چطور با داشتن رمز پویا با حمله فیشینگ مواجه نشویم؟
استفاده از رمز دوم یکبارمصرف یا رمز پویا از اول دی ۱۳۹۸ اجباری شد؛ بااینحال، به مشتریان بانکی فرصتی داده شد که تاکنون هم ادامه دارد تا خریدهای اینترنتی کمتر از ۱۰۰ هزار تومان خود در روز را با رمز دوم ثابت انجام دهند. رمز پویا برای جلوگیری از انجام کلاهبرداریهای اینترنتی الزامی شد که بهگفتهی رئیس پلیس فتا ایران، جزو پنج «جرم برتر سایبری» و عامل شکلگیری یکسوم آنها در کشور است.
مقامهای مسئول در اجراییکردن رمز پویا ادعا میکردند که با آغاز این طرح، بهمرور سرقت اطلاعات بانکی به صفر میرسد. دلیل اطمینان زیاد به رمز پویا این است که رمز یکبارمصرف نوعی «احراز هویت چند عاملی» (MFA) محسوب میشود که تجربهی کارکردن با آن را هنگام استفاده از سرویسهای ایمیل و پیامرسانها داشتهایم. مایکروسافت میگوید استفاده از احراز هویت چندعاملی کاربران را ۹۹٫۹ درصد دربرابر حملات مصون میکند. گوگل هم ادعا میکند با استفاده از تأیید چندمرحلهای، میتوان از ۹۹ درصد حملات فیشینگ جلوگیری کرد.
طبق اعلام بانک مرکزی، افشای اطلاعات حساس کارت بانکی در اسفند ۱۳۹۸ درمقایسهبا ماههای پیش از اجراییشدن رمز پویا، درحدود ۹۰ درصد و فیشینگ درگاههای پرداخت تقریبا ۸۵ درصد کاهش یافته است. فیشینگ یکی از شیوههای مهندسی اجتماعی برای فریب کاربران برای بهدستآوردن اطلاعات آنها و انجام اعمال مجرمانه است.
پیش از اجراشدن رمز پویا، فیشینگ بدینصورت انجام میگرفت که اطلاعات کارت بانکی مانند شماره ۱۶ رقمی، CVV2، تاریخ انقضا و رمز ایستا برداشته یا هک میشد. با اجباریشدن رمز پویا، دیگر اهمیت چندانی ندارد که این اطلاعات دردسترس دیگران قرار بگیرد و این مورد هم از مزایای رمز پویا محسوب میشود؛ چراکه احتمال دزدیدهشدن یا گرفتن کپی از کارت بانکی، احتمال دزدیدن اطلاعات را بسیار افزایش میدهد. این شیوهی کلاهبرداری اکنون کمرنگ شده؛ اما افراد سودجو هم بیکار نماندهاند. کلاهبرداران با اجراییشدن رمز پویا، اکنون بهسراغ راههایی میروند که در ناآگاهی یا دقتنکردن مشتریان بانکی ریشه دارد. آیا اساسا وقوع فیشینگ با استفاده از رمز پویا ممکن است؟ پاسخ مثبت است؛ اما چگونه؟
جعل درگاه پرداخت
با اجراییشدن رمز پویا، تمام انرژی کلاهبرداران صرف کشاندن کاربر به درگاه بانکی جعلی میشود
با اجراییشدن رمز پویا جعل درگاه پرداخت، تنها شیوهی عمدهی فیشینگ حساب بانکی کاربران محسوب میشود. تمام انرژی کلاهبرداران صرف کشاندن کاربر به درگاه بانکی جعلی میشود. این کار ممکن است ازطریق ارسال پیامک (تبلیغاتی یا غیرتبلیغاتی)، ایمیل، استوری یا پست در شبکههای اجتماعی مجازی، پیشنهادهای وسوسهانگیز در پیامرسانها و وبسایتها مانند ثبتنام اینترنتی، خرید نرمافزار یا اپلیکیشن، ویپیان، سهام عدالت و... انجام شود.
