تبهکاران سایبری و چالش‌های فراروی صنعت بانکداری

رضا معروف/پیشرفت و توسعه روزافزون فن‌آوری اطلاعات و ارتباطات از اوایل دهه ۸۰ میلادی به بعد موجب بروز تحولات شگرفی در حوزه علوم، فنون و صنایع مختلف گردید و صنعت بانکداری نیز از این تحولات بی‌نصیب نمانده، به‌نحوی‌که هم‌اکنون نقش فن‌آوری اطلاعات در این صنعت به‌قدری کلیدی است که ادامه حیات بانکداری بدون وجود این فن‌آوری عملاً غیرممکن می‌نماید.

امروزه منافع به‌کارگیری بانکداری الکترونیک و اینترنتی بر کسی پوشیده نیست، منافعی مانند کاهش هزینه‌های عملیاتی بانک‌ها، کاهش گردش اسکناس به‌عنوان یک منبع عمده انتشار عوامل میکروبی و بیماری‌زا، کاهش هزینه‌های نشر اسکناس، کاهش ترافیک شهرهای بزرگ، کاهش معضل آلودگی هوا، ارتقاء عملکرد سیستم مالیاتی کشور و… که هم بانک‌ها و مؤسسات مالی و هم جامعه از آن منتفع می‌گردند.

در کشور ما نیز از اواخر دهه هفتاد شمسی اولین نشانه‌های به‌کارگیری بانکداری الکترونیک با ظهور کارت‌های بانکی و ماشین‌های خودپرداز دیده شد و در حال حاضر کمتر بنگاه اقتصادی یا موسسه مالی را می‌توان یافت که به تبلیغ محصولات و خدمات الکترونیکی خود در رسانه‌های گروهی و جمعی نپردازد.

باوجود تمامی مزایا و منافع قابل‌تصور برای بانکداری الکترونیک و اینترنتی که ذکر تمامی آن‌ها از حوصله این نوشته خارج است، ظهور این نوع بانکداری به همراه خود مخاطرات تازه‌ای را نیز به ارمغان آورده و زمینه بروز تقلبات و سوءاستفاده‌های مالی به شیوه‌های نوین را فراهم کرده است.

در سال‌های اخیر گزارش‌های متعددی در خصوص تقلب در حوزه بانکداری آنلاین انتشار یافته که از به سرقت رفتن سالانه میلیاردها دلار پول مشتریان بانک‌ها توسط سارقان سایبری حکایت دارند.

هر چند میزان برخورداری و بکار گیری کشورهای مختلف جهان از فن‌آوری اطلاعات و بانکداری آنلاین، همچنین میزان صدمه پذیری آنان در برابر مخاطرات موجود متفاوت است، لیکن فراهم شدن تمهیدات لازم از سوی سیاست‌گذاران این حوزه جهت پیشگیری از وقوع جرائم اینترنتی و سایبری در حوزه بانکداری برای همه کشورها امری حیاتی به نظر می‌رسد.

در حال حاضر حجم تراکنش‌های بانکداری آنلاین بخصوص در کشورهای جهان سوم و درحال‌توسعه روند فزاینده‌ای داشته، به‌طوری‌که بر اساس یک تحقیق که در سال ۲۰۰۹ میلادی انجام گرفت، تعداد تراکنش‌های سالانه ثبت شده بانکداری آنلاین در کشور ترکیه (و نه ارزش مالی آن) بیش از ۵/۱ برابر تعداد تراکنش‌های کشور توسعه‌یافته‌ای مانند فرانسه در مدت مشابه بوده درصورتی‌که بعید به نظر می‌رسد امکانات امنیتی در نظر گرفته شده جهت ایمن‌سازی تبادلات مالی در فضای سایبر در دو کشور یادشده یکسان بوده یا دست‌کم به یک میزان گسترش پیداکرده باشد.

