارتباط فردا و علی وحدانی، مدیر ارشد محصول کافه‌بازار (سازنده برنامه بازار) میهمانان پنل ما بودند.

چه کسی فیشینگ را بر سر زبان‌ها انداخت؟
از سال ۲۰۱۴ که اولین بار یک نوجوان آمریکایی در ایالت واشنگتن با طراحی سایت به نام «آمریکا آنلاین» فیشینگ را بر سر زبان‌ها انداخت تا به امروز که مسئله به حدی پیشرفت کرده است که ارگان‌های دولتی مانند بانک مرکزی و پلیس فتا نیز به آن واکنش نشان داده‌اند و از درگاه‌های و اپلیکیشن‌های پرداخت درخواست کرده‌اند که قوانین جدید را جدی‌تر از همیشه رعایت کنند، فیشینگ و دسترسی به اطلاعات شخصی افراد پدیده منفی است که در کمین همه افراد است.

خبرهای متعددی منتشر می‌شود مبنی بر اینکه آمار فیشینگ در کشور افزایش داشته است، اما رقم‌هایی که اعلام می‌شود توسط یک مرجع قانونی و مستند نیست. آیا آمار فیشینگ به حدی رسیده که آن را بحران بنامیم؟

سرهنگ داوود معظمی گودرزی: نخست باید این موضوع را مد نظر قرار دهیم که جامعه آماری که اینجا راجع به آن صحبت می‌کنیم، تهران بزرگ است. بیش از یک‌سوم جرائم سایبری کل کشور هم در تهران بزرگ اتفاق می‌افتد. در حقیقت کلکسیونی از جرائم را در تهران داریم. در حوزه جرائم بانکداری الکترونیک و برداشت از حساب‌ها در یک نگاه، جرائم اقتصادی امسال نسبت به سال گذشته رشد بیش از صد درصد داشته است. در میان غالب جرائم اقتصادی نیز فیشینگ با 60 درصد بیشترین آمار را به خود اختصاص داده و نسبت به سال گذشته تعداد آن بیش از دوبرابر شده است. این روند افزایشی طوری است که مردم، سیستم قضایی و پلیسی روزانه با پرونده‌های متعددی مواجه شده‌اند. پلیس برای پیگیری این جرائم، فعالیت‌های زیادی انجام داده؛ برای مثال همین پیگیری‌هایی که پلیس انجام می‌دهد، اقدامات پیشگیرانه است.

سرهنگ داوود معظمی گودرزی، مسئول رده مبارزه با جرائم سایبری پلیس فتای تهران و جانشین پلیس فتای تهران

حقیقت این است که وقتی متهمی دستگیر می‌شود بخشی از فرایند جرم، عقیم می‌ماند اما به خاطر سهل‌الوصول بودن این جرم، می‌بینیم که تعداد آن خیلی زیاد است. این را هم اضافه کنم که جرائم فیشینگ مختص ایران نیست؛ در دنیا حملات فیشینگ به‌عنوان 10 حمله برتر شناخته شده است. در کشورهای دیگر ممکن است بحث سرقت اکانت‌ها باشد و اطلاعات، اما در ایران در حوزه بانکداری الکترونیک مطرح است که پلیس فتا در حال پیگیری آن است.

آمریکا، بهشت جرائم اینترنتی
گزارشات منتشر شده از بخش جرایم اینترنتی اف‌بی‌آی حاکی از این موضوع است که آمریکا در میان سایر کشورهای جهان بیشترین تعداد قربانیان جرایم اینترنتی را دارد. در این بین ایالت کالیفرنیا که بیشترین جمعیت را در میان دیگر ایالات داشته و ۱۲ درصد از جمعیت کل آمریکا را در خود جای داده است، ۱۵ درصد از سهم کل قربانیان این کشور را شامل می‌شود.

آمار فیشینگ از ابتدای سال 1398 چقدر بوده است؟

سرهنگ گودرزی: در حوزه تهران بزرگ حدود 23 هزار پرونده برداشت از حساب از آغاز سال 1398 تشکیل شده که بیش از 60 درصد شگردها فیشینگ و سایر شگردها نظیر اسکیمر بوده است. این آمار با توجه به پرونده‌هایی است که در دادسرا و پلیس تشکیل شده است. همچنین ممکن است جرمی اتفاق افتاده اما شاکیان آن در مراجع قضایی حضور نیافته‌اند؛ برای مثال رقمی که از آنها سرقت شده کم بوده یا بازه زمانی رسیدگی به شکایت را مقرون‌به‌صرفه نمی‌دانستند.

آیا آماری از پرونده‌هایی که به نتیجه رسیده، دارید؟

سرهنگ گودرزی: ممکن است پرونده‌ای همان روز به نتیجه برسد اما ممکن است پرونده‌ای بعد از چند ماه به نتیجه برسد؛ بنابراین به‌جرات می‌توان گفت 70 درصد از شکات به وجه از دست رفته خود خواهند رسید.