ازجمله موارد مشکوکی که در ماه اخیر اعتراضهای زیادی متوجه آنها شد، فیشینگ ازطریق دیوار و سامانه همتا بود. دیوار در همین زمینه میگوید کاربران به پیامهای جعلی از شمارههای ناشناس درزمینهی واریز پول اعتماد نکنند. دیوار در رشتهتوییتی اطلاع داده است که بلافاصله پس از درخواست ثبت آگهی، پیامکی از سرشمارههای رسمی دیوار ارسال میشود که در متن آن هشدار میدهد: «به هرگونه پیامک مبنیبر پرداخت وجه اعتماد نکنید.» کاربران در صورت دریافت چنین پیامکی، باید موضوع را با شمارهتلفن ۴۳۰۰۰۳۰۰ به پشتیبانی دیوار اطلاع دهند تا شمارهتلفن و لینک بهسرعت فیلتر شود.
سامانهی همتا که درزمینهی انجام فرایندهای فعالسازی تلفنهمراه ایجاد شده، اطلاع داده است که تمام مراحل و بخشهای سامانه به نشانی hamta.ntsw.ir رایگان است و ثبتنام و استعلام از آن نیازمند پرداخت هیچ مبلغی نیست. بنابراین، هنگام خریدوفروش گوشی تلفنهمراه نباید به درخواست افرادی اعتنا کرد که برای کار با سامانه یا عضویت در آن درخواست مبلغی پول میکنند.
پیش از اجراییشدن رمز پویا هم از روش جعل صفحه پرداخت استفاده میشد؛ اما اکنون تعداد صفحات جعلی درگاههای بانکی کشور بهشدت افزایش پیدا کرده است؛ بهطوریکه حتی شاید وبسایت جعلی بالاتر از وبسایت اصلی بانک در نتایج جستوجوگر قرار بگیرد. بااینحال راههایی برای شناسایی درگاههای جعلی وجود دارد که در بخش بعدی مقاله به آنها اشاره میکنیم. پیشازاین، باید بدانیم چگونه میتوان پیامهای جعلی بهمنظور فیشینگ را تشخیص داد؟
- به پیام و درخواستهای مشکوک بهویژه از خطوط شخصی اعتنا نکنید؛
- هنگام دریافت پیامک به سرشماره ارسالشده توجه کنید؛
- بانکها برای ثبتنام بهصورت پیامکی بههیچوجه درخواست اطلاعات بانکی نمیکنند؛
- وبسایتها و شرکتهای معتبر برای تکمیل اطلاعات یا ارسال موارد مهم از ایمیل استفاده نمیکنند و در ایمیل فقط به ابراز هشدار اکتفا میکنند.
اپلیکیشنهای جعلی رمز پویا
یکی دیگر از روشهای فیشینگ حساب بانکی کاربران، استفاده از اپلیکیشنهای جعلی رمزساز محسوب میشود که با وجود هشدارهای فراوان، هنوزهم برخی افراد آنها را نصب میکنند. ممکن است نصب اپلیکیشن رمزساز ازطریق برخی وبسایتهای متفرقه یا شبکههای اجتماعی یا کانالهای تلگرامی دردسترس باشد. علاوهبراینکه همواره باید اپلیکیشنهای موردنیاز را از منابع معتبر و رسمی دریافت کنید، برای نصب و فعالسازی رمزساز رمز پویا هم باید به سایت رسمی بانک صادرکنندهی کارت خود مراجعه کنید.
