راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

تاکتیک‌های دفاعی موثر برای مقابله با کلاهبرداری‌های اینترنتی

در همه جوامع فارغ از واقعی یا مجازی نخستین گام برای توسعه، ایجاد امنیت و اعتماد برای هرگونه فعالیت است. در سال‏‌های گذشته توسعه بسترهای مجازی در جامعه ایرانی نیز روند رو به رشدی داشته و بخش بزرگی از آن مرهون امنیتی است که در دنیای مجازی شکل گرفته است.

بانکداری اینترنتی نیز یکی از بخش‏‌هایی است که با توجه به رشد جهشی از سوی متولیان، هنوز مشتریان را با اصول اولیه خود بیگانه می‌‏داند. توسعه بر بستر اینترنتی گزینه ناگزیری است که در صورت بی‌توجهی در آینده‌‏ای نزدیک جامعه را با مشکلاتی از جمله ناتوانی کاربران در جایگاه‏‌های خود مواجه خواهد کرد؛ موضوعی که در دنیای امروز، مهم‏ترین وظیفه مدیران ارشـد است. افزایش ضریب نفوذ فناوری در حوزه بانکداری اینترنتی و نقش موثر آن در سودآوری و رونق کسب‌وکار بانکی، نیازمند تبدیل شدن مشتریان رضایت‌مند بانک به مشتریان وفادار و در نهایت به مشتریان هوادار بانکی است، لکن موانعی در این حوزه موجود است از قبیل «درک و شناخت مشتریان از اینترنت و سرویس‌‏های مرتبط با بانکداری، مسائل خصوصی‌سازی اطلاعات مشتری، آگاهی اجتماعی از میزان ریسک در استفاده از خدمات بانکداری اینترنتی و تجربه استفاده از اینترنت».

یافته‌‏های پژوهشگران و محققان نشانگر این است که با اعتمادسازی و حفظ حریم خصوصی می‌‏توان بر موانع موجود فوق‌الذکر فائق آمد تا بتوان منجر به افزایش رشد محسوس و چشمگیر مشتریان فعال بانکداری اینترنتی و سوددهی بیشتر بانک‏ شد.

peyvast-1-92-12-18-way2pay-

.

چرایی؟

اینترنت در سال‌های اخیر به طور بنیادی راه‏‌ها و روش‏‌های انجام فعالیت‏‌های روزانه بانکی مشتریان را دگرگون کرده و بانک‏‌ها از آن نه فقط به عنوان یک روش نو برای افزایش رضایت مشتریان، بلکه به عنوان الگویی استراتژیک جهت کاهش هزینه‏‌ها و افزایش سودآوری نیز استفاده کرده‌اند (۲۰۰۱ ,Lin and Lu). شبکه ناامن اینترنت، ارتکاب جرائم علیه بانکداری اینترنتی را تسهیل یا پیگرد را دشوار ساخته است و سختی پیگرد، حرفه‏‌ای بودن بزهکاران و مبهم بودن فضا از مشکلات موجود در بررسی جرائم علیه بانکداری اینترنتی به شمار می‌آید.

.

بانکداری اینترنتی

بانکداری اینترنتی به عنوان یک کانال ارائه و تحویل خدمات بانکی «همه‌جا و همه وقت» (افتتاح حساب، انتقال وجوه و پرداخت‌های آنلاین) اشاره دارد که با توسعه روزافزون اینترنت در کشورهای مختلف و دسترسی تعداد زیادی از مشتریان به شبکه جهانی اینترنت و گسترش ارتباطات الکترونیکی بین افراد و سازمان‌های مختلف از طریق فضای مجازی، ضمن برقراری بستر مناسب برای مراودات تجاری به عنوان یک نوآوری که الگوهای مصرف پذیرندگان را تغییر می‌دهد، در نظر گرفته می‌‏شود. در این میان، یکی از دغدغه‌های مدیریت فناوری اطلاعات به خصوص در حوزه بانکداری اینترنتی، نگرش مشتریان به بانکداری اینترنتی و پذیرش آن در بین مشتریان است.

.