استفاده از BI و سایر فناوری‌ها توسط سیستم بانکی تا حدودی می‌تواند مانع از انجام این تخلفات باشد. در ایران تراکنش‌های مشکوک چطور شناسایی و پیش‌بینی می‌شود؟

نوشا عطار: راهکارهای مقابله با این قضیه در نظر گرفته شده است. تراکنش‌های مشکوک و غیرنرمال توسط نرم‌افزارهای کشف تقلب پایش می‌شوند. این تراکنش‌های مشکوک بر اساس الگوریتم‌هایی که سیاست‌های سازمان‌های بالادستی مانند بانک مرکزی است، استخراج می‌شود، سپس این الگوریتم‌ها در اپلیکیشن پیاده‌سازی شده و تراکنش‌ها بر اساس آنها پایش می‌شوند. علاوه بر سیاست‌گذاری‌های عنوان‌شده، بانک‌ها و نهادهای مالی نیز دارای یکسری سیاست‌های خاص خود هستند. به‌عنوان مثال برخی بانک‌ها سیاست جذب مشتریان با منابع مالی کوچک یا بزرگ را دارند که بر اساس آن می‌توان الگوریتم‌ها و شرایط دیگری را به‌منظور کشف تقلب در آن سیستم در نظر گیرند. کاری که این اپلیکیشن‌های BI در کشف تقلب انجام می‌دهند، این است که داده‌های خام را از سایر نرم‌افزارها دریافت کرده و آنها را با الگوریتم‌های کشف تقلب تعریف‌شده مقایسه، تحلیل و بررسی می‌کنند و در صورت تطابق الگوها آنها را به‌عنوان تراکنش‌های مشکوک یا غیرمجاز شناسایی می‌کنند.

در ایران چنین امکانی داریم؟

عطار: در حال حاضر در کنار سوئیچ‌های بانکی برخی الگوریتم‌های تقلب تعریف و استفاده می‌شود.

با این وجود میزان فیشینگ دوبرابر شده است؟

عطار: فیشینگ شاخه‌های متعددی دارد و به‌طور معمول با سیستم کشف تقلب قابل تشخیص نیست. به‌عنوان مثال من اگر از طریق روش‌های مهندسی اجتماعی اطلاعات حساس شما را به دست آورم، می‌توانم اطلاعات حساب شما را به روشی عادی و بدون تقلب خارج کنم. این مساله باید از جای دیگری حل شود. یک حمله‌کننده واقعی می‌تواند با فریب‌دادن فرد، اطلاعات محرمانه حساب او را به دست آورد و به روشی عادی حساب فرد را خالی کند.

چهار عنوان اتهام دررابطه با فیشینگ
دسترسی غیرمجاز به داده‌های رایانه‌ای، سرقت رایانه‌ای از طریق فیشینگ، کلاهبرداری رایانه‌ای و پولشویی جزو این چهار دسته قرار می‌گیرند. در دسترسی غیرمجاز طبق ماده ۷۲۹ بخش جرائم رایانه‌ای، هرکس به‌طور غیرمجاز به داده‌ها یا سامانه‌های رایانه‌ای یا مخابراتی که به‌وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس و جزای نقدی محکوم می‌شود. در ماده ۷۴۰ این قانون در تعریف سرقت رایانه‌ای از طریق جرم فیشینگ آمده که «هرکس به‌طور غیرمجاز داده‌های متعلق به دیگری را برباید، چنانچه عین داده‌ها در اختیار صاحب آن باشد، به جزای نقدی و حبس محکوم می‌شود.

سرهنگ گودرزی: به اعتقاد من و با توجه به آمار موجود، در بحث BI ابتدایی‌ترین قدم هم برداشته نشده است. ما به‌عنوان پلیس، لابراتوار و خروجی تمام مسائل امنیتی هستیم که شما رعایت می‌کنید، یعنی اگر آسیب‌پذیری داشته باشید، به‌سرعت شکایت آن به سمت ما می‌آید. این BI باید به‌صورت هوشمندانه داده‌ها را تحلیل و به کاربر بانک اخطار دهد، اما در حال حاضر می‌بینیم که این کار را انجام نمی‌دهند و هنوز خیلی از تراکنش‌ها باید با سامانه شاهکار تطابق داده شود، اما این امر صورت نمی‌گیرد.

یعنی بانک‌ها از سرویس شاهکار استفاده نمی‌کنند؟

سرهنگ گودرزی: اصلاً این اتفاق رخ نمی‌دهد. یعنی به‌راحتی تراکنش‌ها انجام و ابتدایی‌ترین کار هم انجام نشده است.

به بانک‌ها در این رابطه گزارش داده‌اید؟

سرهنگ گودرزی: ما مرتباً مواردی را که به‌عنوان آسیب‌پذیری سمت بانک است به بانک مربوطه می‌گوییم. نمی‌توان همه‌چیز را گردن کاربر انداخت. در کل حمله فیشینگ بستگی به کاربر دارد و اشتباه اوست که با مهندسی اجتماعی فریب خورده، اما چند درصد کاربران ما علم کافی را دارند؟ باید از این طرف هم امن‌سازی کرد.

