چه کسی بر امنیت اپلیکیشن‌های پرداختی نظارت می‌کند؟ / اهمیت نقش منابع معتبر در دانلود اپ‌های مالی

نویسنده: زهرا قربانی در تاریخ 8 آذر سال 1402 ساعت 13:46 0

با گسترش اینترنت و افزایش تمایل مردم به استفاده از خدمات غیرحضوری مالی، رغبت کلاهبرداران به ساخت اپ‌های جعلی یا بدافزارهای پرداختی و بانکی افزایش یافت و به تبع آمار خسارت‌دیدگان این اپلیکیشن‌ها زیاد شد. رئیس پلیس فتای تهران بارها در این‌ خصوص هشدار داده و اعلام کرده که شهروندان حتماً باید نرم‌افزارهای خود را از منابع معتبر دریافت کنند. اما منابع معتبر به چه معناست و چه کسی بر امنیت اپلیکیشن‌های پرداختی نظارت دارد؟ آیا این نظارت برعهده کاشف است یا اصلاً نظارتی وجود ندارد؟ سیاست‌های کلان تا چه اندازه در چند سال گذشته روی امنیت این فضا نقش داشته‌اند؟ پلتفرم‌های انتشار اپلیکیشن تا چه اندازه مانع انتشار بدافزارها و اپ‌های جعلی مالی شده‌اند؟

پویا پوراعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت معتقد است که نظارت بر اپلیکیشن‌های پرداختی و بانکی در ابعاد مختلفی باید اتفاق بیفتد، اما یکی از راهکار فعلی با توجه به شرایط حاکم بر کشور افزایش آگاهی کاربران است. در ادامه این گزارش عوامل گسترش این فضا، روش‌های کلاهبرداری اینترنتی و راهکارهای تشخیص اپ‌های جعلی از اصلی را بررسی کرده‌ایم.

بررسی انواع روش‌های کلاهبرداری اینترنتی

به تمامی اعمالی که خلاف قانون بوده و در بستر اینترنت یا با استفاده از ابزارهایی که از اینترنت استفاده می‌کنند سبب ایجاد ضرر مادی یا معنوی برای افراد شود، کلاهبرداری اینترنتی گفته می‌شود که انواع مختلفی دارد.

فیشینگ (درگاه پرداخت اینترنتی جعلی)

فیشینگ یا درگاه پرداخت اینترنتی جعلی حدود ۵۰ درصد کلاهبرداری‌های اینترنتی را تشکیل می‌دهد. در این روش کلاهبرداران صفحه درگاهی کاملاً مشابه درگاه پرداخت‌های واقعی می‌سازند و اطلاعات حساب یعنی شماره کارت، رمز دوم و… را ذخیره کرده و در فرصت مناسب حساب بانکی افراد را خالی می‌کنند.

کلاهبرداران در این روش برای جلوگیری از ایجاد شک در ذهن کاربران پس از دریافت تمامی اطلاعات کارت ازجمله رمز کارت، پیغام خطا در اتصال به بانک یا عدم انجام تراکنش را نشان می‌دهند.

سرقت اطلاعات با ویروس‌ها و آگهی تبلیغات

در این روش کلاهبرداران با قرار دادن تبلیغات و بنرهای جذاب در سایت‌ها توجه مشتریان را جلب می‌کنند و با کلیک روی بنرها ویروس یا برنامه‌ای روی سیستم کاربران نصب می‌شود که می‌تواند اطلاعات موجود در سیستم را ذخیره کند یا گاهی اوقات با باز کردن صفحه و لینکی در اینترنت، صفحات دیگری نیز برخلاف میل افراد باز می‌شوند.

به‌ این‌ ترتیب کلاهبرداران به اطلاعات خصوصی و جزئیات حساب‌های شما دسترسی پیدا می‌کنند.

در برخی موارد این اتفاق به صورت پنهانی رخ نمی‌دهد! برخی از برنامه‌های رایگان نیز قابلیت ذخیره اطلاعات کاربران را دارند.

برای جلوگیری از این موارد حتماً روی سیستم خود نرم‌افزارهای ضد ویروس و تروجان و برنامه‌های امنیتی نصب کنید.

سرقت اطلاعات هویتی (ایمیل یا پیامک جعلی)

در این روش کلاهبرداران اس‌ام‌اس یا ایمیل حاوی لینک پرداخت برای پرداخت قبض و… را برای افراد ارسال می‌کنند و کاربران با کلیک روی این لینک‌ها به درگاه‌های جعلی (فیشینگ) منتقل می‌شوند و اطلاعات آنها به سرقت می‌‌رود.