اوضاع در کشورهای کمتر توسعه‌یافته نظیر آمریکای لاتین و جنوب آسیا نیز کم‌وبیش مشابه است. در این کشورها گسترش سریع و در دسترس قرار گرفتن فن‌آوری‌های ارزان‌قیمت، موجب رشد فزاینده حجم تبادلات مالی آنلاین بخصوص معاملات مبتنی بر بانکداری از طریق تلفن همراه، بدون ارتقاء متناسب مکانیسم‌های امنیتی کارآمد در آن کشورها شده است. به همین جهت کشورهای درحال‌توسعه به دلیل عدم برخورداری از فن‌آوری‌های امنیتی روز دنیا و توانایی کمتر در سرمایه‌گذاری‌های کلان درزمینه فن‌آوری اطلاعات، بیشتر مورد تهدید و مواجهه با خطر بوده و تبعات منفی آن در این‌گونه جوامع بحران‌زا و شدیدتر است.

آنچه در ادامه ازنظر خواهد گذشت، به‌منظور آشنایی علاقه‌مندان حوزه بانکداری الکترونیک و آنلاین با جدیدترین بدافزارهای مالی، روش‌ها و ترفندهای تبهکاران سایبری درزمینه سرقت از حساب‌های مشتریان و نهایتاً تدابیر حفاظتی و امنیتی بانک‌ها در این زمینه به‌منظور جلب‌توجه بیشتر صاحبان حرف و مشاغل مرتبط با موضوع، به رشته تحریر در آمده است.

در سال‌های اخیر طراحان بدافزارها پیش از آنکه به دنبال آسیب رساندن به کامپیوترها باشند، به دنبال دزدیدن اطلاعات حساب‌های بانکی و کارت‌های اعتباری بوده‌اند و این معضلی است که سالی یک میلیارد دلار به بانک‌های آمریکایی زیان وارد می‌کند.

یکی از مهم‌ترین این بدافزارها، Key Logger ها هستند که دکمه‌هایی را که روی کیبوردتان می‌فشارید ثبت می‌کنند و اطلاعات محرمانه ازجمله Password شما را پیدا کرده و برای سازندگان خود می‌فرستند. البته Key Logger ها را به‌راحتی می‌توان گمراه کرد. راه‌حل بانک‌ها برای مقابله با این معضل آن است که زمانی که فرد می‌خواهد وارد حساب بانکی خود شود تنها بخش‌هایی از Password از او درخواست می‌شود و حتی نیازی به استفاده از Keyboard فیزیکی هم نیست و مشتری می‌تواند از کیبورد مجازی تعبیه‌شده در سایت بانک استفاده کند.

نوع دیگر ترفندها برای دست‌یابی به اطلاعات محرمانه مشتریان، ایمیل‌هایی است که ادعا می‌کنند از طرف بانک شما ارسال شده‌اند و در متن ایمیل لینکی را معرفی می‌نمایند که شما را به یک وب‌سایت قلابی ارتباط می‌دهند که کاملاً شبیه وب‌سایت بانک طراحی شده و اطلاعاتی که در آن وارد می‌کنید مستقیماً به inbox دزدان اینترنتی ارسال می‌گردد.

برای مقابله با این مشکل بانک‌ها مراحلی را به فرآیند Login کردن اضافه کرده‌اند که مشتری تشخیص دهد در وب‌سایت واقعی است یا قلابی. در این مورد وب‌سایت واقعی یک تصویر را با کلمه‌ای که قبلاً خودتان انتخاب کرده‌اید برای شما نمایش می‌دهد، چیزی که وب‌سایت قلابی از وجود آن بی‌خبر است. از طرف دیگر بعضی از بانک‌ها دستگاه‌هایی بنام Token یا Dongle را در اختیار مشتریان خود قرار داده‌اند.

این دستگاه‌ها هر بار یک عدد تصادفی تولید می‌کنند و به عبارت صحیح‌تر یک Random Generator یا مولد اعداد تصادفی هستند که الگوریتم تولید رمز آن‌ها برای وب‌سایت بانک شناخته‌ شده است.

مشتری می‌تواند از طریق وارد کردن اعداد تولید شده توسط دستگاه در وب‌سایت بانک، وارد حساب بانکی خود شود. اما برای آنکه بدانیم به چه دلیل بانک‌ها این هزینه‌های سرسام‌آور را متحمل می‌شوند باید به یک موضوع پیچیده‌تر اشاره کنیم؛ بدافزارهایی وجود دارند که بسیاری از سرقت‌های بزرگ Online توسط آن‌ها انجام گرفته است و به شکل کاملاً هوشمندانه پول را از حساب مشتریان به حساب طراحان خود واریز می‌کنند، به همین جهت آن‌ها را بدافزارهای مالی می‌نامند. این بدافزارها در کامپیوتری که آن‌ها را آلوده کرده‌اند کاملاً پنهانی زندگی کرده و دقیقاً زمانی که کاربر وارد سایت بانک می‌شود فعال شده و اطلاعاتی که دیده می‌شوند را دست‌کاری می‌کنند.