اعتماد

محققان با رتبه‌بندی ۱۵ چالش آینده بانکداری اینترنتی، ایمنی اینترنتی و اعتماد مشتریان را به ترتیب به عنوان اولین و دومین عامل مهم از دیدگاه مدیران ارشد و مدیران فناوری اطلاعات شناسایی کرده‌اند (آلادوانی ۲۰۰۱، شومایلا و گود وین ۱۹۹۸).

برخی از محققان، وفاداری را همان خرید متواتر مشتری می‌دانند (Jacoby , William 1978). بدون بستر اعتماد نمی‌توان مشتری را برای خرید یا استفاده از خدمت قانع کرد. اعتماد به معنی شناخت و آگاهی پایه‌‏ای از سرویس‌دهنده و دادن اطمینان اولیه به توانایی او در برطرف کردن نیازهای مشتری است (۱۹۹۹ , Tractinsky , Tractinsky). اگر توانایی و تمایل سرویس‌دهنده اینترنتی به برطرف کردن نیاز مشتری به بهترین نحو برای کاربر مشخص نشود، مشتری حاضر نخواهد شد اطلاعات محرمانه خود را از طریق سرویس ‏دهنده انتقال دهد و در نتیجه یا سرویس‌دهنده دیگری را انتخاب می‏‌کند یا به سراغ رسانه دیگری برای برطرف کردن نیازش می‌رود.

.

دانش مشتری

در بسیاری از موارد عدم آگاهی از نحوه استفاده از خدمات بانکداری اینترنتی سبب جلوگیری از ایجاد اعتماد می‏‌شود. آگاهی دادن به مشتری از جنبه‌‏ای توانایی سرویس‌دهنده را برای شخصی که به ما اعتماد می‏‌کند، مشخص کرده و از سوی دیگر این توانایی را به او می‌‏دهد به عامل‌هایی توجه کند که تا به حال به آنها توجه نکرده است. اگر مشتری برای اولین بار از خدمات بانکداری اینترنتی استفاده کند و در مورد مسائل امنیتی و گستره‏ خدماتی که می‌تواند توسط این رسانه انجام دهد، اطلاع داشته باشد، در نتیجه احتمال بیشتری دارد که جذب این نوع سرویس یا خدمات شود.

.

کیفیت شبکه

کیفیت اطلاعات، سرعت تعاملات و امنیت موجود در سیستم بانکداری اینترنتی در نگرش به رفتار استفاده از بانکداری اینترنتی در بین مشتریان حائز اهمیت است بنابراین توصیه می‌شود مدیران بانک در کنار توجه به سازه‌‏های سنتی پذیرش فناوری، عوامل مرتبط با کیفیت شبکه را به منظور پیش‏بینی قصد رفتاری مشتریان بانکداری اینترنتی مورد توجه قرار دهند (افشار و سلیمانی بشلی، ۱۳۹۰).

.

مهم‌ترین حملات سایبری روی سیستم‌های بانکداری اینترنتی

تعداد زیادی از حملات سایبری روی سیستم‌های بانکی آنلاین متمرکز شده است که گزارش‌های اخیر نشان می‌‏دهد رمزگیری (Phishing) و کدهای مخرب (Malicious) از جمله تهدیدات مهم امنیتی بوده‌اند (۲۰۱۲ , kumar). بانک یا مشتری ممکن است قربانی پیچیده‌‏ترین جرم مالی، یعنی کلاهبرداری اینترنتی باشند. در این جرم، بزهکار حرفه‏ای گاه با ترکیب چند حمله، همچون رمزگیری، دسترسی غیرمجاز، جعل رایانه‌‏ای و سرقت هویت موفق به بردن وجه متعلق به دیگری می‌‏شود.

«رمزگیری» (Phishing) را می‌توان مخفف Password harvesting fishing به معنای دزدی رمز عبور از طریق طعمه‌گذاری دانست. رمزگیری به عنوان یک جرم مهندسی اجتماعی شناخته می‌‏شود که از جعل هویت و بازی کردن در نقش دیگری برای دستیابی به اطلاعات محرمانه افراد استفاده می‌‏کند (غروی و محمدی، ۱۳۹۰). معمولا شکارچی قلاب خود را در محیط‏‌هایی که طعمه‏‌های فراوانی برای صید وجود دارد یا در فضای مجازی (جایی که استانداردهای ایمنی به درستی رعایت نشده یا مشتری برای یک لحظه بی‏ احتیاطی می‌‏کند) پهن می‌‏کند.