برای جلوگیری از این روش هرگز لینک‌های ناشناس را باز نکنید.

در مواردی نیز پیامک یا ایمیل همراه با اطلاعات حساب برای کاربران ارسال می‌شود و به‌ اشتباه برای کلاهبرداران مبالغی را واریز می‌کنند یا از افراد اطلاعات هویتی آنها درخواست می‌شود.

در این روش کلاهبرداران شماره تماس مشتریان را در سایت‌ها به بهانه قرعه‌کشی جمع‌آوری می‌کنند و با آنها تماس می‌گیرند یا پیامک‌هایی تحت عنوان «شما برنده شدید!» ارسال می‌کنند و از کاربران می‌خواهند تا مبلغی را برای ارسال جایزه واریز کنند.

این دسته از کلاهبرداری‌ها در مواردی فقط واریز هزینه ارسال هستند، اما در مواردی نیز لینک درگاه جعلی دارند.

این روش از انواع روش‌های کلاهبرداری اینترنتی با وجود قدیمی بودن و اطلاع‌رسانی‌های بسیار همچنان افراد زیادی را در دام می‌اندازد.

اپلیکیشن‌های جعلی

اپلیکیشن‌های جعلی برنامه‌هایی هستند که بعد از نصب، فرصت نفوذ افراد بزهکار را به اطلاعات محرمانه شما می‌دهند. البته همیشه اپلیکیشن‌های جعلی الزاماً دارای بدافزار نیستند و گاهی این برنامه‌ها با استفاده از شیوه‌های دیگری کاربران را به دام می‌اندازند. به‌عنوان مثال اپلیکیشن‌های جعلی شامل پلتفرم‌هایی نیز هستند که با وعده سودهای نجومی از کاربران کلاهبرداری می‌کنند.

سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تهران بارها در خصوص اپ‌های جعلی پرداختی هشدار داده است. او اخیراً اظهار کرد: «امروزه عمده‌ترین روش کلاهبرداری در سطح اینترنت، ایجاد نرم‌افزارهای جعلی مشابه نرم‌افزارهای همراه‌بانک‌هاست.»

او توضیح داد: «اخیراً پرونده‌هایی به پلیس فتا واصل شده که در آن شکات پرونده‌ها اپلیکیشن همراه‌بانک خود را از منابع نامعتبر دانلود و نصب‌ کرده و بعد از آن مورد کلاهبرداری قرار گرفته بودند. در این پرونده‌ها مأموران پلیس فتا با اقدامات فنی متوجه شدند که مجرمان با طراحی همراه‌بانک‌های جعلی که در واقع بدافزار هستند و قرار دادن این نرم‌افزارها در منابع نامعتبر، اقدام به ایجاد دسترسی غیرمجاز به گوشی تلفن همراه کاربر برای خود کرده و از این طریق از حساب شهروندان برداشت کرده‌اند.»

رئیس پلیس فتای تهران بزرگ با بیان اینکه شهروندان حتماً باید نرم‌افزارهای خود را از منابع معتبر دریافت کنند، گفت: «از این رو به شهروندان توصیه می‌کنم که برای دانلود و نصب نرم‌افزارهای موبایل همراه از جست‌وجو کردن آن در مرورگرها خودداری کرده و حتماً به پلتفرم‌های معتبر ارائه‌دهنده نرم‌افزار یا سایت رسمی بانک مراجعه کنند.»

انواع اپلیکیشن‌های جعلی کدام‌اند؟

اپلیکیشن‌های جعلی دو نوع متفاوت دارند که هر کدام از آنها با روش خاصی به کلاهبرداری از کاربران می‌پردازند. کلاهبرداران بسته به اینکه از چه نوع اپلیکیشنی استفاده کنند قربانیان خاص خود را پیدا خواهند کرد. در ادامه به معرفی دو مدل مختلف اپلیکیشن‌های جعلی می‌پردازیم:

مبدل‌ها

این برنامه‌ها با ظاهر و نامی شبیه به برنامه‌های معروف و پرمخاطب به وجود می‌آیند و در اپ‌استورها قرار می‌گیرند. معمولاً اپ‌استورهای محبوب اپلیکیشن‌های جعلی را زود شناسایی می‌کنند، ولی در همان فرصت کم هم ممکن است هزاران نفر فریب بخورند و این برنامه‌ها را دانلود کنند. این برنامه‌ها ظاهر و نام خود را دقیقاً مشابه برنامه‌های اصلی می‌کنند. تنها راه تشخیص این است که زیر نام و لوگو، نام منتشر‌کننده آن را ببینید و تشخیص دهید که آیا برنامه اصلی هست یا خیر.