برای نمونه به تصاویر زیر توجه کنید، دو کامپیوتر هر دو وارد وب‌سایت یک بانک شده‌اند ولی چیزی که روی صفحه‌های آن‌ها دیده می‌شود متفاوت است. صفحه کامپیوتری که به بدافزار آلوده نیست فقط نام کاربری را سؤال می‌کند ولی کامپیوتر آلوده شماره کارت و شماره رمز آن را هم به‌صورت کامل درخواست می‌کند و این موضوع فقط وب‌سایت یک بانک را درگیر نمی‌کند بلکه سارقان می‌توانند بدافزار را برای سایت بانک‌های مختلف طراحی کنند.

این نوع بدافزارها با نام‌های مختلف ازجمله Spaya و Karber وجود دارند. ولی یکی از شناخته‌شده‌ترین آن‌ها Zeus است. کاربر Zeus را نمی‌بیند، او تصور می‌کند در حال تعامل با بانک خود است، درحالی‌که در تمام مدت مشغول تعامل با Zeus است و در واقع این Zeus است که با بانک کاربر در تماس است و اطلاعات کاربر را دزدیده و بجای او وارد حساب می‌شود و هر معامله‌ای را که بخواهد انجام می‌دهد، اما تصویری به کاربر نشان می‌دهد که احساس کند همه چیز عادی است.

بدافزارهای مالی روزبه‌روز هوشمندتر می‌شوند، نسل اول آن‌ها فقط صفحه Login را دست‌کاری می‌کردند و اطلاعات محرمانه مشتری را از این طریق دریافت می‌نمودند. ولی نسخه‌های جدیدتر به روش‌های خلاقانه‌تری می‌توانند هر صفحه‌ای را که مشتری به آن وارد می‌شود به‌گونه‌ای دیگر برای او نمایش دهند. به‌عنوان‌مثال صبر می‌کنند تا پولی به جایی واریز کنید، وقتی دکمه تائید نهایی را فشردید، رقمی را که واریز کرده‌اید عوض می‌کنند و شماره حسابی را که به آن پول واریز می‌شود با شماره حساب سازنده بدافزار عوض می‌کنند؛ اما چیزی که در صورت حساب می‌بینید همان اطلاعاتی است که خودتان وارد کرده‌اید و به همین جهت اصلاً به چیزی مشکوک نمی‌شوید. اخیراً کد منبع Zeus روی اینترنت منتشر شده است تا تحلیل گران بتوانند طراحی پیچیده آن را بررسی کرده و برای مقابله با آن راه‌حلی پیدا کنند.

اما چطور این بدافزارها به‌راحتی آنتی‌ویروسی را که روی سیستم نصب‌کرده‌ایم دور می‌زنند. یکی از دلایل موفقیت این بدافزارها این است که طوری طراحی‌شده‌اند که نرم‌افزار امنیتی کامپیوتر شما نمی‌تواند به‌راحتی آن‌ها را تشخیص دهد یا ردیابی نماید.

نرم‌افزارهای امنیتی که در کامپیوترهای شما استفاده می‌شوند، دقیقاً مثل گاردهای امنیتی عمل می‌کنند، بدین‌صورت که در ابتدا به دنبال چهره‌های مشکوک یا کسانی که در لیست سیاه هستند می‌گردند و بعد منتظر می‌شوند تا چهره مشکوک، رفتار مشکوکی از خود بروز دهد و اگر در هیچ یک از این مراحل موفق نبود، موقع خارج شدن اطلاعات از سیستم از خروج آن‌ها جلوگیری می‌کنند؛ اما بدافزارهای مالی امروزی ماننــــد Zeus می‌توانند همه این تدابیر را دور بزنند، این نرم‌افزارها می‌توانند چهره خود را چندین هزار بار در روز تغییر دهند و این چهره‌ها به‌هیچ‌وجه با چهره‌های موجود در لیست سیاه نرم‌افزارهای امنیتی (بدافزارهای موجود در لیست سیاه) مشابه نیستند. این بدافزار خیلی زیرکانه و محتاط عمل می‌کند تا مشکوک به نظر نرسد و توجه جلب نکنند و از همه مهم‌تر آن است که وقتی می‌خواهد اطلاعات شما را بدزدد از نرم‌افزارهای دیگر بخصوص مرورگر یا Browser شما به‌عنوان ابزار انتقال استفاده می‌کند.

