امنیت

فناوری اطلاعات

March 4, 2018
18:17 یکشنبه، 13ام اسفندماه 1396
کد خبر: 88456

شبکه بانکی و پرداخت کشور چقدر امن است؟

انتشار اخباری درباره دستبرد یک سارق اینترنتی به اطلاعات بانکی برخی شهروندان، بهانه‌ای شد برای زیر سؤال بردن شاخص‌های امنیت سایبری سایت‌های بانکی و درگاه‌ها و اپلیکیشن‌های پرداخت الکترونیک توسط برخی؛ موضوعی که نه تنها صحیح نیست بلکه در صورت تکرار به سلب آرامش مشتریان بانک‌ها هم می‌انجامد.
هفته گذشته یک سارق اینترنتی از طریق کانال‌های تلگرامی اقدام به افشای اطلاعات کارت بانکی تعدادی از شهروندان کرد. بررسی‌های فنی نشان ‌می‌دهد این سارق با ایجاد صفحه جعلی پرداخت اینترنتی و فریب قربانیان، آنان را به استفاده از این صفحه جعلی و وارد کردن اطلاعات کارت بانکی ترغیب کرده است. این نوع کلاهبرداری که در اصطلاح فنی،"فیشینگ" نام دارد، یکی از رایج‌ترین روش‌های سرقت اطلاعات در اینترنت بشمار می‌آید و نمونه‌های فراوانی در داخل و خارج از کشور دارد.
فیشینگ مبتنی بر جعل و فریب است. جعل به این معنا که سارق، ابتدا صفحه‌ای را که هیچ ارتباطی با درگاه‌های رسمی پرداخت قانونی ندارد، ایجاد و در اینترنت منتشر می‌کند. سپس با فریب و اغوای قربانیان، آن‌ها را به این صفحه جعلی هدایت کرده تا فرد قربانی اطلاعات کارت بانکی خود را در آن وارد کند. نکته مهم برای مقابله با این شیوه دستبرد به اطلاعات بانکی مردم، آگاهی کاربران از شیوه‌های امن و درست استفاده از ابزارهای پرداخت الکترونیک است. به همین خاطر در کشور ما نیز مانند همه کشورهای جهان، تلاش‌های فراوانی از سوی نهادهای مسئول برای آموزش مردم و ارتقای سواد دیجیتالی جامعه در این حوزه صورت گرفته و می‌گیرد.
متأسفانه با وجود اقدامات گسترده شبکه پرداخت کشور در حوزه فنی و استانداردها و ممیزی های سختگیرانه آن و نیز فرهنگ‌سازی و اطلاع‌رسانی نهادهای قانونی از جمله پلیس فتا، هنوز برخی از شهروندان در مواجهه با این صفحات جعلی براحتی فریب می‌خورند که بخشی از آن معضلی جهانی است؛ طبق آمارهای رسمی سالانه میلیون ها کاربر بزرگترین وب‌سایت‌های جهان و سامانه‌های مالی نیز قربانی حملات فیشینگ می‎شوند. این آمار در حوزه‌های مالی جهانی به علت جذابیت بیشتر آن برای مجرمان، بسیار بالا است.
شیوع بروز چنین رخدادهایی، بسیاری از نهادهای مسئول را به تدوین دستورالعمل‌های اجرایی برای مواقع کشف فیشینگ واداشته ‌است. این دستورالعمل‌ها شامل مراحل انجام اقدامات لازم برای جلوگیری از گسترش دامنه سرقت اطلاعات، از ابطال اطلاعات به سرقت رفته در صفحات جعلی اینترنتی تا اطلاع رسانی و کشف و پیگیری مسدودی این صفحات جعلی است. هر یک از دستگاه‌های مرتبط بر اساس این دستورالعمل‌ها موظفند هنگام بروز فیشینگ، اقدامات لازم را انجام دهند. از جمله نهادهایی که در این مواقع باید به کمک فریب‌خوردگان و دستگاه‌های مسئول بیایند، رسانه‌ها هستند. رسانه‌ها باید با اطلاع‌رسانی به‌موقع و دقیق بدون ایجاد هراس در شهروندان به کمک عملیات خنثی‌سازی بیایند.
در کشور ما متأسفانه هنوز چنین دستورالعمل‌هایی در برخی سطوح تدوین یا ابلاغ نشده‌است بنابراین خیلی جای تعجب نیست که در مواقع بروز اتفاقاتی از قبیل فیشینگ دچار ناهماهنگی می‌شویم که بعضا به سارقان کمک می‌کند.
گذشته از این با کمال تأسف مشاهده‌ می‌کنیم که در برخی مواقع از جمله در مورد اخیر، وقوع یک فقره فیشینگ دستمایه تسویه‌ حساب‌های تجاری با شبکه بانکی و پرداخت شده و از آن بدتر امنیت سایبری کشور ضعیف نشان داده می‌شود.
نمونه برخی از این‌گونه اظهارنظرها را می‌توان هنگامی مشاهده کرد که وقوع یک رخداد فیشینگ نشانه‌ای بر ابطال نظریه قدرت سایبری کشور دانسته شده‌است!
این قبیل تحلیل‌ها در حالی است که به عنوان نمونه در فیشینگ اخیر، بانک ‌مرکزی و نهادهای زیرمجموعه آن در عمل به وظایف خود در صیانت از حقوق مردم از اولین لحظات دریافت گزارش کلاهبرداری، ضمن همکاری نزدیک با دیگر نهادهای قانونی، اقدامات لازم را در راستای محدود کردن ابعاد رخداد، پیشگیری سوءاستفاده های احتمالی دیگر افراد کلاهبردار، اطلاع‌رسانی و آموزش مجدد به شهروندان و دیگر اقدامات موثر انجام داده‌اند.
 
با این حال اما برخی با قلب واقعیت، سعی می‌کنند از آب گل‌آلود ماهی بگیرند و در روزهای پایان سال موجبات نگرانی و تشویش اذهان شهروندان را فراهم آورند. ادعاهایی از قبیل وجود فیشینگ گسترده روی درگاه‌های شاپرک، یا تکرار ادعای کذب مجرم فیشینگ اخیر در خصوص یکی از شرکت های پرداخت از یک طرف و مرتبط کردن این ادعاهای کذب با بحث امنیت بسترUSSD از طرف دیگر در این مقطع زمانی، شگفتی هر کارشناس منصف و مطلعی را بر می‌انگیزد، چرا که سرقت یاد شده اساساً خارج از سامانه‌های شبکه پرداخت کشور انجام شده و هرگونه ادعایی در خصوص سوءاستفاده از درگاه‌های مجاز و رسمی پرداخت کشور، نشان‌دهنده عدم اطلاع مدعی از جزئیات این رخداد و نیز ویژگی‌های فنی حملات فیشینگ است.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.