بازسازی‌شده‌ها

تشخیص برنامه‌های بازسازی‌شده نسبت به برنامه‌های مبدل سخت‌تر است. این برنامه‌ها علاوه بر اینکه از نام و آیکون برنامه‌های اصلی استفاده می‌کنند، داده‌ها و کدهای سورس این برنامه‌ها را نیز مورد استفاده قرار می‌دهند. این کار، گاهی به‌ قدری دقیق انجام می‌شود که تشخیص جعلی بودن آن بسیار سخت می‌شود.

انواع تهدیدات اپلیکیشن‌های جعلی

برنامه‌های جعلی با توجه به نوع و هدف‌شان تهدیدات مختلفی را برای کاربران به همراه دارند. هرکدام از این تهدیدها می‌تواند به طریقی باعث ازدست‌رفتن سرمایه کاربر شود یا او را مورد سوءاستفاده قرار دهد.

دلیل افزایش آمار اپ‌های جعلی پرداختی و بانکی چیست؟

پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت در گفت‌و‌گو با «راه پرداخت» در خصوص آمار اپ‌های جعلی پرداختی گفت: «اپ‌های جعلی و بدافزارها از گذشته بوده‌ و اکنون نیز وجود دارند. در حال حاضر آمار دقیقی از اینکه چه تعداد اپ جعلی وجود دارد در دسترس عموم نیست. اما مشخصاً آمار این اپ‌ها در چند سال اخیر رو به افزایش بوده است.»

به گفته پوراعظم، دلیل این افزایش، گسترش استفاده از خدمات مبتنی بر اپلیکیشن‌های موبایلی و خدمات الکترونیکی و غیرحضوری است. با افزایش کاربران شاهد افزایش اپ‌های جعلی بوده‌ایم. این افزایش آمار از دو جنبه قابل بررسی است.

**پویا پور اعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت**

او ادامه داد: «از یک سو افراد سودجو با توجه به افزایش کاربران، رغبت بیشتری برای کلاهبرداری به روش اپلیکیشن‌های جعلی مالی پیدا می‌کنند. از سوی دیگر کاربران به دلیل نداشتن آموزش کافی و نبود آگاهی کافی نسبت به ملاحظات امنیتی به نصب اپ‌ها و ابزارهای جعلی اقدام می‌کنند که در اصل یک بدافزار است.»

پویا پوراعظم معتقد است که نظارت بر اپ‌های جعلی در ابعاد مختلفی باید اتفاق بیفتد. بانک‌ها یا شرکت‌های پرداختی در انتشار اپ‌های خود باید فرایند امنی را طی کنند؛ به طوری که نسخه اصلی از جعلی قابل تشخیص باشد. داشتن امضای دیجیتال و انتشار در مارکت‌های معتبر ازجمله اقداماتی است که بانک‌ها و شرکت‌های معتبر منتشرکننده اپ می‌توانند برای امن‌سازی این فرایند انجام دهند.

پوراعظم گفت: «پلتفرم‌هایی مثل کافه‌بازار، گوگل‌پلی و… نیز وظیفه دارند که اپ‌های جعلی و غیرجعلی را از یکدیگر تشخیص دهند که اکنون تا حدودی این اتفاق می‌افتد. با این‌ حال در چند سال گذشته گاه شاهد انتشار بدافزار در همراه‌بانک جعلی در بستر این پلتفرم‌ها بوده‌ایم.»

لزوم آموزش کاربران و اطلاع‌رسانی مستمر

به گفته پوراعظم، نهادهایی مثل کاشف و ماهر روی این موضوع مانیتورینگ دارند اما به طور کلی این رصد وظیفه کاشف است.

این متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت بیان کرد: «در نهایت باید مشتریان و کاربران آموزش ببینند و به آنها آگاهی‌رسانی شود.»

او معتقد است با توجه به بزرگ‌ شدن فضای تهدید در کشور، استفاده از فیلترشکن‌ها و وی‌پی‌ان‌های جعلی می‌تواند یکی از ابزارهای کلاهبرداران باشد. به همین سبب سودجویان به جای جعل اپ پرداختی یک وی‌پی‌ان را جعل می‌کنند. پس از نصب به‌راحتی دسترسی می‌گیرند و به موبایل‌بانک مشتری دسترسی پیدا می‌کنند. برای کاربر هم قابل تشخیص نیست فیلترشکنی که نصب‌کرده بدافزار بوده یا خیر.