خلأهای موجود در اجراییکردن رمز پویا
کوروش قربانی، متخصص امنیت، در گفتوگو با زومیت از روشهای فیشینگ پس از اجراییشدن رمز پویا میگوید. بهگفتهی قربانی، مهاجم با نصب سامانهی فیشینگ روی سرور، فرایند را برای اعمال مجرمانهی خود خودکار میکند. کاربر در صفحهی جعلی درگاه بانک اطلاعات کارت خود را وارد میکند و هکر که در پسزمینهی این صفحه در کمین نشسته است، با استفاده از اطلاعات کاربر درخواست رمز پویا را برای بانک ارسال میکند. بدینترتیب، قربانی در درگاه جعلی عملیات بانکی انجام میدهد و حساب او خالی میشود. کلاهبردار اکنون متفاوت از قبل، از API بانک (رابط برنامهنویسی یا توسعهی نرمافزار) برای ارسال پیامک استفاده میکند. قربانی میگوید رمز پویا تا زمانی امن بود که پیامک آن در کار نبود.
فیشینگ در مبالغ اندک بار قانونی کلاهبرداریهای کمتر از ۱۰۰ هزار تومان را از بین برده است
هک یا دورزدن رمز پویا به این سادگی میسر نیست؛ مگر با نصب عمدی برنامهای روی گوشی فرد مدنظر که بتواند پیامک ارسالی را بخواند یا هش، برنامهی توکنساز بانک را کپی کند (هش، دادههای ورودی را به خروجی رمزگذاریشده تبدیل میکند). بااینحال، مشکلاتی در درگاهها وجود دارد که ممکن است به برداشت پول بیشتری درمقایسهبا درخواست خرید کاربر منجر شود. پیننشدن گزینهی ارسال پیامک به درخواست خرید کاربر در برخی درگاههای بانکی یکی از این مشکلات است. قربانی میگوید مشخص نیست آیا این موضوع اجرایی شده است یا بهعنوان پروتکل در سیستم بانکی مطرح شده یا تمام بانکها میتوانند آن را اجرا کنند یا خیر. بااینحال درصورت پینشدن دکمهی ارسال پیامک رمز پویا به درخواست خرید کاربر، رمز دوم فقط برای یک درخواست خرید معتبر است و کلاهبردار نمیتواند مبلغ بیشتری برداشت کند.
با پیننشدن گزینهی ارسال پیامک رمز پویا مشخص نمیشود که رمز ساختهشده از طرف بانک است یا نرمافزار دیگری. بهگفتهی کوروش قربانی، اگر اطلاعات کارت قبل از اجراییشدن رمز پویا اشتباه وارد میشد، تعداد کمی از این صفحهها میتوانستند وضعیت کارت و درست بودن یا نبودن اطلاعات آن را تشخیص دهند؛ اما اکنون API بهصورت مستقیم این تشخیص را انجام میدهد. بدون درنظرگرفتن مشکل موجود سیستم بانکی، برنامههایی مانند آپ نیز APIهایی برای ارتباط بین برنامه و سرور دارند که بهصورت خصوصی و مخفی برای خود برنامه است و ازطریق مهندسی معکوس اطلاعات آن فاش میشود.
مشکل دیگری که در اجراییکردن رمز پویا پیش آمد، تعیین سقفی برای استفاده از رمز ثابت بود. طبق اعلام قربانی، از این طریق تنها حجم دزدی بیشتر شده؛ اما ارزش پولی آن کمتر است. مشکل اینجا است که ارزش مالی اندک بار قانونی این دسته کلاهبرداریها را چه برای قانونگذار و چه شاکی از بین میبرد. علاوهبراین، بانک و قانونگذار هیچکدام مسئولیت مشکلات رمز پویا را نمیپذیرند؛ درحالیکه بهگفتهی قربانی، راه مؤثر جلوگیری از کلاهبرداری اینترنتی مطمئنا از سمت کاربر نیست.
