فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش میکنند به اطلاعات بانکی شما از طریق روش های متنوع مهندسی اجتماعی (Social Engineering) که در حوزه فیشینگ مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل های ربات های تلگرام و انواع روش های جدیدی که انتظار آن نمی رود، دست یابد.
برخی از معروفترین روشهای فیشینگ عبارت اند از:
فیشینگ با ایمیلهای فریبنده
در این روش از حملههای فیشینگ، شخص کلاهبردار با ارسال ایمیلهای فریبنده به قربانیانش میکوشد با بیان دلایل مجاب کننده مخاطبان را به وارد کردن اطلاعات بانکی خود وادار کند.
مهدی عبادی، کارشناس فینتک و پرداخت الکترونیکی در این باره، گفت: معمولاً این اتفاقات در روزهای تعطیلی میافتد، یعنی زمانی که مردم دسترسی لازم برای پیگیری ندارند. وی با اشاره به فعالسازی رمز دوم یکبار مصرف برای تمامی کارتهای بانکی در آیندهای نزدیک گفت: این امکان ما را امیدوار میکند که سوءاستفاده از اطلاعات بانکی، کمتر شود. هکرها با توجه به فعالسازی رمز دوم پویا در آینده نزدیک، دیگر امکان سوءاستفاده از این اطلاعات را ندارند و به همین دلیل در فرصتی که باقی مانده، تمام تلاششان را میکنند.
علت سوءاستفاده از اطلاعات بانکی چیست؟
این کارشناس حوزه پرداخت، علت اصلی را در تراکنش کارت به کارت دانست و گفت: در تراکنشی مانند کارت به کارت، مشکلاتی وجود دارد که امنیت پرداختها را تحت تأثیر قرار میدهد. کارت به کارت، تراکنش استانداردی نیست. ما یک حساب بانکی داریم که به روشهای مختلفی میتوان به آن دسترسی پیدا کرد. خدمات داخل شعب، اجازه برداشت به شخص دیگر یا Direct Debit و همچنین ACH که معادل آن در ایران، ساتنا و پایا است، از راههای دسترسی به حساب بانکی هستند.
فیشینگ تلفنی
هکرها در این روش از طریق تلفن با طعمه های خود ارتباط برقرار میکنند و ضمن اینکه خود را نماینده بانک، شرکت معتبر و یا سازمانی که شما میشناسید معرفی میکنند از شما می خواهند جهت دریافت جایزه خود اطلاعات بانکی خود را در اختیار ایشان قرار دهید. یا در روشی دیگر، با ارسال پیامک به شماره همراه شما، اعلام می کنند که حساب بانکی شما دچار مشکل شده است و شما را به زنگ زدن به شماره تماسی جعلی (سرویس تلفن اینترنتی) سوق می دهند و در ادامه از شما شماره حساب و رمز کارت و یا حتی رمز دوم را می خواهند.
وی ادامه داد: این سازوکارهای انتقال وجه، تأخیرهایی را دارند که خطا را پوشش میدهد. در دنیا ابزار کارت، بهصورت کلی، صرفاً برای تراکنشهای دستگاههای کارتخوان یا آنلاین استفاده میشود و ابزار امنی برای انتقال وجه نیست. با این حال، ما در ایران از یک ابزار ناامن به ناامنترین شکل آن استفاده میکنیم. در دنیا، کارتهای چیپدار وجود دارد که امنیت بالاتری دارند، ولی ما از کارت مغناطیسی استفاده میکنیم که امنیت بالایی ندارد. حال ما روی این ابزار ناامن، رمز دوم را هم پیاده کردیم که در دنیا به این صورت وجود ندارد.