علی وحدانی: امنیت باید همزمان با سهولت تأمین شود و ایجاد تعادل بین این دو بسیار مهم است. گاه راهکارهایی که برای امنیت در نظر گرفته می‌شود با سهولت استفاده از خدمات در تناقض است و این به نفع کاربران و کسب‌وکارها نیست. از طرف دیگر ما زیرساخت‌های لازم برای تأمین امنیت را نداریم و بعد این مسئولیت را به گردن کسب‌وکارها می‌اندازیم، مانند همین سامانه شاهکار. سؤال این است که شاهکار چطور به وجود آمد؟ ما زمانی می‌گفتیم هویت کاربر خریدار برای پیگیری سرقت یا پولشویی احتمالی باید ثبت شود. ابتدا به سراغ IP رفتیم که با وضعیت فعلی اینترنت و گسترش استفاده از VPN عملاً بلااستفاده است. بعد گفتیم که گرفتن شماره موبایل برای انجام خرید الزامی است، در حالی که هویت بسیاری از شماره‌های موبایل هم نامشخص است. از سوی دیگر، به جای اینکه این مشکل توسط اپراتور حل شود به دوش کسب‌وکارها افتاد تا هویت شماره تلفن کاربر را از طریق سامانه شاهکار استعلام کنند اما ما انتظار داریم وقتی با یک شماره موبایل رسمی کشور طرف هستیم اطلاعات هویتی مشخصی برای آن ثبت شده باشد. روش کار سامانه شاهکار به این شکل است که کد ملی و شماره موبایل را با هم تطبیق می‌دهد، در حالی که برای بسیاری از خریدهای خرد کاربر حاضر نخواهد بود کد ملی وارد کند و همین مساله موجب کاهش تراکنش‌های آن کسب‌وکار می‌شود. به اعتقاد من این مسائل به جای اینکه سمت کسب‌وکارها بیاید باید به شکل زیرساختی حل شود.

راه‌حل چیست؟

وحدانی: مساله اصلی سیم‌کارت‌های بی‌هویت هستند. حتی اگر قرار است سامانه شاهکار را پیاده کنیم، مساله بعدی این است که تعداد زیادی از شماره موبایل‌ها با کد ملی‌ها ثبت نشده و افراد برای انجام فعالیت‌های مرتبط به مشکل می‌خورند.

حسن مختاریان: بهترین اتفاق زمانی است که امنیت را کنار سهولت استفاده داشته باشیم. اگر هرکدام از این موارد، بالاوپایین شود فعالیت یک کسب‌وکار و امنیت کاربر به خطر می‌افتد. اینکه جرائم ما افزایش پیدا کرده، قابل قبول است اما باید این سؤال را بپرسیم که ما چقدر در دیجیتال‌شدن رشد کرده‌ایم. با افزایش این موضوع جرائم هم زیاد شده و این عجیب نیست. این‌طور نیست که 10 درصد رشد دیجیتال و 60 درصد رشد جرائم داشته باشیم. در هر صورت باید راهکاری برای این مساله پیدا کنیم. من همیشه دنبال این هستم که ببینم چرا فیشینگ در کشور ما تا این حد زیاد است؟ یکی از این دلایل مساله فرهنگی است. یکی از عوامل مؤثر بحران زیادی است که در کشورمان داریم؛ مثلاً بحران سوخت.

حسن مختاریان، مدیر توسعه محصول ارتباط فردا

فیشینگ‌هایی که اخیراً در سطح کلان اتفاق افتاد، درباره کارت سوخت بود که به کاربران می‌گفتند دو هزار تومان بدهید تا سهمیه سوخت دریافت کنید. طبیعی است که بر اساس تجربه گذشته افراد، آن‌ها برای انجام چنین کاری هجوم ببرند. بنابراین بخشی از این راهکار، فرهنگی است. از سوی دیگر ما چقدر به آدم‌ها آموزش می‌دهیم که برای مقابله با فیشینگ چه کاری انجام دهند و چه کاری انجام ندهند؟ باید دانش افراد را بالا برد، آگاهی‌رسانی به آنها مهم‌ترین نکته است. بیش از 10 سال است رمز دوم در کارت‌ها استفاده می‌شود، اما چقدر آگاهی و آموزش به افراد داده شده است. بیش از 80 درصد فیشینگ در حوزه کارت است؛ چراکه تراکنش جذاب در ایران از طریق کارت و آنلاین است، سریع می‌توان تراکنش زد و رهگیری آن سخت است، بنابراین آموزش در این حوزه باید بیشتر مد نظر قرار گیرد.

رایج‌ترین روش‌های فیشینگ
بنا به اطلاعات مرکز رسیدگی به شکایات جرایم اینترنتی اف‌بی‌آی (که با عنوان IC3 شناخته می‌شود)، یکی از رایج‌ترین روش‌های فیشینگ ارسال ایمیل‌های مرتبط با کسب‌و‌کار است. در این شیوه کلاهبرداران فیشینگ به سراغ کسب‌و‌کارهایی می‌روند که با تامین کنندگان خارجی در ارتباط بوده و یا به صورت مداوم به فعالیت انتقال وجه می‌پردازند.

سرهنگ گودرزی: حتی یک فیشینگ هم به اعتقاد ما زیاد است، نمی‌توان گفت هر چقدر آمار استفاده از بانکداری الکترونیک بیشتر شود، جرائم آن هم بیشتر می‌شود. فرهنگ و سواد هم با توجه به مراجعان و شاکیانی که داریم، آن‌قدر تاثیرگذار نیست. شگردها آن‌قدر متنوع است که نمی‌توان یک نسخه برای آن پیچید. راه‌حل کوچک این است که این موضوع که به‌عنوان یک بحران شناخته می‌شود با رمز یک بار مصرف حل شود؛ البته با این طرح هم امکان به صفر رسیدن این جرم، وجود ندارد و مجرمان هر روز دنبال یک راه جدید هستند تا اطلاعات کاربران را سرقت کنند، اما با راه‌اندازی رمز دوم پویا بخش عمده‌ای از این جرائم کاسته می‌شود.