چگونه وبسایتهای جعلی را تشخیص دهیم؟
آدرس جعلی درگاههای بانکی بسیار شبیه به آدرس وبسایت اصلی است. این آدرس ممکن است تنها یک حرف با آدرس اصلی تفاوت یا فقط دامنهی متفاوتی داشته باشد. فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس استفاده میکنند تا قربانی به نادرستی آدرس شک نبرد. درادامه، روشهایی برای شناسایی وبسایتهای جعلی معرفی میکنیم:
- همهی درگاههای بانکی واقعی به Shaparak.ir ختم میشوند؛
- ترتیب شمارهها در صفحهکلید مجازی با رفرشکردن صفحه باید تغییر کند؛ درغیراینصورت وارد صفحهی درگاه تقلبی شدهاید؛
- از درگاههای بانکیای استفاده کنید که در آن رمزگذاری SSL نصب شده است. توجه کنید اصلا برای خرید آنلاین نباید از شیوهی انتقال پول کارتبهکارت بهره ببرید. برای خرید از هر وبسایت معتبری باید از درگاه پرداخت استفاده کنید؛ زیرا هیچ فروشگاه اینترنتی معتبری برای انتقال مبلغ خرید از کارت شخصی خود استفاده نمیکند. بنابراین، برای افزایش اطمینان از وبسایتی خرید خود را انجام دهید که درگاه های بانکی آن با استفاده از پروتکلهای امن SSL ارتباط شما را با بانک مدنظر برقرار میکنند. برای پیبردن به این موضوع، سایت باید با //:https شروع شده باشد. آدرس سایتها و درگاههای اصلی که با آدرس اینترنتی https آغاز میشوند، درصورت نداشتن S نامطمئن محسوب میشوند. از وجود علامت قفل در بخش نوار آدرس مرورگر خود نیز باید مطمئن شوید؛
- سایتهای معتبر داخلی نشان «اینماد» دارند که در پایگاه داده آنها نیز ثبت شده است. وبسایتهای طراحیشدهی هکرها معمولا اجناس را با قیمتهای ارزانتر میفروشند؛ پس بهسادگی به هیچ وبسایتی اطمینان نکنید.
توصیهها
- اپلیکیشنهای بانکی امنتر از اینترنتبانک هستند؛ چراکه فیشینگ نام کاربری و رمزعبور اینترنتبانک امکانپذیر است. فیشر با هک این اطلاعات میتواند بسته به قابلیتهای پورتال بانکی مدنظر، از حساب کاربر سوءاستفاده یا حتی برداشت نقدی کند؛
- برای خریدهای با مبالغ کمتر، حساب جداگانهای با موجودی اندک داشته باشید؛
- هنگام خرید از صفحهکلید مجازی استفاده کنید؛
- شبکه وایفای عمومی و رایگان میتواند به اطلاعات کاربری شما دست پیدا کند. تاحدممکن در زمان استفاده از وایفای عمومی، در وبسایتهای حساسی مانند درگاه بانکی فعالیت نکنید؛
- با جستوجوی نام صفحه بانکی در سایت enamad.ir میتوانید سایت جعلی را تشخیص دهید؛
- با نصب افزونهی (Extension) ضدفیشینگ روی مرورگر و اتصال به درگاه پرداخت درصورت اصلبودن، پیامی بر این مبنی روی نمایشگر نمایش داده و درصورت جعلیبودن، پیام هشدار برایتان ارسال میشود (مانند افزونه Shaparak Verifier)؛
- از نرمافزارهای ضد هک و فیشینگ استفاده کنید. برنامههایی مانند کومودو با فایروال قوی خود مانع هکشدن میشوند. با شناختن برخی وبسایتهای معروف فیشینگ میتوان متوجه وبسایتهای معتبر شد. Safe Browsing یکی از سرویسهای بلکلیست معروف ارائهشدهی گوگل است. ابزارهایی مثل Phishing Protection از شرکت SysCloud بیشترین سطح محافظت را دربرابر تمام انواع حملات جعل بهارمغان میآورند. بیتدیفندر نیز آنتیویروس قدرتمندی محسوب میشود که آنتیفیشینگ و آنتیفراد (ضدکلاهبرداری) است. نسخهی رایگان این ضدویروس را میتوانید از این لینک دریافت کنید؛
- مرورگر سیستم خود را بهطور مرتب بهروزرسانی کنید. استفاده از مرورگر بهروز مانند لایهی امنیتی اضافهای دربرابر حملات فیشینگ عمل میکند.
نظرات