در کوین سرا از جدیدترین و داغ ترین اخبار و مطالب دنیای ارزهای رمزپایه مطلع می شوید .

رمز دوم یکبار مصرف تنها راهکار کاهش کلاهبرداری های فیشینگ

0 12,771

مدیران بخش امنیت شبکه بانکی در خصوص راهکار کاهش فیشینگ در کشور معتقدند که اجرایی شدن رمز دوم یکبار مصرف و تسویه ۴۸ ساعته پرداخت‌های غیر حضوری می‌تواند کلاهبرداری‌های فیشینگ را به صورت گسترده کاهش دهد.

بر اساس آمار اعلام شده از سوی پلیس فتا، کلاهبرداری فیشینگ (Phishing) و سرقت اطلاعات کارت بانکی برای برداشت غیر مجاز بخش مهمی از کلاهبرداری‌های سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ، به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداری‌ها در حال افزایش است. این در حالی است که کلاهبرداری فیشینگ در تمام نقاط جهان وجود دارد و همواره درصد آن به صفر نرسیده اما رگولاتورها با همکاری بازیگران صنعت بانکی و پرداخت برای ایجاد زیرساخت و در عین حال با افزایش آگاهی شهروندان تواسنته‌اند میزان این کلاهبرداری را کاهش داده و کنترل کنند؛ با توجه به این که میزان کلاهبرداری‌های آنلاین از جمله فیشینگ در کشور به مرز هشدار رسیده، این موضوع اهمیت بسیاری پیدا کرده است؛ در همین راستا میزگردی با عنوان “فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری” با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاست‌گذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار گردید که بخش اول آن منتشر شد و در ادامه به بخش دوم این میزگرد و راهکارهای کارشناسان برای شناسایی و کنترل کلاهبرداری‌های آنلاین و فیشینگ می‌پردازیم:

آیت در این راستا گفت:

طیف راهکارهای که برای کنترل فیشینگ ارائه می‌شود از بررسی حملات، ارائه آموزش و پیاده‌سازی الزامات امنیتی در درگاه‌های پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاه‌ترین زمان ممکن است. به عنوان نمونه گوگل سرویسی با عنوان مرور امن (safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود می‌شود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت می‌شود از این طریق شناسایی و محدود می‌شود. ازاین‌رو باید یک نگاه همه‌جانبه به این موضوع داشت و تنها فعالیت‌ها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیت‌های جدی بر روی شناسایی سایت‌های جعلی، تجهیز درگاه‌های بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن داده‌های مختص به حملات و سایت‌های جعلی انجام‌نشده است. برخی از حملات فیشینگ به قدری پیچیده‌اند که تکیه بر آموزش کاربر به عنوان تنها راه‌کار موثر نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیت‌های مرورگر در اندروید ارائه شده است که در آن آدرسی که مرورگر به کاربر نشان می‌داد با آدرس سایتی که کاربر به آن وارد می‌شد، متفاوت بود. بدین معنا یک‌ صفحه‌ای در وب طراحی‌شده بود که به کاربر یک لینک دیگر نشان داده می‌شد؛ درصورتی‌که پس‌زمینه آن سایت جعلی بود، بنابراین موارد این‌چنینی با آموزش قابل‌شناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایت‌های جعلی که دامنه‌ی آن‌ها شباهت زیادی به دامنه‌ی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش می‌تواند این سایت‌ها را شناسایی کند. مجموعه‌ای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب  مدیریت حمله‌ی فیشینگ است. درست است که OTP به‌صورت کامل نمی‌تواند فیشینگ را به دلیل موارد مربوط به حمله‌ی مرد میانی (MITM) کنترل کند. اما این الزام منجر به کاهش چشمگیر سوءاستفاده‌ها در این بخش خواهد شد، زیرا حملات را به ۶۰ ثانیه و تنها یک‌بار محدود می‌کند. بحث 3D Secure هم در ایران به نوعی اجرایی شده است. در 3D Secure یک زنجیره‌ی اعتمادی بین کاربر، فروشنده و بانک برقرار می‌شود که به واسطه‌ی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمی‌کند، همچنین بانک از جزئیات خرید کاربر مطلع نمی‌شود و بنابراین حریم شخصی کاربر در این خصوص حفظ می‌شود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور می‌کند بعد توسط بانک صادر کننده این اطلاعات احراز می‌شود، در موضوع فیشینگ نیز برای کاربر سهل‌تر است که به‌جای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانک‌ها  ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تماما زیر دامنه شاپرک هستند را در خاطر داشته باشد.

مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟

پور طاهری در پاسخ به این سوال گفت:

تمام موارد مذکور در کنترل فیشینگ موثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجام‌نشده و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقه‌بندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی، خیلی ابزار و راهکار در دنیا مورد بهره‌برداری قرارگرفته که بعضی از آن‌ها هم به سطح بلوغ رسیده است. بر فرض مثال اگر هر بانک و شرکت‌های PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایت‌های جعلی به‌راحتی شناسایی می‌شوند و اگر این کار از سوی بانک مرکزی و شاپرک به‌عنوان رگولاتور، با پیاده‌سازی ابزاری برای شناسایی دامین های مشابه بانک‌ها و شرکت‌های PSP به‌صورت شبانه‌روزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاع‌رسانی شوند، از بروز بسیاری از فیشینگ ها جلوگیری می‌شود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکس‌العمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتی‌ویروس‌ها مرورگر امن (safe browsing) دارند که در صورت انجام پرداخت بانکی با مرورگری که آنتی‌ویروس برای شخص فراهم کرده، این پروسه با امنیت انجام می‌شود.

یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و یکی از راهکارهای ساده چاپ CVV۲ در پشت کارت‌بانکی  است. می توان به این وسیله از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث خطر تعریف‌شده شامل انگیزه، توجیه و دسترسی می‌شود که دو ضلع اول خیلی قابل کنترل نیست، اما دسترسی به اطلاعات کارت بانکی را می توان با راهکارهای ساده کنترل و از وقوع خطر جلوگیری کرد. 

من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام می‌دهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند 3D SECURE است.

در شاپرک و شتاب این اتفاق پیش‌بینی‌نشده است؛ شما به‌عنوان صادرکننده کارت فارغ از این‌که شاپرک چنین قابلیتی ندارد آیا امکاناتی ازاین‌دست را در اختیار مشتری قرار داده‌اید یا برنامه‌ریزی در این خصوص انجام داده‌اید؟

مستأجری گفت:

برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود، زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهی‌رسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمی رساند. باید مجموعه‌ای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحث‌هایی در خصوص سامانه‌های کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفا تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است. به عنوان نمونه، تراکنش‌های با مبالغ بالا تائید نمی‌شود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تایید کند. البته چنین مواردی مستلزم تجهیز یکسری زیرساخت‌های نرم افزاری و سخت افزاری است. حمله فیشینگ عموما در بستر پذیرندگی رخ می‌دهد و این امر تنها محدود به وب سایت و مرورگر نمی شود. زیرا اکنون بحث‌های بانکداری باز، فین تکها و پرداخت‌های درون برنامه‌ای مطرح است که در این فضا URL وجود ندارد و صرفا بحث وب در آن مطرح نیست و راهکارهایی مثل 3D Secure ممکن است عملیاتی نباشد. ازاین‌رو نمی‌توان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانکها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند، بانک‌ها آمادگی این را دارند که زیرساخت‌های فنی خود را بر اساس مدلی که رگولاتور تعریف می‌کند پیاده‌سازی کنند.

مستأجری می افزاید:

رگولاتور با ابلاغ الزام بکارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیش‌گرفته است. قطعا راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. در حال حاضر بحث رمز پویا یا OTP مطرح‌شده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت می‌گردد. همچنین با توجه به این‌که مدت اعتبار رمز پویا تنها ۶۰ ثانیه است، امکان سوء استفاده و تقلب را به حداقل می رساند. البته عملیاتی شدن این موضوع نیز می بایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند 3D SECURE، باید دغدغه کارایی سیستم ها و حجم باری سمت سرور و زیرساخت های ارتباطی نیز به عنوان یک پارامتر تاثیر گذار لحاظ گردد.

به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیت‌های بانک‌ها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل اطلاع رسانی و کنترل‌های اپلیکیشنی می‌تواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.

افرادی که فیشینگ انجام می‌دهند چگونه این مبالغ را نقد می‌کنند؟

سرلک در توضیح این سوال گفت: 

در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پول‌شویی در حال حاضر اجرایی می‌شود و نیاز هم به تخصص‌های ویژه ندارد زیرا بسیاری از مجرم‌های ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیم‌کارت‌های اعتبار و کارت به کارت‌های متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابل‌پیگیری است اما کار با این ترفندها خیلی پیچیده می‌شود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابل‌ردیابی نیست..

سرلک در ادامه می افزاید:

در این روند ما به‌نقد کش هم رسیده‌ایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و به‌وسیله این کارت کالاهای مثل طلا خریداری‌شده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کرده‌اند و با کارت جعلی خرید انجام داده‌اند.

ایرانی گفت:

نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت می‌رود را می‌توان با تسویه ۴۸ ساعته پرداخت‌های غیرحضوری کنترل کرد.

بین صادرکننده کارت، رگولاتور و شرکت‌های پرداخت در بحث فیشینگ کدام‌یک کم‌کاری بیشتری کرده‌اند؟

سرلک گفت:

به عقیده من شرکت‌های پرداخت، چون هیچوقت این موضوع برای آن‌ها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند، برای آن هزینه نمی‌کنند و به همین دلیل مشخص، شرکت‌های PSP در این موضوع خود را کمتر درگیر کرده‌اند.

اما مستأجری می گوید:

به عقیده من خود شاپرک در این بخش نقش بیشتری می‌تواند ایفا کند.

چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟

پور طاهری گفت: 

اگر من صحبت خود را با OTP آغاز کنم به‌هرحال این راهکار یک مرحله شرایط را بهتر می‌کند؛ البته معایبی هم دارد که یکی از مهم‌ترین آن‌ها بحث سخت کردن کار است. اپلیکیشن شصت کامل‌ترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد این‌چنینی در کشور ترند می‌شود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یک‌دفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاه‌مدت هستند. بحث بعدی این‌که نظام بانکی و پرداخت کشور به دلیل این‌که در شرایط تحریم قرار دارد به شبکه بین‌المللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار ساده‌ای که رگولاتور برای کاهش فیشینگ می‌تواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم به‌صورت قانون مصوب شود.

سرلک در همین راستا افزود: 

به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش می‌یابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتی‌که بحث بهره‌گیری از OTP در صنعت بانکی و پرداخت شروع‌شده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل این‌که دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهره‌گیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاین‌رو زودتر باید این موضوع به‌صورت کامل اجرایی شود.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.