بسی دام تنیدند… / نگاهی به روند روبه‌افزایش حملات فیشینگ به حساب‌های بانکی در چند ماه اخیر

در میان مراجعان به دفاتر پلیس فتا می‌توان افرادی را دید که نسبت به راه‌های کلاهبرداری اینترنتی بی‌اطلاع نبودند، اما باز هم در تله ترفندهای مختلف فیشرها افتاده‌اند و نام‌شان در لیست مال‌باختگان ثبت شده است. در موضوع آموزش و افزایش آگاهی کاربران این خدمات باید به این نکته هم توجه شود که فیشرها ترفندهایی به‌روز برای به دام انداختن کاربران به کار می‌برند و در نتیجه آموزش‌ها نیز باید جامع و در عین حال به‌روز باشد

نویسنده: راه پرداخت انتشار: 9 دی سال 1398 ساعت 10:20 به‌روز‌رسانی: 9 دی سال 1398 ساعت 10:20 0

ماهنامه عصر تراکنش شماره 28 / مدتی است آمار مراجعه مردم به مراکز پلیس فتا برای ارائه گزارش کلاهبرداری از حساب‌های بانکی، با افزایش چشم‌گیری مواجه شده است. طبق اعلام رئیس پلیس فتای تهران: «میزان فیشینگ نسبت به مدت مشابه سال گذشته با رشد مواجه بوده و در حال حاضر کلاهبرداری فیشینگ بیش از ۶۰ درصد پرونده‌های پلیس فتا را به خود اختصاص داده است.»

قربانیان این کلاهبرداری‌ها اغلب افرادی هستند که بر اثر یک بی‌احتیاطی اطلاعات حساب بانکی خود را ناخواسته در اختیار فیشرها قرار داده و زمینه را برای سوءاستفاده مهیا کرده‌اند. اما آیا تنها ناآگاهی و بی‌احتیاطی کاربران و مخاطبان خدمات الکترونیک باعث بروز این مشکلات می‌شود یا بستر ارائه خدمات الکترونیک بانکی نقاط ضعفی دارد که فیشرها به‌راحتی می‌توانند به آن نفوذ کنند یا با ساختن سایت‌های جعلی کاربران را به دام بیندازند؟ در این گزارش نگاهی خواهیم داشت به عواملی که باعث افزایش چشم‌گیر حملات فیشینگ در ماه‌های اخیر شده است.

پیرمرد به‌سختی و با قدم‌های آرام وارد اداره مرکزی پلیس فتا می‌شود، پرینت حساب بانکی‌اش را روی پیشخوان باجه می‌گذارد: «حساب بانکیم رو خالی کردن.» مامور باجه راهنمایی‌اش می‌کند تا ابتدا شکایتش را در دادسرا ثبت کند و بعد به پلیس مراجعه کند. زیر لب ماجرا را برای خود مرور می‌کند، انگار: «حقوق بازنشستگیم رو می‌ریزن به این حسابم، 200 هزار تومن تو حساب بود، خالی کردن…»

در طبقه دوم این جمله بارها تکرار می‌شود: «حساب شما رو هم خالی کردن؟» از ابتدای امسال مراجعان پرونده‌های اقتصادی پلیس فتا چندبرابر شده است: «اغلب برای تنظیم شکایت درباره هک‌شدن حساب بانکی مراجعه می‌کنند.» این را سربازی که مراجعان را راهنمایی می‌کند، می‌گوید.

موید حرف‌هایش ازدحام شاکیان پرونده‌به‌دست، در طبقه دوم و مکالماتی است که بین‌شان ردوبدل می‌شود. مال‌باخته‌ها با مرور اتفاق برای یکدیگر انگار می‌خواهند خود را تسکین دهند. از 200 هزار تا سه میلیون تومان میزان مبالغی است که از حساب‌شان برداشت شده است.

بعد از خرید شارژ از یک اپلیکیشن یا پرداخت آنلاین از درگاه بانکی پیامک‌های مکرر این خبر تلخ را به آنها می‌دهد که اطلاعات حساب بانکی‌شان به دست فیشرها افتاده است: «اغلب اوقات نیمه‌شب یا روزهای آخر هفته و قبل از تعطیلات این اتفاق می‌افته، تعطیلی ادارات و بانک‌ها فرصت خوبیه برای خالی‌کردن حساب مردم.»