کنترل‌ها محدود به نظارت یک نهاد بیرونی نیست

به گفته پوراعظم، سیاست‌های کلان نادرست از جمله مواردی است که منجر به ایجاد یک فضای تهدید بزرگ در حوزه امنیت شده است. باید توجه داشت که کنترل‌ها و اقدامات در این حوزه محدود به نظارت و مانیتورینگ یک نهاد ناظر بیرونی نیست. نهاد ناظر بیرونی می‌تواند یکپارچه باشد اما باید از ابعاد مختلف کاربر، سیاست کلان، انتشار اپ‌ها و… باید یکسری اقدامات امنیتی انجام شود.

پویا پوراعظم با اشاره به راهکار خارج‌شدن از این شرایط گفت: «راهکار دادن در این فضا و شرایط فعلی کار سختی است اما کاربران باید اتکای خود را به نظام بانکی و نهاد بیرونی و… کنار بگذارند و خودشان مراقب باشند. در حال حاضر نظارت بر این فضا اتفاق می‌افتد اما به دلیل برخی سیاست‌های کلان درست اتفاق نمی‌افتد؛ بنابراین با توجه به این شرایط کاربر باید آگاهی‌اش را افزایش دهد.»

او ادامه داد: «من پیشنهاد می‌کنم با توجه به فضای فعلی، کاربران اپ‌های مالی و بانکی‌شان را حتی از مارکت‌ها هم دانلود نکنند و تنها به سایت بانک‌ها مراجعه کنند.»

چگونه اپ‌های جعلی را از اصلی تشخیص دهیم؟

برنامه‌های جعلی گاهی کاملاً شبیه نسخه‌های واقعی ساخته می‌شوند و تشخیص آنها دشوار است. با این حال اگر با دقت آنها را بررسی کنید شناخت نسخه‌های جعلی غیرممکن نیست. در ادامه چند روش برای شناخت برنامه‌های جعلی بیان کرده‌ایم:

توجه به املای کلمات، آیکون‌ها و توضیحات برنامه

پیش از اینکه یک برنامه را دانلود کنید بهتر است به املای کلمات، آیکون‌ها و توضیحات برنامه دقت کنید. سازندگان برنامه‌های جعلی سعی می‌کنند از نام‌ها و آیکون‌های مشابه برندهای بزرگ استفاده کنند، ولی خیلی اوقات نام توسعه‌دهنده و حتی برنامه به‌ اشتباه نوشته می‌شود تا صرفاً شبیه نسخه اصلی باشد و کاربر را فریب دهد. کافی است اسامی را در اینترنت جست‌وجو کنید تا ببینید برنامه واقعی است یا خیر.

دسترسی‌های اپلیکیشن

در صفحه دانلود هر اپلیکیشنی در استورهای معتبری مثل کافه‌بازار، دسترسی‌هایی که اپلیکیشن در گوشی کاربر می‌خواهد نوشته شده است. با مطالعه این دسترسی‌ها ممکن است متوجه موارد مشکوکی شوید. سعی کنید هنگام نصب و دانلود هر برنامه‌ای به دسترسی‌هایی که به آن برنامه می‌دهید، توجه ویژه داشته باشید.

تعداد دانلودهای برنامه

معمولاً نسخه‌های اصلی هر برنامه‌ای تعداد دانلودهای بیشتری دارد، پس توجه به تعداد دانلود‌های یک برنامه پیش از دانلود آن ضروری است. تعداد دانلودهای یک برنامه نشان می‌دهد چه میزان محبوب است و کاربران تا چه حد از آن راضی هستند. از طرفی هرچه دانلود‌ها بیشتر باشد، فیدبک‌های بیشتری هم وجود دارد که می‌توانید آنها را بررسی کنید تا به واقعی یا غیرواقعی بودن برنامه پی ببرید.

موارد امنیتی دیگر شامل نکاتی نظیر بررسی‌ نظرات درباره نرم‌افزار، بررسی توسعه‌دهندگان برنامه، زمان انتشار برنامه و… می‌شود.

سعی کنید در دانلود اپلیکیشن‌ها دقت کنید. به طور کلی دانلود برنامه‌ها از سایت خود بانک‌ها و پلتفرم‌های معتبر نظیر کافه‌بازار معتبر‌تر است؛ پس برای دانلود چنین برنامه‌های حساسی سراغ شبکه‌های اجتماعی و پلتفرم‌های غیرمعتبر نروید. علاقه‌مندان می‌توانند فهرست همراه‌بانک‌های رسمی در بازار را از اینجا ببینند و نصب کنند. اگر قبلاً برنامه جعلی دانلود کرده‌اید به‌ محض تشخیص جعلی بودن، آن را از گوشی خود حذف کنید تا با مشکل مواجه نشوید.

امنیت