مختاریان: نکته این است که ما ضعف آگاهی‌رسانی داریم و حتی خیلی از افرادی که باید این مساله را بدانند نسبت به آن آگاه نیستند. بسیاری از افراد فعال در حوزه فناوری اطلاعات در کشورمان نمی‌دانند شماره کارت به‌تنهایی داده حساسی است؛ یعنی در این حد هم ما آموزش نداریم. اگر این آموزش‌ها و فرهنگ‌سازی را انجام دهیم، آن زمان می‌توانیم برای حل این مسائل راهکار ارائه بدهیم. سال گذشته بانک مرکزی پروژه مانا را شروع کرد. طبق این پروژه قرار شد بانک‌ها کارت‌هایی که صادر می‌کنند را در یک جا تجمیع کنند و بانک صادرکننده کارت، شماره ملی و شماره موبایل را بدهد. کاربر موقع تراکنش فقط شماره کارت و شماره موبایل را می‌دهد.

از روی شماره کارت و شماره موبایل، کد ملی را هم استخراج می‌کنند و اگر تأیید شود که برای کاربر است، اجازه انجام تراکنش را می‌دهند. این فرایند جلوی بسیاری از تخلفات را می‌گیرد و آنلاین است. یکی از مشکلات ما در حوزه تراکنش‌های کارتی این است که آنلاین هستند و ما نمی‌توانیم الگوریتم‌ها را روی این تراکنش‌ها انجام دهیم؛ به خاطر همین بسیاری از تراکنش‌ها در دنیا آفلاین انجام می‌شود تا بانک‌ها فرصت داشته باشند الگوریتم‌های پولشویی و فراد را اجرا کنند و بعد تسویه انجام شود. به اعتقاد من سرویس مانا که کامل هم پیاده‌سازی شده، می‌تواند حل‌کننده مساله باشد، اما باید در اختیار سایر کسب‌وکارها و حتی تمام سیستم بانکی هم قرار گیرد. در حقیقت ما با سرویس شاهکار به علاوه مانا می‌توانیم جلوی بسیاری از مسائل را بگیریم.

در همراه‌کارت، مباحث امنیتی را چطور پیگیری می‌کنید؟

مختاریان: در محصولات‌مان استفاده از سرویس شاهکار را شروع کردیم. این طرح در تراکنش‌های آنلاین جواب می‌دهد. ما بحث‌های فراد را با توجه به تراکنش، ارزیابی می‌کنیم و و به امنیت آن نمره بر اساس ریسک تراکنش می‌دهیم. از سوی دیگر، یک تیم دیتا داریم. یکی از کارهایی که انجام می‌دهند همین است و بر اساس دیتای قبلی مشتری، میزان امنیت تراکنش‌های او را رصد می‌کنند. الگوریتم‌های فراد بر اساس تاریخچه فعالیت‌های کاربر کار می‌کنند و اگر نمره‌ای که به تراکنش می‌دهیم ریسک بالایی داشته باشد، آن را رد می‌کنیم.

چه تعداد از این تراکنش‌ها در طول روز شناسایی می‌شود؟

مختاریان: طبق آمار روزانه 0.1 درصد تراکنش‌های فراد از این طریق شناسایی می‌شود. همچنین لیست سیاه و سفید داریم. کارت‌های با تراکنش مشکوک در لیست سیاه و کارت‌هایی که تراکنش بالا دارند، اما مشکوک نیست در لیست سفید قرار می‌گیرند. اما حقیقت این است که مکانیسم‌های فراد هر روز پیچیده‌تر می‌شود و ما تمام هدف‌مان این است کاری کنیم که مشتریان دچار مشکل نشوند.

اپلیکیشن‌ها تا چه حد در افزایش تقلب و افزایش میزان فیشینگ مؤثر هستند؟

وحدانی: من همچنان مساله فیلترینگ را پررنگ می‌بینم. فیلترینگ باعث شده بسیاری از اپ‌ها محدود و از دسترس خارج شوند یا محدودیت‌های مشابه برای استورها موجب شده مسیرهای غیررسمی دریافت اپلیکیشن پررنگ شود. مثلاً کانال‌های تلگرامی که APK در آن منتشر می‌شود. یا اینکه SMS برای فردی ارسال می‌شود که از طریق این لینک، اپلیکیشن را دریافت کن! تفاوت استور با سایر روش‌هایی که گفتم، تضمین امنیت کاربر است. وقتی اپلیکیشنی قرار است در کافه بازار منتشر شود، حتماً هویت توسعه‌دهنده آن را چک می‌کنیم و مثلاً برای انتشار اپ‌های پرداخت یا بانکی در بازار به نامه از PSP یا بانک نیاز است. منبع دریافت اپلیکیشن خیلی مهم است و باید برای آن فرهنگ‌سازی شود. کاربران باید درک کنند حتی اگر می‌خواهند VPN یا سایر برنامه‌هایی را که ما نمی‌توانیم در استورهای ایرانی داشته باشیم، نصب کنند، باید روی منبع دریافت آن حساسیت داشته باشند و به هر منبعی اعتماد نکنند.

سرهنگ گودرزی: موضوعی که به‌عنوان پلیس به بانک‌ها تاکید می‌کنیم این است که یکی از راه‌های امن پرداخت، اپلیکیشن‌هاست؛ به شرط اینکه کاربران، آن را از منابع شناخته‌شده دانلود کنند. کسانی هم که دارند این اپ‌ها را توسعه می‌دهند باید در این زمینه اطلاع‌رسانی کنند.