شکار گذرواژه کاربر
حملات فیشینگ، از اصلی‌ترین تهدیدهای امنیتی برای کاربران اینترنت محسوب می‌شود. هکرها و متقلب‌ها از طریق فیشینگ (Phishing) که مخفف عبارت Password Harvesting Fishing به معنی شکار گذرواژه کاربر است، تلاشی متمرکز برای به‌دست‌آوردن اطلاعات کاربران اینترنت یا هدایت آنها به صفحات‌ جعلی برای ثبت و ارائه اطلاعات بانکی توسط خود فرد دارند. فیشرها در سال‌های اخیر تمرکز ویژه‌ای بر اطلاعات کارت‌های اعتباری و رمز اینترنتی کاربران دارند.

بعضی هم برای دومین‌بار است که طعمه حملات فیشینگ می‌شوند، اما هنوز نمی‌دانند چطور در دام افتاده‌اند: «فکر می‌کردم شوخیه، مبلغ زیادی تو حسابم نبود، خالی شد و من هم پیگیر نشدم، اما این بار یک ساعت بعد از واریز حقوقم پیامک کسر از حساب اومد و سه میلیون یکجا برداشت کردن.»

20 سال حمله فیشینگ

موضوع فیشینگ و کلاهبرداری‌های اینترنتی نه پدیده جدیدی است و نه اتفاقی مختص ایران. اولین حمله فیشینگ حدود 20 سال پیش انجام شد و همچنان این روش یکی از پرطرفدارترین راه‌های کلاهبرداری اینترنتی در دنیاست.

با افزایش میزان استفاده از بستر الکترونیک برای انجام امور بانکی و خریدهای روزانه، آمار کسانی که در طول روز از طریق تلفن همراه خود وارد درگاه‌های بانکی یا سایت‌های پرداخت آنلاین می‌شوند، افزایش پیدا کرده و این فرصت مناسبی در اختیار فیشرها قرار می‌دهد تا قربانیان خود را به دام بیندازند.

بانک‌ها و سایت‌های بزرگ و اپلیکیشن‌ها مسئولیتی در قبال استفاده فیشرها از آدرس آنها برای ساخت سایت‌های جعلی و کلاهبرداری از کاربران ندارند و تنها در صورتی مسائل کاربران از این بانک‌ها قابل پیگیری است که کاربر در سایت اصلی بانک با مشکل مواجه شده باشد.

روزانه صدها پرونده جهت شکایت از این کلاهبرداری‌ها تشکیل می‌شود، اما به گفته رئیس پلیس فتای تهران، هیچ‌یک از بانک‌ها زیر بار پرداخت خسارت به مشتریان‌شان نمی‌روند، همین است که مراجعان به پلیس فتا میان امید و ناامیدی فرم‌های مربوطه را پر می‌کنند و پیگیر پرونده‌هایشان می‌شوند: «سه میلیون از حساب برادرم برداشت کردن، هر چقدر دوندگی کرد به جایی نرسید، منم می‌دونم پول به حسابم برنمی‌گرده، اما بهتر از اینه که هیچ کاری نکنم.»

در دنیا هم در دو سال اخیر آمار حملات فیشینگ افزایش چشم‌گیری داشته، افزایش امنیت درگاه‌های بانکی و سایت‌های معتبر پرداخت، تنها یکی از راه‌های کاهش آمار فیشینگ است؛ چراکه فیشرها بسته به شرایط اجتماعی سناریوهای جدید و تله‌های خلاقانه‌ای برای به دام انداختن کاربران طراحی می‌کنند.

ببینید: رئیس پلیس فتای تهران: میزان فیشینگ نسبت به مدت مشابه سال گذشته با رشد مواجه بوده است / با اجرای رمز دوم‌ یک‌بار مصرف فیشینگ به صفر می‌رسد

بانک‌های بسیاری جهت ایجاد امنیت حساب مخاطبان خدمات‌شان، از رمز یک‌بارمصرف «One Time Password» یا «OTP» برای تراکنش‌های بانکی استفاده می‌کنند. رمز یک‌بارمصرف امکانی است که فرصت استفاده از رمز دوم کاربر را به فیشرها نمی‌دهد. رمز یک‌بارمصرف تنها برای انجام یک تراکنش قابلیت استفاده دارد و این می‌تواند تا حدودی خیال کاربر را از امنیت انجام امور بانکی آسوده کند.