به این نوع حملات اصطلاحاً سرقت توسط فرد پنهان در مرورگر یا Man In The Browser می‌گویند. در اینجا به‌واقع بدافزار داخل مرورگر شما است و بین شما و وب‌سایت بانک قرار می‌گیرد و چیزهایی را که می‌بینید یا اطلاعاتی را که وارد می‌کنید دست‌کاری می‌کند.

هر بار که نسخه جدیدتری از Zeus به بازار می‌آید، روزها و گاهی هفته‌ها طول می‌کشد تا شرکت‌های تولید نرم‌افزارهای امنیتی بتوانند آن را شناسایی کنند و تا وقتی این بدافزار شناسایی شود، تنها شانس کاربران آن است که نسخه قدیمی‌تر نرم‌افزارهای امنیتی بتوانند به طرق دیگری جلوی فعالیت آن را بگیرند.

یک محقق به نام Chris Pickard که تخصص او تست کردن نرم‌افزارهای امنیتی است، معتقد است که نرم‌افزارهای امنیتی موجود کار خودشان را به خوبی انجام نمی‌دهند. او برای اثبات گفته خود یک تحقیق مستقل برای تشخیص مرد پنهان در مرورگر ترتیب داده است که طی آن یک بدافزار مالی فرضی که توسط تیم خودش طراحی شده بود و طبعاً چون تازه تولید شده بود در لیست سیاه هیچ نرم‌افزار امنیتی وجود نداشت، برای شناسایی توسط نرم‌افزارهای امنیتی معروف مورد آزمایش قرار گرفت و بررسی گردید که آیا هیچ‌ یک از این نرم‌افزارهای امنیتی توانایی شناخت بدافزار فرضی را دارند یا خیر؟

موضوع نگران‌کننده آن است که در این آزمایش اکثر نرم‌افزارهای امنیتی شکست خوردند و فقط تعداد کمی از آن‌ها موقع دزدیده شدن اطلاعات هشدار دادند و یا توانستند از دزدیده شدن اطلاعات جلوگیری کنند؛ اما باوجوداین نرم‌افزارهای امنیتی همچنان مهم‌ترین راه حفظ امنیت کامپیوترها در مقابل دزدیده شدن اطلاعات هستند.

محقق دیگری بنام Daniel Bert معتقد است: «مرد پنهان در مرورگر خیلی دقیق و متمرکز عمل می‌کند و بسیار پیشرفته است و مخصوص کارهای بانکی طراحی شده و چون آنتی‌ویروس‌های معمولی برای حفاظت از کامپیوترها در مقابل طیف وسیعی از بدافزارها طراحی‌شده‌اند، ممکن است درزمینهٔ جلوگیری از سرقت اطلاعات بانکی خیلی خوب عمل نکنند. ولی این بدین معنی نیست که آنتی‌ویروس‌ها اصلاً بدرد نمی‌خورند. گونه‌ای از نرم‌افزارهای امنیتی وجود دارند که مخصوص حفاظت سیستم در مقابل بدافزارهای مالی طراحی‌شده‌اند، بنابراین امن‌ترین راه آن است که به‌غیراز آنتی‌ویروس‌های معمولی یکی از این نرم‌افزارها را هم بکار ببریم و در کنار آن لازم است همواره به توصیه‌های امنیتی بانک خود عمل کنید و همیشه مراقب باشید.»

این آزمایش از سوی بسیاری از سازندگان نرم‌افزارهای امنیتی موردانتقاد قرار گرفت. آن‌ها اعتقاد داشتند که محصولاتشان فقط در مقابل بدافزارهای مالی تست شده است و این دلیل ناکارآمدی نرم‌افزارهای تولیدی آن‌ها نیست. آن‌ها همچنین اعتقاد داشتند که درست است که محصولات آن‌ها در ابتدا بدافزار مالی را تشخیص نداده‌اند ولی این قابلیت را دارند که به مرور زمان ایمیل‌ها و وب‌سایت‌های مشکوک را شناسایی کرده و جلوی فعالیت آن‌ها را بگیرند.