چرا کارت خارجیها هک نمیشود؟
این کارشناس حوزه پرداخت درباره تفاوت استفاده از کارت در ایران و سایر کشورها گفت: در دنیا، حسابهای بانکی متفاوتی وجود دارد و پول، در حسابی است که به هیچ کارتی متصل نیست. افراد، بخش کمی از پول مورد نیاز را با سازوکارهای دیگری که در اختیار دارند، به حساب متصل به کارت، منتقل میکنند. در خرید آنلاین هم سازوکاری شبیه به رمز دوم پویا دارند. به همین دلیل، در کشورهای دیگر، چنین اتفاقاتی را نداریم.
وی در همین رابطه اظهار کرد: در دنیا وقتی خریدی در فروشگاه انجام میشود یا پولی منتقل میشود، این پول بین ۴۸ تا ۷۲ ساعت بعد، به مقصد میرسد. در مدت تنفسی که در این بین وجود دارد، تمام امور مربوط به تقلب، تخلف و پولشویی، بررسی میشود. یعنی فرصتی وجود دارد که اگر تراکنشی مشکوک است، یا پولی در حال شسته شدن است، کشف شود. ما نهتنها این سازوکارهای تشخیصی را نداریم، بلکه این تأخیر را نیز از بین بردهایم.
اپلیکیشنهای پرداخت مقصرند؟
وی به استانداردهای امنیتی اشاره کرد و گفت: در دنیا گفته میشود استانداردهای امنیتی مانند PCI در زمینه اپلیکیشنها وجود دارد که بر اساس آن، حتی برنامهنویس یک اپلیکیشن خاص هم نباید امکان سوءاستفاده از آن را داشته باشد و سازوکارهای امنیتی برای آن وجود دارد. اما در ایران، در حالت کنونی، برنامهنویسهای تمام اپلیکیشنها و تمام بانکهایی که سرویس کارت به کارت دارند، میتوانند بهراحتی به اطلاعات بانکی افراد، دسترسی پیدا کنند. با این حال، اتفاقات کنونی، از این نقطه شروع نشدهاند و از سمت برنامهنویسها و شرکتهای حوزه پرداخت، درز اطلاعاتی نداشتیم.
چرا به کارتهای بانکی حمله شد؟
بعد از این توضیحات، دلیل اتفاقات اخیر را از این کارشناس حوزه پرداخت، جویا شدیم. عبادی به توجه نکردن به سازوکارهای امنیتی در خرید، اشاره کرد و گفت: بعضی از افراد در فضای آنلاین، در هر صفحهای پرداخت انجام میدهند. موردی که باید از آن در هنگام پرداخت آنلاین مطمئن شویم این است که shaparak.ir در آدرس وبسایت وجود داشته باشد. در غیر این صورت، آن آدرس برای پرداخت، امن نیست. اما اکثراً نسبت به این موضع توجه نمیکنند و اطلاعات کارت خود را در یک فضای ناامن وارد میکنند.
بیشتر بخوانید:
وی ادامه داد: در گذشته که کارت به کارت وجود نداشت چه اتفاقی میافتاد؟ چرا حملات فیشینگ بیشتر شده؟ در گذشته، در یک حمله فیشینگ یا ساخت صفحه جعلی بانک، هکر اطلاعات کارت را برمیداشت و حداکثر کاری که میتوانست انجام دهد این بود که مثلاً مقداری شارژ موبایل بخرد و آن را به قیمت پایینتری بفروشد. در این حالت، حداکثر مبلغ یک یا دو میلیون تومان و از ۱۰ عدد کارت بانکی، قابل برداشت بود.
عبادی با توضیح درباره شرایط فعلی گفت: الان با توجه به اینکه اپلیکیشنهای کارت به کارت رایج شدهاند، هکر، عملیات فیشینگ را روی مثلاً ۵۰۰ کارت انجام میدهد، ولی هیچ برداشتی از مبالغ آن نمیکند. سپس در یک شب که معمولاً بعد از چند روز تعطیلی است و امکان پیگیری وجود ندارد، موجودی کارتها را از روشهای مختلف، به حساب خودش کارت به کارت میکند.