در ایران بر اساس بخشنامه بانک مرکزی تمامی بانک‌ها باید از ابتدای دی‌ماه استفاده از رمز یک‌‌بارمصرف را برای مخاطبان خود اجباری کنند. طبق اعلام رئیس پلیس فتا، بعد از این تاریخ در صورت بروز کلاهبرداری از حساب‌های بانکی، مسئولیت جبران خسارت مالی مردم به عهده بانک و موسسات مالی و اعتباری خواهد بود.

سناریوهای گوناگون فیشینگ
فیشینگ انواع مختلفی دارد و هر نوع از حملات فیشینگ با هدفی خاص انجام می‌شود. همه‌گیرترین و شاید ساده‌ترین نوع آن استفاده از سایت‌های جعلی برای دریافت اطلاعات حساب بانکی افراد است، اما نوع دیگر فیشینگ که در سال‌های اخیر افراد زیادی را فریب داده، تماس‌های تلفنی است که فرد را تا پای دستگاه خودپرداز برده و با سناریویی از پیش تعیین‌شده اطلاعات حساب بانکی فرد را دریافت می‌کنند.

بر اساس پیش‌بینی پلیس فتا استفاده از رمز یک‌بارمصرف میزان جرائم این حوزه را از ۳۵ درصد به ۵ درصد کاهش خواهد داد، اما با وجود تاکیدی که بر امنیت استفاده از رمز یک‌بارمصرف می‌شود، می‌توان گفت حتی رمز یک‌بارمصرف هم در مواردی نمی‌تواند دست فیشرها را از حساب‌های بانکی کوتاه کند؛ چراکه آنها راه‌هایی برای دستیابی به پیامک‌های تلفن همراه نیز دارند.

از سوی دیگر به نظر می‌رسد در اجرای این طرح چندان به زیرساخت‌های موجود و نیازهای کاربران این خدمات توجهی نشده است. بخش عمده‌ای از خدمات بانکی الکترونیکی به سالمندان و افرادی ارائه می‌شود که آشنایی چندانی با سیستم بانک الکترونیکی و زیر و بم اپلیکیشن‌های گوناگون ندارند و استفاده از رمز پویا برای آنها چالشی جدی است. این چالش زمانی جدی‌تر می‌شود که اجرای آزمایشی این طرح نشان می‌دهد، زیرساخت‌های لازم در شبکه بانکی کشور برای اجرای این طرح وجود ندارد.

بانک مرکزی در آماری رسمی که در سال 1397 منتشر کرد، اعلام کرد در کشور حدود 310 میلیون کارت بانکی برای صاحبان حساب‌ها صادر شده است. هرچند این روزها در دنیا خریدهای آنلاین و پرداخت‌های اینترنتی امری رایج است، اما بانک‌ها با روش‌های مختلفی امنیت این پرداخت‌ها را تامین می‌کنند.

بسته‌بودن سیستم بانکی ایران و عدم تعامل با بانک‌های بین‌المللی باعث شده سیستم پرداخت آنلاین در ایران تا حدی منحصربه‌فرد و در عین حال پراشتباه باشد. کاربران کارت‌های بانکی در بسیاری از کشورها چیزی به نام رمز دوم ثابت ندارند و خریدهای آنلاین تنها با ثبت اطلاعات هویتی فرد صاحب کارت امکان‌پذیر است. در ایران اما رمز دوم ثابت یکی از عواملی است که باعث افزایش آمار حملات فیشینگ به حساب‌های بانکی افراد می‌شود.