وحدانی: اپلیکیشن در واقع یک قطعه کد است که شما فقط از آن استفاده می‌کنید، به جزئیات این کد واقف نیستید و نمی‌دانید آیا رفتار درستی دارد یا نه؟ تنها راه این است که به توسعه‌دهنده این کد اعتماد کنید و برای این موضوع باید بتوانید به منبع دریافت اپلیکیشن اعتماد کنید. به همین جهت ما در کافه بازار توسعه‌دهنده و اپلیکیشن را در چند مرحله می‌سنجیم؛ هنگام انتشار، هنگام به‌روزرسانی و به‌صورت دوره‌ای.

عطار: آنچه خیلی اهمیت دارد، امنیت پرداخت از سه جنبه است. نخست امنیت ابزارهای همراه است. امنیت ابزارها یکی از جنبه‌های امنیت است که توسعه‌دهندگان باید نرم‌افزار را به‌صورت امن و طبق استانداردها یا به روش‌های توسعه امن تولید کنند. تأمین امنیت نرم‌افزارهای مذکور به‌تنهایی توسط طراحان و بدون نظارت مبتنی بر استانداردهای امنیت اطلاعات امکان‌پذیر نیست و باید توسط متخصصان کدنویسی امن از منظر امنیتی بازنگری شود. همچنین در پایان چرخه تولید، نرم‌افزار باید طبق استانداردهای ارزیابی امنیتی نرم‌افزار مورد ارزیابی قرار گرفته و به‌منظور بررسی نقاط آسیب‌پذیر در نرم‌افزار باید مورد آزمون‌های نفوذپذیری در این رده قرار گیرد. موضوع دیگر، امنیت ارتباطات است که در امنیت پرداخت حائز اهمیت است. برقراری امنیت در ارتباط، بین ابزار سمت مشتری و نرم‌افزار اصلی سمت سرور است. در پروتکل‌های ارتباطی بین نرم‌افزارهای سمت کاربر نهایی و سرورها به‌طور معمول از ارتباط‌هایی با ارزیابی یکطرفه استفاده می‌شود، یعنی سرور باید احراز هویت را تأیید کند، ولی در سیستم‌هایی که اطلاعات حساس در آنها تبادل می‌شود، علاوه بر احراز هویت مشتری توسط سرور، نرم‌افزارهای سمت مشتری نیز باید از اصالت سرور اطمینان حاصل کند.

نوشا عطار، رئیس اداره امنیت بانک گردشگری

برای این مورد باید از پروتکل‌های امنیتی مانند SSL با گواهی‌نامه‌های معتبر که بستر ارتباطی را رمزگذاری می‌کنند استفاده شود. امنیت سمت مشتری، مورد دیگر است. مشتری آسیب‌پذیرترین حلقه زنجیره امنیت است که باید علاوه بر رعایت نکات امنیتی کاربری، حداقل الزامات امنیتی روی دستگاه خود را رعایت کند و دستگاه را نسبت به ضعف‌های امنیتی مقاوم سازد. به‌عنوان مثال؛ از به‌روز بودن نرم‌افزارها و سیستم‌عامل دستگاه اطمینان حاصل کند. دستگاه نباید در مد Jailbreak برای دستگاه‌های آی‌اواس یا روت‌شده برای دستگاه‌های اندرویدی، قرار داشته باشد. نرم‌افزارها باید از مراجع معتبر تهیه و نصب شوند. از به کار بردن رمزهای عبور قابل حدس خودداری کنند. از به اشتراک گذاشتن مشخصات حساب‌ها و کارت‌ها با سایرین خودداری کنند. از نرم‌افزارهای پرداخت در زمان اتصال به شبکه‌های بی‌سیم نامطمئن یا عمومی استفاده نکنند. به‌منظور بالا بردن امنیت دستگاه آنتی‌ویروس نصب کنند. مساله دیگر چالش‌های موجود در این زمینه است که کمبود نیروهای متخصص امنیت، هزینه‌های بالای تأمین نیروی انسانی متخصص و عدم ماندگاری آنها، هزینه بالا و دشوار تأمین تجهیزات امنیتی به‌دلیل تحریم‌ها، پایین‌بودن سطح آگاهی و دانش مشتریان از حداقل‌های امنیتی، تمرکز روی کارایی و سرعت سامانه‌ها و ابزارها به جای مقوله امنیت، عدم امکان استفاده از ابزارهای پرداخت موبایل در سطح جامعه است که درصدی از مشتریان از تلفن همراه هوشمند استفاده نمی‌کنند و عدم وجود بستر ارتباطی مناسب در سطح کشور نمونه‌هایی از این موارد است.

مختاریان: مارکت‌های ما برای تشخیص اپ‌های درست از نادرست کمی ضعیف هستند. اپل هر ساله تعداد زیادی از اپ‌ها را از استور خود حذف می‌کند و می‌گوید فیک هستند. ما حتماً باید اپلیکیشن را در مارکت معتبر بگذاریم، اما اینکه در کدام مارکت معتبر بگذاریم هم خود یک مساله دیگر است. در ایران تعداد زیادی مارکت داریم اما سؤال این است که ممیزی آنها با کیست؟

وحدانی: این بیشتر بحث هویت‌سنجی توسعه‌دهنده است. ما در کافه‌بازار، سرمایه‌گذاری کلانی در روال بررسی توسعه‌دهنده‌ها و برنامه‌ها می‌کنیم، ولی این بستگی به هر استور دارد که چقدر در بررسی مکانیسم صحت و سنجش خود سرمایه‌گذاری می‌کند. از سوی دیگر به خود توسعه‌دهنده برمی‌گردد که اپلیکیشن خود را در یک استور معتبر که محل رجوع بیشتر کاربران است ثبت کند.