امروزه مهم‌ترین حمله‌‏ای که متوجه کاربر است حملات «رمزگیری» است زیرا تمامی اقدامات پیشگیرانه مانند استفاده از نرم‏‌افزارهای حفاظتی روی مرورگرهای وب و همچنین نرم‌افزارهای امنیتی نصب‌شده روی سیستم‌عامل، تنها می‌تواند جلوی کلاهبرداران و سایت‏‌های فیشینگی را که تا به حال شناسایی شده‏‌اند، بگیرد و معمولا کاری به افراد یا سایت‏‌های تازه‌وارد ندارند. همین امر باعث شده تنها سد دفاعی مورد اعتماد در برابر «رمزگیری»، خود کاربر، تجربیات و دانش او باشد. فیشینگ یک تهدید امنیتی عمده برای شرکت‌ها و مشتریان خود در سراسر جهان به شمار می‌آید و بر اساس آمار مقایسه‌ای در بازه زمانی (بین ژانویه ۲۰۱۱ و ژوئن ۲۰۱۲) ارائه‌شده توسط Thawte در مقایسه با شش ماه گذشته از سال ۲۰۱۱، شش ماه اول سال ۲۰۱۲ شاهد افزایش ۱۹ درصدی حملات فیشینگ جهانی، علیه کسب و کار بوده و ضرر و زیان آن هم حدود ۲.۱ بیلیون دلار تخمین زده شده است.

گروه کاری ضدفیشینگ (APWG) حداقل ۹۳۴۶۲ حمله فیشینگ منحصربه‌فرد در نیمه اول سال ۲۰۱۲ در ۲۰۰ دامنه‏ سطح بالا گزارش کرده است که نشان‌دهنده افزایش قابل توجهی در طول نیمه اول سال ۲۰۱۱ است؛ یعنی زمانی که APWG گزارش افزایش کلاهبرداری فیشینگ به تعداد ۸۳۰۸۳ (به شیوه حملات روی سرور مجازی به اشتراک گذاشته) را ارائه کرد. برخی تعداد ۶۴۲۰۴ نام دامنه منحصربه‌فرد در نیمه اول ۲۰۱۲ را به دلیل هدف قرار دادن ۴۸۶ نهاد اعلام کردند.

peyvast-2-92-12-18-way2pay

شرکت‌هایی که برای تامین امنیت خود فقط با صرف میلیون‌ها تومان به استقرار فایروال‏‌ها، دستگاه‌های کنترل دسترسی امن اقدام کرده‏‌اند، در واقع پول‌شان را به هدر داده‌اند زیرا از ضعیف‌ترین حلقه در زنجیره امنیت یعنی افرادی که استفاده، مدیریت و راه‏‌اندازی سیستم‌های کامپیوتری را بر عهده دارند، به کلی غافلند و اکثر کاربران از دانش کافی در زمینه امنیت بی‌بهره‌اند و اکثر شرکت‏‌ها هم از اهمیت امنیت اطلاعات و عواقب حملات احتمالی آن بی‌خبرند (هکر سابق، MITNICK). در ادامه تاکتیک‌‏های دفاعی موثر برای حفاظت از حریم خصوصی مشتریان بانکداری اینترنتی معرفی می‌شوند تا محیط امن‌تری را برای انجام تراکنش‌های مالی مشتریان فراهم کند و امنیت بانک را به سطح بالاتری ارتقا دهد.

.

احراز هویت

احراز هویت بدین معناست که یک سیستم بانکداری اینترنتی بتواند تشخیص دهد مشتری، همان شخصی است که ادعا می‏‌کند، یا یک فرد کلاهبردار که خود را به جای یک فرد مجاز جا زده است. پس مکانیسم مناسب باید بتواند هویت واقعی فرد را بدون هیچ ابهامی، تایید یا رد کند. هر روش احراز هویتی که مبتنی بر موارد قابل افشا (مانند کلمه عبور) باشد، با مشکلات خطای کاربری و وجود حملات متعدد برای به دست آوردن کلمات عبور (حدس زدن، شنود خط، فریبکاری، حملات لغتنامه‏ای و نرم‌افزارهای سرقت کلمه عبور در زمان تایپ و…) روبه‌روست.