وی یکی از روشهای هکرها برای سوءاستفاده از اطلاعات کارتها بانکی را برایمان شرح داد و گفت: باندی خارج از ایران وجود دارد که فیشینگ میکنند، بلیت هواپیما از وبسایتهای بلیتفروشی ایرانی، با مبدأ و مقصد خارج از ایران میخرند و این بلیتها را یا خودشان استفاده میکنند یا میفروشند. بستری که موجب این اتفاق شده، عملیات ناامن و غیراستاندارد کارت به کارت است.
چرا کارت به کارت امن نیست؟
عبادی درباره دلایل ناامنی عملیات کارت به کارت با استفاده از روشهای فعلی گفت: ما پیش از این، عملیات کارت به کارت را در اپلیکیشنهای بانکی و اینترنت بانکها داشتیم، ولی مسئلهای وجود نداشت، زیرا وقتی وارد سیستم میشدیم، فقط کارتهای خودمان را نشان میداد و ما نمیتوانستیم کارت فرد دیگری را بهعنوان کارت مبدأ وارد کنیم و تراکنش انجام دهیم. برای حل این مسئله، اپلیکیشنها میتوانند با توجه به ثبتنام با شماره موبایل یا کد ملی، فهرست کارتهای فرد را نشان دهند و فرد فقط بتواند کارتهای خودش را بهعنوان کارت مبدأ، انتخاب کند.
وی با اشاره به مسئله یکی از بانکها گفت: کارت به کارت باید محدودیتهایی داشته باشد. الان یک محدودیت سه میلیون تومانی در کارت به کارت داریم، ولی برخی از بانکها هستند که این مورد را رعایت نمیکنند. از اپلیکیشن میتوان سه میلیون تومان انتقال داد و از وبسایت بانک هم، همین مقدار را منتقل کرد. خیلی از فیشینگهایی که در این بانک اتفاق میافتد، با استفاده از همین صفحه اینترنتی بانک، انجام میشود.
عبادی با اشاره به استانداردهای جهانی در حوزه پرداخت گفت: ما هر جا از استانداردهای دنیا فاصله گرفتیم، دچار مسئله شدیم. در دنیا سازوکار پرداخت سریع، با روشهای مدیریت ریسک و مبلغ انجام میشود و انتقال سریع، فقط در دسترس کاربران کمریسک است. اما در ایران، بانکها و شرکتهای پرداخت، با اهداف اقتصادی و در اختیار گرفتن سهم بازار، روشهای غیر استاندارد را توسعه میدهند و این مسائل را بهوجود میآورند. در این بین، این مردم، استارتآپها و فینتکها هستند که از مسائل بهوجود آمده، آسیب میبینند.
چگونه از کارتهایمان محافظت کنیم؟
در پایان، از این کارشناس حوزه پرداخت خواستیم تا روشهایی برای جلوگیری از مورد سوءاستفاده قرار گرفتن اطلاعات کارت بانکی را به ما آموزش دهد. عبادی قبل از هر چیز، توجهمان را به وبسایتهای پرداخت آنلاین جلب کرد و گفت: باید دقت کنیم در جایی اطلاعات کارت را وارد کنیم که آدرس آن shaparak.ir باشد.
وی درباره استفاده هوشمندانه از خدمات بانکی گفت: بهتر است در حساب متصل به کارتمان، مبلغ زیادی نداشته باشیم و در عوض، دو حساب در بانک داشته باشیم؛ یک حساب، متصل به کارت و یک حساب، غیر متصل به کارت باشد. اپلیکیشن بانک را هم روی تلفن همراهمان داشته باشیم و هر زمان که پول لازم داریم، مبلغی را با اپلیکیشن به حساب متصل به کارت، منتقل کنیم.