می‌توانیم بگوییم کدام حلقه مهم‌تر است؟

عطار: مشتری آسیب‌پذیرترین حلقه زنجیر امنیت است، بنابراین می‌توانیم بگوییم این حلقه مهم‌تر است. آگاهی‌رسانی سمت مشتری خیلی اهمیت دارد. او باید آگاه باشد حریم خصوصی چیست و چطور باید آن را حفظ کند. یکی از مسائلی که ما داریم این است که کاربر از دانسته‌های خود رمز دوم را انتخاب می‌کند، در حالی که این درست نیست و باید از داشته‌ها مانند رمز یک‌بار مصرف استفاده کند. ضمن اینکه امنیت نرم‌افزار نیز در کنار آن از اهمیت بالایی برخوردار است. متاسفانه اپلیکیشن‌های بسیاری هستند که ساده‌ترین مسائل امنیتی را هم در نظر نگرفته‌اند.

بیشترین سود کلاهبرداران فیشینگ
طبق گزارشات به دست آمده از گروه عملیاتی ضد فیشینگ (APWG) بیش از ۳۸ درصد از حملات فیشینگ که در سه ماهه‌ی سوم سال ۲۰۱۸ رخ داده، به منظور به دست آوردن اطلاعات پرداختی کاربران صورت گرفته است. هرچند که این آمار نسبت به فیشینگ ۴۲ درصدی صنعت پرداخت در سه ماهه‌ سوم سال ۲۰۱۷ اندکی کاهش یافته است، اما همچنان کلاهبرداران بیشترین سود به دست آمده‌ خود را از این طریق تامین می‌کنند.

استفاده از فیلترشکن تا چه حد باعث از بین رفتن امنیت کاربران می‌شود؟

مختاریان: استفاده از فیلترشکن به میزان زیادی در کشورمان متداول شده است. قانونی در بانکداری وجود دارد که می‌گوید کاربران اجازه ندارند خارج از ایران تراکنش بزنند. اما تمام کاربران ما از فیلترشکن استفاده می‌کنند. ما در بازه‌ای این قانون را اجرا کردیم اما تراکنش‌های ما به‌شدت افت کرد و تقریباً همه به مرکز تماس ما زنگ می‌زدند. یک راه این بود که بگوییم نمی‌توانیم کاری کنیم اما کار ما این است که خدمتی ارائه بدهیم و با آن شیوه نمی‌توانستیم کار کنیم. بنابراین راهکاری اتخاذ کردیم؛ اینکه اجازه دهیم تراکنش با فیلترشکن انجام شود اما در خارج از ایران چنین امکانی وجود نداشته باشد. مثلاً ما اجازه نصب اپلیکیشن را خارج از ایران نمی‌دهیم. اگر کاربری در ایران است و می‌خواهد اپلیکیشن ما را نصب کند باید فیلترشکن خود را خاموش کند. اجازه نمی‌دهیم کسی خارج از ایران کارتی را ثبت کند اما اگر مطمئن بودیم که فردی داخل ایران اپلیکیشن را نصب کرده اجازه دادیم بتواند خارج از کشور تراکنش بزند. ما محدودیت‌هایی را گذاشتیم و بررسی کردیم کدام تراکنش ریسک دارد و اگر تراکنشی ریسک داشته باشد جلوی آن را می‌گیریم.

چه تحلیلی در رابطه با پیاده‌سازی رمز دوم پویا دارید؟ آیا این کار پاسخی درست به مساله بوده یا بدعتی روی بدعت‌های گذشته است؟

عطار: اگر بخواهیم به راهکار مقابله با فیشینگ بپردازیم، باید بگوییم بسیاری از مواردی که باعث این مساله می‌شود درگاه‌های پرداخت و خریدهای اینترنتی هستند. رمز دوم مهم‌ترین عاملی است که می‌تواند این موضوع را تحت تأثیر قرار دهد و استفاده از رمز پویا احتمال سوءاستفاده را بسیار کاهش می‌دهد. قرار بود خردادماه این طرح اجرایی شود اما از آنجایی که حدود 30 درصد مردم تلفن همراه هوشمند نداشتند این موضوع با تعویق مواجه شد. در حال حاضر پروژه ارسال رمز پویا از طریق پیامک به موازات در حال انجام است اما هنوز این پروژه به‌صورت کامل عملیاتی نشده است. الزام استفاده از رمز پویا نیز چالش‌هایی دارد؛ به‌عنوان مثال بحث دسترسی به اینترنت که کاربر همیشه این امکان را ندارد یا اینترنت پایدار ندارد که بخواهد از آن استفاده کند.

وحدانی: در مورد موضوع رمز دوم پویا هنوز خیلی اطلاعات نداریم، ما هنوز نمی‌دانیم سقف 500 هزار تومان یا هر مبلغ دیگری لحاظ می‌شود یا نه؟ اگر این سقف لحاظ نشود، طرح رمز دوم پویا، برای پرداخت‌های خرد مشکل‌ساز است، چون کوچک‌ترین دردسری در پرداخت، کاربر را از ادامه کار منصرف می‌کند. این مساله می‌تواند صدمات جدی به کسب‌وکارها بزند و درآمد آنها را با مشکل مواجه می‌کند؛ چراکه سرعت تراکنش را کند می‌کند. فعال‌سازی برخی از این خدمات هم به مراجعه به بانک نیاز دارد و در کوتاه‌مدت ضرر زیادی را به کسب‌وکارها می‌زند. واقعاً جواب این کار از الان مشخص نیست که بگوییم خوب است یا نه، اما آنچه واضح است این است که امنیت در سادگی است؛ نه پیچیدگی. هر چقدر این فرایند پیچیده‌تر شود کار فیشینگ راحت‌تر می‌شود. همان‌طور که می‌بینید همین الان روش‌های کلاهبرداری جدیدی به بهانه فعال‌سازی رمز دوم پویا به وجود آمده است.