در احراز هویت دوعاملی، از یک عامل دیگر علاوه بر کلمه عبور استفاده می‌شود. این روزها بسیاری از بانک‌ها، اما نه همه، از یک دستگاه کوچک (OTP) (برای تولید یک کلمه عبور یک‌بارمصرف) جهت ورود امن کاربر به سامانه اینترنتی استفاده می‏‌کنند. این کد فقط برای یک دوره بسیار کوتاه‌مدت از زمان معتبر است اما این احراز هویت نسبتا قوی، فاقد توانایی‏‌های لازم برای مقابله با حملات متداول (مانند حملات Man-In-The-Middel) است، به‌علاوه OTP هیچ‌گونه زیرساختی برای پیگیری حقوقی تراکنش‏‌های انجام‌شده فراهم نمی‏‌کند. بنابراین پیشنهاد می‏‌شود از «توکن‏‌های امنیتی هوشمند USB مبتنی بر امضای دیجیتال» به عنوان عامل دوم در احراز هویت کاربر استفاده شود.

این توکن‏‌ها ضمن کاربری آسان، قابلیت‌‏های امنیتی بالایی برای مقابله با انواع حملات موجود علیه سیستم‏‌های احراز هویت دارند. امضای دیجیتال در بسیاری از کشورها از جمله ایران، از لحاظ قانونی پشتیبانی می‌شود (قانون تجارت الکترونیکی ۱۳۸۲) پس نه دسترسی‌های غیرمجاز، امنیت کاربر را تهدید می‌کند و نه کاربر می‌تواند عملیاتی را که انجام داده است، انکار کند و نیز با توجه به وجود زیرساخت کلید عمومی کشور (نماد)، مشکلی برای پیگرد حقوقی عملیات مالی هم در میان نیست.

وجود تهدیدات امنیتی جدی بانکداری اینترنتی مانند حملات (Man-In-The-Browser) امکان شنود و تغییر دادن اطلاعات را برای افراد سودجو فراهم ساخته است. یک تاکتیک دفاعی موثر در مقابل این حملات، تصدیق هویت از طریق یک کانال مجزا در زمان انجام تراکنش مالی است. در این روش هویت کاربر از طریق یک کانال مجزا از شبکه جهانی اینترنت مانند موبایل تصدیق می‌شود تا ضمن برخورداری از ریسک کمتر (کانال دوم)، کاربر بتواند مجوز تایید انجام تراکنش را شخصا یا از طریق نهاد تاییدکننده دیگری (که مورد اعتماد وی و بانک عامل است) صادر کند. استفاده از دو کانال مجزا (شبکه اینترنت و شبکه موبایل) برای انتقال داده و احراز هویت، امکان بروز حملات فاجعه‌بار رمزگیری و سرقت هویت را به شدت کاهش می‌‏دهد.

peyvast-3-92-12-18-way2pay

.

اسم شب را بگو

«بدون احراز هویت قوی، امنیت قوی وجود نخواهد داشت»، لذا انتخاب کلمه عبور ضعیف یا قرار دادن آنها در مکان نامناسب می‏تواند امنیت این روش احراز هویت را زیر سوال ببرد و برای تقویت این روش رعایت موارد ذیل ضروری است:

  • طول کلمه عبور قوی ۱۴ کاراکتر و ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص نظیر@ ،% و… است.
  • اگر رمز عبور حساب خود را از روی مشخصات شخصی خود یا بستگان مانند سال تولد، شماره شناسنامه، شماره تلفن همراه و… انتخاب کنید، به سادگی قابل حدس زدن و کشف شدن توسط سودجویان خواهد بود.
  • با توجه به داشتن حساب‌های متعدد، لزوم انتخاب کلمات عبور مختلف محسوس است که باید از روش پیچیده‌تری استفاده کرد تا بتوان ضمن به خاطر سپردن همه آنها، به صورت دوره‌‏ای (حداقل هر شش ماه) آنها را تغییر داد و در صورت لو رفتن کلمه عبور یکی از حساب‌ها، سایر حساب‏ها از امنیت لازم برخوردار باشند.