جدای از مطالب عنوان‌شده بالا باید گفت اگر تنظیمات نرم‌افزار امنیتی کامپیوتر شما روی حالت Maximum باشد می‌تواند جلوی فعالیت بسیاری از این بدافزارها را بگیرد؛ اما مشکل آن است که در این حالت کاربر در کار کردن با بسیاری از برنامه‌های بی‌خطر و عادی نیز دچار اشکال خواهد شد.

البته یک شرکت هم اعتراف کرد که اگر این بدافزار از منبع مشکوکی نیاید و با وب‌سایت‌هایی هم در تعامل باشد که در لیست سیاه نیستند، می‌تواند به‌راحتی به کار خود ادامه دهد و تا وقتی کاملاً شناسایی نشود هیچ نرم‌افزار امنیتی نمی‌تواند مانع فعالیت آن شود. اما فقط نرم‌افزارهای امنیتی نیستند که درصدد مقابله با دزدان اینترنتی برآمده‌اند، بلکه اخیراً خود بانک‌ها هم مجبور شده‌اند که وارد جنگ مستقیم با بدافزارهایی همچون Zeus شوند و در واقع جنگ بانک‌ها با مرد پنهان در مرورگر تازه شروع شده است.

یکی از مهم‌ترین و مؤثرترین راهکارهای بانک‌ها برای جلوگیری از در دام افتادن مشتریان، استفاده از Token ها یا Dongle ها است. البته کار کردن با این ابزارها هم سختی‌های خاص خود را دارد ازجمله اینکه مدام باید همراه ما باشند و روند Login کردن را هم طولانی و پیچیده‌تر می‌کنند. در هنگام Login کردن یا انجام هر پرداخت online این دستگاه‌ها کدهای رمز تصادفی برای مشتری تولید می‌کنند. بنابراین وقتی بدافزارهایی مثل Zeus در پشت‌صحنه شماره حساب و مبلغ را عوض می‌کنند، سایت بانک از آن‌ها یک کد جدید درخواست می‌کند و چون بدافزار الگوریتم تولید رمزهای تصادفی موجود در Token را ندارد، نمی‌تواند کد صحیح را ارائه نماید؛ اما اخیراً در آمریکا طرحی در دست است تا از طریق آن امنیت Online Banking از سطح فعلی بیشتر شود. یکی از راهکارهای اجرایی این طرح به‌کارگیری تلفن همراه مشتری برای بررسی و تائید معاملات است. مثلاً زمانی که می‌خواهید به‌صورت آنلاین به حسابی پول بریزید، زنگ تلفن همراه شما به صدا درمی‌آید و بانک تماس‌گیرنده مشخصات معامله را اطلاع می‌دهد و برای اطمینان از شما می‌خواهد کدی روی تلفن همراه خود وارد کنید که از طریق آن مشخصات معامله تأیید گردد. در چنین مواقعی اگر شخص دیگری بجای شما وارد حساب شده باشد، بلافاصله متوجه خواهید شد؛ اما به‌غیراز این تدابیر امنیتی علنی، بانک‌ها در پشت‌صحنه هم تدابیر امنیتی ویژه‌ای را بکار می‌برند. در این زمینه Philip Lieberman رئیس Lieberman Software (شرکتی که خدمات امنیتی به بانک‌ها ارائه کند) می‌گوید: «یکی از تدابیر ما آن است که هر چند وقت یک‌بار ظاهر سایت بانک را عوض می‌کنیم و این عمل جهت مبارزه با Zeus صورت می‌گیرد. Zeus بر اساس ظاهر و طراحی وب‌سایت بانک کار می‌کند و وقتی ظاهر سایت بانک را عوض می‌کنیم در واقع در کار Zeus اختلال ایجاد می‌کنیم و سازنده آن مجبور است برای طراحی جدید وب‌سایت بانک، نرم‌افزار خود را Update کند.»