عبادی امنترین روش انتقال پول را روش پایا و ساتنا دانست و گفت: به یاد داشته باشیم، سرعت گرفتن در همه چیز، لزوماً خوب نیست. بهتر است رمز دوم برای همه کارتهایمان فعال نباشد، اما اگر از رمز دوم استفاده میکنیم، رمز دوم پویا را فعال کنیم. امیدواری زیادی وجود دارد که رمز دوم پویا، بخشی از این مسائل را حل کند. دلیل اینکه این روزها حملات فیشینگ بیشتر شده، این است که هکرها میدانند با فعال شده رمز دوم پویا، امکان سوءاستفاده کمتر خواهد شد.
عبادی در پایان یادآوری کرد که رمز کارت بانکیمان را در فروشگاه فریاد نزنیم؛ حتی اگر فروشنده اجازه ورود رمز را به خودمان نمیدهد. وی گفت: این دعوایی بین مردم و فروشندههاست که مردم باید پیروز آن باشند.
روش های مقابله
بهترین روش مقابله با این نوع از حملههای فیشینگ دقت به URL درگاه پرداخت است.استفاده از سیستمهای انتقال وجه معتبر مانند پیپینگ هم میتواند مفید باشد. هر کدام از سایتهای بانکها از آدرس مشخصی برای درگاه پرداخت خود استفاده میکنند هر آدرس دیگری میتواند نشانه یک حمله فیشینگ باشد.
با الگوریتم هوشمند پی پینگ که توانست جلوی 30 میلیارد ریال کلاهبرداری اینترنتی را بگیرد، آشنا شوید.
درگاههای پرداخت بانکها از کدهای امنیتی باضریب اطمینان بالا استفاده میکنند و اغلب در آدرس سایت عبارت https:// قابل مشاهده خواهد بود.
یکی از بهترین راه ها برای دستیابی به صفحات وب، نوشتن آدرس آن به طور مستقیم در مرورگر است. یک ایمیل یا پیامک کلاهبرداری، این امکان را دارد که ادعا داشتن اعتبار لازم را داشته و از بانک ، شرکت و یا مؤسسه معتبری ارسال شده باشد. هنگامی که شما روی لینکی که برای شما ارسال شده کلیک کنید با سایتی مشابه با سایت واقعی و به ظاهر معتبر مواجه میشوید که با پر کردن اطلاعات خود در آن، امکان به سرقت رفتن اطلاعاتتان را فراهم می کنید. برای جلوگیری از این اتفاق همیشه دنبال منابع معتبر بروید و در صورت دریافت ایمیلی با مقدمه های وسوسه بر انگیز، به جای بازگشایی بلافاصله آن به آدرس اصلی سایت مطرح شده را در مرورگر خود وارد کنید. سعی کنید امنیت اکانت ایمیل خود را افزایش دهید.
استفاده از رمز یکبار مصرف را جدی بگیرید؛ این رمز یکبار مصرف ها با اعتباری که در زمان کم دارند، باعث جلوگیری از به سرقت رفتن اطلاعات شما می شود.
فرستنده یا فرستادهی غیر معمول؛ اگر پیامک یا ایمیلی از شخص ناشناسی که دارای لینکی که برای دریافت جایزه یا قرعه کشی بود و حتی اگر این پیام از طرف شخصی بود که او را می شناختید، به هیچ وجه بر روی آن لینک کلیک نکنید.
هدایت به دامنهی فیشینگ به جای سایت واقعی؛ همانطور که در قسمت های بالا هم گفته شد، همیشه قبل از انجام تراکنش آدرس URL درگاه پرداخت را حتما بررسی کنید.
برای اکانت های مالی خود صورت حساب تهیه کنید؛ به طور ماهانه این صورت حساب ها را بررسی کنید تا از صورت گرفتن تمام تراکنش هایتان با آگاهی کامل اطمینان حاصل کنید. حال حاضر با توجه به مشغله های روزمره این کمی ممکن است کمی حوصله بر باشد ولی با استفاده از فاکتور آنلاین می توان به این فرایند سرعت بخشید.