آموزش یا امنیت؟

بسیاری از کارشناسان توپ را در زمین کاربران می‌اندازند و عدم آگاهی آنها را مهم‌ترین عامل افزایش آمار کلاهبرداری‌ها می‌دانند، اما سوال اینجاست که این آموزش و آگاهی به چه شکل و از چه طریقی باید انجام شود؟ طبق اعلام پلیس فتا در سال 1397، بین 20 تا 25 هزار پرونده فیشینگ ثبت شده که بخش عمده آنها ریشه در ناآگاهی کاربران داشته است.

با توجه به سهولت دسترسی به اینترنت، اغلب مردم بخشی از امور بانکی و خریدهای روزانه خود را به‌صورت آنلاین از طریق سایت‌ها و اپلیکیشن‌های مختلف انجام می‌دهند. آگاهی و دانش کاربران تنها در صورتی می‌تواند راه سوءاستفاده را مسدود کند که زیرساخت‌های مناسب نیز در بستر خدمات بانکی ایجاد شود.

ببینید: فیشینگ را بیشتر بشناسید / فیشرها چگونه توانسته‌اند پول زیادی به جیب بزنند؟

آموزش کاربران و افزایش امنیت در ارائه خدمات بانک‌ها دو امر کاملا وابسته به هم هستند؛ چراکه در میان مراجعان به دفاتر پلیس فتا می‌توان افرادی را دید که نسبت به راه‌های کلاهبرداری اینترنتی بی‌اطلاع نبودند، اما باز هم در تله ترفندهای مختلف فیشرها افتاده‌اند و نام‌شان در لیست مال‌باختگان ثبت شده است.

از طرفی در موضوع آموزش و افزایش آگاهی کاربران این خدمات باید به این نکته هم توجه شود که فیشرها ترفندهایی به‌روز برای به دام انداختن کاربران به کار می‌برند و در نتیجه آموزش‌ها نیز باید جامع و در عین حال به‌روز باشد.

پهن‌کردن دام
فیشرها با ایجاد تغییرات کوچک در آدرس سایت‌ها طعمه‌های خود را به دام می‌اندازند. ورود به سایت‌های جعلی و وارد کردن اطلاعات مربوط به حساب بانکی، به‌راحتی دسترسی فیشرها را به حساب بانکی فرد امکان‌پذیر می‌کند. در صورت کلاهبرداری با استفاده از نام یک سایت معتبر یا درگاه بانکی، بانک مربوطه مسئولیتی در قبال مال‌باختگان ندارد.

فیشرها در فضاهای مختلفی کمین می‌کنند و افراد بی‌آنکه بدانند اطلاعات کاربری و هویتی خود را در اختیار آنها قرار می‌دهند. یکی از مهم‌ترین این کمینگاه‌ها سرورهایی است که در مکان‌های عمومی اینترنت رایگان ارائه می‌کنند. در میان مال‌باختگانی که به پلیس فتا مراجعه کرده‌اند، می‌توان کسانی را دید که تمامی تدابیر را برای حفظ امنیت حساب خود به کار بسته‌اند، اما به‌دلیل استفاده از وای‌فای رایگان یک مکان عمومی برای انجام امور بانکی به دام فیشرها افتاده‌اند.

حجم تبلیغات برای معرفی اپلیکیشن‌های پرداخت در صداوسیما آن‌قدر بالاست که می‌توان گفت این روزها همه کاربران گوشی‌های هوشمند یکی از اپلیکیشن‌های تبلیغاتی که در تلویزیون یا رادیو در مورد آن شنیده‌اند را در گوشی تلفن همراه خود نصب کرده‌اند.

اما در کنار این تبلیغات، هرگز در مورد چگونگی حفظ امنیت تراکنش‌ها به مردم آموزش داده نمی‌شود. مال‌باختگانی هستند که اپلیکیشنی را از یک منبع غیرمعتبر دانلود کرده و به‌راحتی بعد از یک بار استفاده از آن برای انجام امور بانکی، تمامی موجودی حساب خود را به جیب فیشرها ریخته‌اند.

موضوع آموزش و آگاه‌سازی کاربران و مخاطبان خدمات الکترونیکی، امری است که باید از جهات مختلف مورد توجه قرار گیرد. استفاده از رمز یک‌بارمصرف بانکی تنها راه‌حل این مشکل که هر روز افراد بیشتری را درگیر می‌کند، نیست.

نویسنده: فرزانه قبادی