Mark Baverman از مسئولین شورای نظارت بر پرداخت‌های بانک‌های بریتانیا (Uk Payment Council) در این زمینه اعتقاد دارد: «شناخت رفتار نرمال مشتری درزمینهٔ جلوگیری از سرقت‌های سایبری بسیار حیاتی است و بانک‌های مدرن امروزی تدابیر امنیتی ویژه‌ای را در پشت‌صحنه و در هنگامی‌که مشتری در حال کار کردن با حساب بانکی خود است، بکار می‌گیرند. در این زمینه ما در بریتانیا یک نرم‌افزار هوشمند داریم که تقلب و دزدی را ردیابی می‌کند. این نرم‌افزار به این صورت کار می‌کند که رفتار معمول مشتری را زمانی که به‌صورت Online با حساب خود کار می‌کند زیر نظر می‌گیرد و ثبت می‌کند. آنگاه هر اتفاقی که با رفتار ثبت شده معمول مشتری در گذشته مطابقت نداشته باشد و غیرمعمولی به نظر آید، توسط نرم‌افزار هشدار داده می‌شود. این رفتار غیرعادی می‌تواند یک شماره حساب یا یک مبلغ غیرمتعارف باشد که مشتری معمولاً استفاده نمی‌کند. یکی از کارهای که دزدان سایبری انجام می‌دهند آن است که وقتی اطلاعات حساب مشتری را بدست آوردند، اول یک مبلغ کوچک به یک حساب دولتی یا یک خیریه واریز می‌کنند تا از صحت اطلاعاتی که بدست آورده‌اند مطمئن شوند و این یکی از رفتارهایی است که نرم‌افزارهای امنیتی ما فوراً آن را تشخیص داده و گزارش می‌کنند.»

اما گزارش‌های حاکی از آن است که این بدافزارها می‌توانند قبل از آنکه کسی به آن‌ها مشکوک شود مقدار قابل‌توجهی پول از حساب‌های مشتریان سرقت کنند.

نسخه‌های جدید Zeus طوری طراحی‌شده‌اند که می‌توانند خیلی از این مراحل اضافه شده به فرآیند Login را دور بزنند. مثلاً می‌توانند با حربه‌هایی مشتری را فریب داده و شماره تلفن همراه او را بدست آوردند، سپس لینکی به گوشی مشتری ارسال می‌کنند و گوشی او را به ورژن موبایلی Zeus آلوده می‌کنند.

راه دیگر آن است که وقتی مشتری login می‌کند یک پیغام از طرف Zeus به او ارسال می‌شود و به او اطلاع می‌دهد که می‌خواهد سیستم جدید امنیتی سایت بانک را به مشتری آموزش دهد. بعد در بخشی از این به اصطلاح آموزش از مشتری می‌خواهد به یک حساب فرضی پولی بریزد و این معامله نه‌تنها فرضی و به‌قصد آموزش نیست، بلکه کاملاً واقعی است.

اما نکات مهمی وجود دارد که کاربران می‌توانند با توجه به آن‌ها پیش از به دام افتادن، خطر را تشخیص داده و به‌موقع جلوی سرقت‌های سایبری را بگیرند. در صورت وقوع هریک از حالات زیر شما احتمالاً در خطر هستید:

• اگر کارهای آنلاین بانکی مانند واریز پول به یک حساب بیش‌ازحد معمول طول کشید، حتماً در سایت اصلی بانک نیستید.
• اگر اطلاعاتی که از شما خواسته شد بیش‌ازحد معمول بود، مثلاً سایت Password و مشخصات کامل را از شما درخواست کرد (درصورتی‌که قبلاً فقط بخش‌هایی از آن‌ها را درخواست می‌کرد) احتمال می‌رود که سیستم شما آلوده شده باشد.
• در صورت مشکوک شدن به هر مورد به‌صورت حضوری یا تلفنی با بانک تماس بگیرند. مثلاً به‌محض اینکه احساس کردید اشکالی در کار وجود دارد، با بانک خود تماس بگیرید و زمان‌هایی را که در حساب آنلاین خود.

بوده‌اید به کارشناسان بانک گزارش کنید و اگر آن‌ها بررسی کردند و متوجه شدند زمان‌های اعلام شده از سوی شما با زمان‌های ثبت شده در سیستم بانک تطابق ندارد به‌احتمال بسیار زیاد، کامپیوتر شما به این بدافزارها آلوده شده است.

منبع: بانک صادرات