مختاریان: رمز پویا معضل جدی بانک‌هاست و فکر می‌کنم اگر درست مدیریت نشود، ایجاد بحران می‌کند. قانون بانک مرکزی می‌گوید افراد برای فعال‌کردن شماره‌ای که رمز دوم پویا باید به آن ارسال شود، حتماً باید احراز هویت فیزیکی شوند. کاربر یا باید به شعبه برود یا پای خودپرداز، این کار را انجام دهد. این یعنی بحران؛ تعداد زیادی از افراد اول دی‌ماه به بانک می‌روند و فردی که کسب‌وکارش به این رمز دوم وابسته است، نمی‌تواند کار کند. از طرف دیگر اطلاع‌رسانی در این زمینه خوب نیست و بسیاری از افراد نمی‌دانند باید چه کار کنند. همچنین بانک‌های ما در بسیاری از شهرها شعبه ندارند و فرد برای گرفتن رمز دوم باید از شهری به شهر دیگر برود. حتی بانک‌های بزرگ ما هم این مساله را دارند. باید این نکته را بدانیم که معضل اصلی ما فیشینگ نیست؛ بلکه اپلیکیشن‌ها و سایت‌های قمار هستند و بسیاری از کسانی که فیشینگ می‌کنند، پول را از حساب مردم برنمی‌دارند؛ بلکه برای چرخاندن پول از کارت‌ها استفاده می‌کنند. رمز پویا به این معضل هم کمک می‌کند. سایت‌های قمار، اپلیکیشن‌هایی دارند که دسترسی خواندن اس‌ام‌اس را دارد و کافی است شماره موبایل کاربر را داشته باشند. در حقیقت بدون اینکه کاربر بداند این اتفاق رخ می‌دهد. ما با استفاده از رمز دوم پویا کار را برای کسانی راحت می‌کنیم که شماره کارت کاربر را دارند. سامانه هریم بانک مرکزی شماره کارت را می‌گیرد و در بانک صادرکننده با توجه به شماره موبایل، رمز پویا را می‌فرستد. مشکل ما با رمز پویا این بحث‌هاست. از سوی دیگر باید این سؤال را بپرسیم که ظرفیت اس‌ام‌اس کشورمان چقدر است؟

تقریباً آخر هر ماه ظرفیت اس‌ام‌اس کشورمان پر می‌شود. خیلی از اس‌ام‌اس‌ها هم دست مشتری نمی‌رسد. حتی شما در اعیاد هم که می‌خواهید اس‌ام‌اس بدهید نمی‌توانید این کار را انجام دهید. همین باعث ایجاد نارضایتی می‌شود و بحران ایجاد می‌کند. وقتی اس‌ام‌اس را در کنار اپلیکیشن‌های رمزساز می‌گذارید، کسی اپلیکیشن را استفاده نمی‌کند، در حالی که روش درست اپ رمزساز است. ما می‌توانیم از رمز ایستا استفاده کنیم، اما باید بگوییم مسئولیت استفاده از آن با مشتری است و رمز دوم را هرکس خواست فعال کند. ما تراکنش‌های خرد داریم و شما برای انجام آن همان اطلاعاتی را وارد می‌کنید که برای سایر تراکنش‌ها می‌زنید؛ در حالی که این دو تراکنش، ریسک یکسان ندارند. راه‌حل این مساله کیف پول است. زیرساخت‌های ما در بعضی شرایط جواب نمی‌دهند.

امنیت بیشتر با HTTPS
کاربران اینترنت به مرور زمان آموخته‌اند که دامنه‌های HTTPS امنیت بیشتری را برای آنها به ارمغان می‌آورند. بنا به گزارشات ارائه شده توسط فیش‌لبز (Phishlabs) در سال ۲۰۱۶ تنها ۳ درصد از سایت‌های فیشینگ توسط پروتکل‌های HTTPS محافظت شدند. این رقم در سال ۲۰۱۷ به ۲۳/۵ درصد افزایش یافت. در سال میلادی اخیر نیز حدود ۴۹/۴ درصد از کلاهبرداری‌های فیشینگ توسط این پروتکل‌ها نافرجام ماندند.

اگر جواب می‌داد شتاب یا بانک مرکزی الگوریتم کشف تقلب را می‌گذاشت، مساله را خیلی زودتر از اینها حل می‌کرد و این وظیفه سمت بانک‌ها نمی‌رفت. ما در ایران تسویه آنی زیاد داریم و این اشتباه است. تراکنش‌های خرد را اگر سمت کیف پول ببریم بخشی از این مسائل حل می‌شود. به اعتقاد من باید کیف پول را گسترش دهیم، تراکنش‌های خرد را برای آن تعریف کنیم و بگوییم برای هزار تومان لازم نیست تمام رمزها و اطلاعات خود را وارد کنید. ما پیش‌بینی این مساله را می‌کردیم و به همین خاطر در نسخه جدید همراه‌کارت کیف پول راه انداختیم و کاربران را راهنمایی کردیم که کیف پول خود را شارژ کنند. کیف پول‌ها سقف دارند و انجام هر تراکنشی با آن امکان‌پذیر نیست. بانک مرکزی در راستای توسعه کیف پول، مجوزی به نام پرداخت‌بان می‌دهد. در حال حاضر که بانک مرکزی رمز پویا را ارائه می‌دهد به این نتیجه رسیده که باید کیف پول را هم سامان‌دهی کند.