روش پیشنهادی: انتخاب کلمه عبور قوی می‌تواند از ترکیب دو بخش تشکیل شود، بدین صورت که یک بخش پایه (با حداقل طول هشت کاراکتر) و بخش دیگر (با طول شش کاراکتر) باشد. بخش اول شامل یک عبارت پیچیده (برای تمامی حساب‌ها می‌تواند ثابت باشد) و بخش دوم که بر حسب نوع کاربرد آن متغیر است و بر اساس الگوریتم خاصی می‌توان نحوه قرارگیری این دو بخش را در کنار هم تعیین کرد.

.

به مد توجه کن

رایانه مشتری باید از نرم‌افزار آنتی‌ویروس قوی و به‌روزشده، فایروال‌های نرم‌افزاری که قابلیت تشخیص نفوذ (HIDS) را داشته باشد و نیز مرورگر اینترنتی به‌روزشده به همراه یک پلاگین امن آنتی‌فیشینگ برخوردار باشد تا این اطمینان حاصل شود که مشتری از تهدیدات تروژان‌ها، keyloggerها و سایر نرم‌افزارهای مخرب محافظت می‏‌کند و البته استفاده از سیستم‌عامل اصلی و نرم‌افزارهای دیگر با امکان به‌روزرسانی آنلاین جهت نصب افزونه‏‌های امنیتی منتشره تاکید می‏‌شود تا اطمینان حاصل شود که هیچ حفره‌های امنیتی در حال حاضر روی رایانه وجود ندارد. داشتن اطلاعات لازم هم در بین مشتریان و هم در بین کارمندان می‌تواند در بالا بردن امنیت نقش بسزایی داشته باشد.

.

کلیک نکن

یکی از روش‌های کلاهبرداری رمزگیری، ارسال تعداد زیادی نامه الکترونیکی به کاربران مختلف با ادعاهای متفاوت است که از ایشان دعوت می‌کنند روی پیوند موجود در نامه الکترونیکی کلیک کنند. این پیوندها قربانی را به سایتی دقیقا مشابه سایت حقیقی ادعا‌شده می‌‏برد. جایی که قربانی اطلاعات شخصی خود را با توجه به آشنایی قبلی با سایت وارد می‏‌کند و این اطلاعات مستقیما برای فیشر ارسال می‏‌شود، حتی اگر تعداد کمی هم به این نامه‏‌های الکترونیکی پاسخ دهند، برای کلاهبردار کافی است. شایان ذکر است که تاکتیک‌های فیشرها پیچیده‌تر شده و حملات فیشینگ روزانه در حال تکامل است؛ به طوری که در سال ۲۰۱۲ با تبدیل وب‌سایت‌ها به اصطلاح «چاله آب» به جای اینکه در اولین اقدام، از ارسال ایمیل‌های مخرب به طور مستقیم به اهداف خود استفاده کند، اقدام به گذاشتن دام برای یافتن طعمه‌های بزرگ‌تر کردند که به محض بازدید قربانی از این سایت‏‌ها، نرم‌افزارهای مخرب را روی ماشین وی جهت سرقت اطلاعات شخصی نصب می‌کنند و…

.

درها را ببندید

در زمان اتصال به سامانه بانکداری اینترنتی، باید از بهترین روشی که می‌شناسید و به آن اعتماد دارید (رایانه و شبکه امن) استفاده کنید. هشدارهای بانکی زیر را قطعا به خاطر دارید:

  • برای استفاده از اینترنت حتما از کانال‌های ارتباطی مطمئن و قانونی استفاده کنید (عدم استفاده از فیلترشکن،VPN و …).
  • حتی‌المقدور سعی کنید از محیط‌های عمومی (نظیر کافی‌نت) یا رایانه‌های ناشناس برای دسترسی به سرویس بانکداری اینترنتی استفاده نکنید و در صورت استفاده، حتما در اولین فرصت ممکن رمز عبور خود را تغییر دهید.
  • مشتری پس از وارد شدن به سایت بانکداری الکترونیکی بانک خود (از طریق ورود به سایت بانک) از دو طریق می‌تواند از امن بودن و غیرتقلبی بودن سایت اطمینان حاصل کند:
  • با مشاهده قفل کوچک که در گوشه راست پنجره مرورگر قرار دارد و نگه داشتن ماوس روی آن و مشاهده پیغام مربوطه
  • با مشاهده حروف HTTPSکه ابتدای آدرس سایت (URL) در صفحه مرورگر مشتری ظاهر می‏شود.
  • اگر یک آدرس دارای HTTPS باشد، می‌توان با احتمال بالایی پیش‌بینی کرد که این یک آدرس جعلی نیست، زیرا امنیتی که برای این آدرس فراهم است، باعث می‌شود اطلاعات به صورت رمزگذاری یا درهم‌سازی‌شده ارسال شوند که در این صورت استفاده از آنها دشوار می‌شود (پروتکل SSL به عنوان یک تونل امن از مرورگر رایانه کاربر نهایی به وب سرور بانک بوده و امنیت ارائه‌شده توسط آن بر پایه استفاده از گواهینامه دیجیتال از وب سرورهای نهادهای مالی است) اما باز هم باید مراقب حملات Man-In-The-Middel بود. سوءاستفاده از نقطه ضعف پروتکل SSL سخت است اما در صورت انجام، می‌توان اطلاعات تبادل‌شده بین رایانه‌ها را شنود کرد، پس SSL نمی‏تواند حفره‌های امنیتی را که در سمت کاربر نهایی و مربوطه به کاربر است، بپوشاند و امنیت سرویس‌گیرنده توسط این پروتکل تامین نمی‌شود.

.

خارج شو

هنگامی که کارتان با سامانه بانکداری اینترنتی تمام شد، از آن خارج شوید تا طعمه‏ سودجویان برای ربودن نشست مالی مربوطه نشوید و این کار حتی احتمال سوءاستفاده از نقاط ضعف وبگاه‌‏ها را مانندcross site scripting (که ناشی از ضعف برنامه‌نویسی است) کاهش می‏‌دهد. همچنین شما می‌‏توانید به صورت احتیاطی پس از دیدن وبگاه مالی روی کامپیوتر یا تلفن هوشمند خود، اقدام به پاک کردن حافظه پنهان مرورگر در پایان هر نشست کنید.

.

آگاه شو

با مقداردهی تنظیمات سقف برداشت یا محدود کردن تعداد تراکنش‌‏ها در سامانه بانکداری اینترنتی خود و همچنین فعال‌سازی سرویس دریافت آنی اطلاعات گردش حساب روی شماره همراه می‌توانید از فعالیت‌های مشکوک در حساب خود آگاه شوید و به طور دائم حساب‏تان را زیر نظر داشته باشید.

.

به آن‌طرف نگاه کن

نیاز روزافزون مشتریان به استفاده از روش‌‏های نوین بانکی جهت کاهش هزینه و زمان صرف‌شده، بیش از پیش توجه مدیران را می‏‌طلبد تا با تدوین استراتژی‏‌های مناسب و تدارک امکانات درخور، زمینه جلب اعتماد و تشویق افراد به استفاده از خدمات بانکداری ‏اینترنتی را فراهم کند و در نتیجه به اهداف سودآوری و توسعه سازمان برسد.

امروزه به‌ دلیل وجود حملات پیچیده مهندسی اجتماعی و ناتوانی روش‌ها و اقدام‌های پیشگیرانه، تمرکز بانک‌ها باید به سمت مشتریان باشد و فقط به تامین امنیت در سمت خود بسنده نکنند زیرا با آگاه‌سازی و افزایش دانش امنیتی مشتریان می‌‏توانند ضمن ایجاد سد دفاعی مورد اعتماد، سعی در جلب رضایت ایشان داشته باشند و با این کار مزیت رقابتی سازمان خود را بالا ببرند و مطمئنا مشتریان به بانکی که ایمنی لازم را فراهم می‌کند، تمایل بیشتری نشان خواهند داد.

منبع: ماهنامه پیوست

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.