وحدانی: استفاده از کیف پول یک راهکار دم دست نیست. تا دی‌ماه فرصت زیادی نداریم و برای این تاریخی که اعلام شده باید پرداخت‌های خرد بازبینی شود؛ چراکه رمز دوم خیلی از کسب‌وکارها را تحت تأثیر قرار می‌دهد و ممکن است اگر برای چند ماه از تراکنش‌های آنها کاسته شود، زمین بخورند.

گودرزی: رمز پویا مربوط به الان یا یک سال اخیر نیست. خیلی زودتر جلساتی با بانک مرکزی داشتیم. با بررسی سناریوها و پرونده‌هایی که به پلیس فتا واصل می‌شود، در ابتدا بانک مرکزی قبول کرد رمز دوم پویا را اجرایی کند، اما این طرح، اجرایی نشد. مجدداً بعد از اینکه مراجعان ما را دیدند و آمار و ارقام را بررسی کردند، به این نتیجه رسیدند که بهترین راه اجرای رمز دوم است. هر روز آمار فیشینگ افزایش پیدا می‌کند و چاره‌ای جز این کار نداریم. ما سعی کرده‌ایم اختلالی در روند کسب‌وکار ایجاد نکنیم، اما امنیت برای ما خیلی مهم است و این خواسته مردم از ماست. در حال حاضر چاره‌ای جز رمز پویا نیست و مجبوریم آن را انجام دهیم. بانک مرکزی هم سناریوها را بررسی کرده است. بهترین راه ما در حال حاضر رمز پویاست تا بتوان جلوی فیشینگ را تا جایی که می‌توان، گرفت.

مختاریان: می‌توان پیشنهاد داد که برای تراکنش‌های بیش از یک مبلغ خاص مثلاً ۲۰۰ هزار تومان فقط از رمز پویا استفاده کرد.

وحدانی: و دقیقاً مساله اصلی همین تراکنش‌های بزرگ است، چون اگر کسی بخواهد با تعداد زیادی تراکنش خرد اقدام به سرقت کند، بسیار راحت‌تر قابل کشف و پیشگیری است.

علی وحدانی، مدیر ارشد محصول کافه‌بازار (سازنده برنامه بازار)

گودرزی: دادستانی ابلاغ کرد که اگر از خردادماه مشتری متضرر شود، بانک باید هزینه خسارت را جبران کند. پس بهتر است بانک‌ها خودشان وارد این حوزه شوند. برای ما هم به‌عنوان پلیس ارزشمند است که بعضی بانک‌ها برای مشتریان خود ارزش بیشتری قائل هستند. در امنیت بانکداری الکترونیک باید این مورد را لحاظ کرد. در بسیاری از بانک‌ها حوزه امنیت و فناوری یکی است که این خود مساله‌ساز است. عده‌ای می‌گویند این ابلاغیه بانک مرکزی است اما این دو باید جدا از هم باشند. حوزه امنیت هم باید به‌طور مستقیم با بالاترین رده بانک کار کند تا تهدیدات را سریع شناسایی و اقدامات پیشگیرانه را انجام دهد. از سوی دیگر، متاسفانه بانک‌ها برخی خدمات امنیتی را به شرکت‌هایی که تأییدیه امنیتی ندارند، برون‌سپاری می‌کنند یا اگر هم دارند از جاهای معتبری نیست. همه آگاه هستیم که بیشترین نگاهی که بانک‌ها دارند ارائه خدمات بهتر به مشتریان است اما لازم است امنیت را هم لحاظ کنند؛ نه اینکه صرفاً به سرعت عمل توجه کنند. از سویی گواهی‌نامه امنیتی را هم بانک‌ها باید دریافت کنند.

مسائل امنیتی، بیشترین فریب
آمار نشان می‌دهد که موضوعاتی که با مسائل ایمنی و امنیتی در ارتباط است، بیشترین تعداد فریب‌خوردگان را شامل می‌شود. شرکت ومبت‌ سیکیوریتی (Wombat Security) مطالعه‌ای را بر روی ۳۰۰۰ نفر در کشورهای سرتاسر دنیا انجام داد. در این مطالعه یک سری ایمیل شبیه‌سازی شده به موارد فیشینگ با موضوع تنظیم مجدد رمز عبور پایگاه داده و تخلیه ساختمان به کاربران ارسال شد. نتایج به دست آمده بسیار حیرت‌انگیز بود؛ چرا که ۱۰۰ درصد از شرکت‌کنندگان با مطالعه‌ عنوان ایمیل جذب آن شده و اقدام به کلیک روی آن کرده‌اند.

عطار: الزامی از سمت بانک مرکزی و افتا به بانک‌ها ابلاغ شده که برای عقد قراردادهای فاوایی باید شرکت‌هایی که گواهی افتا را دارند طرف قرارداد باشند. در خصوص برگزاری ممیزی ISMS این موضوع با سخت‌گیری بسیار از سمت مرکز افتا انجام می‌شود. این گواهی سه‌ساله است و سال‌های بعد به‌صورت مراقبتی مجدد، ممیزی از سمت مرکز افتا انجام می‌گیرد و اگر فرایندها به‌درستی انجام نشود، گواهی‌نامه باطل می‌شود.