در کوین سرا از جدیدترین و داغ ترین اخبار و مطالب دنیای ارزهای رمزپایه مطلع می شوید .

افزایش کلاهبرداری های فیشینگ در شبکه پرداخت ایران

اخباراخبار ایرانارز رمزپایه
توسط ایمان کیمیایی
فیشینگ
0 12,766

کلاهبرداری فیشینگ در طول سال‌های اخیر افزایش بسیار زیادی داشته تا جایی که آمارها نشان از وضعیتی نگران کننده دارد و این دسته از حملات به معضلی بزرگ برای شبکه پرداخت ایران تبدیل شده است.

فیشینگ (Phishing) روشی برای نفوذ به اطلاعات افراد و سرقت دارایی‌های الکترونیک آن‌ها توسط کلاهبرداران است. متداول‌ترین روش‌های فیشینگ در حال حاضر ارسال ایمیل‌های فریبنده، درگاه تقلبی مشابه دروازه پرداخت بانک‌ها، دستگاه‌های کارت‌خوان و خودپرداز تقلبی و ربات‌های تلگرامی ویژه فیشینگ است. آمار دقیقی از تعداد پرونده‌های فیشینگ و کلاهبرداری اینترنتی در دسترس نیست، اما متاسفانه تعداد آن‌ها هرروز بیشتر می‌شود و طبق اعلام کارشناسان به مرز هشدار رسیده است. ازاین‌رو با توجه به‌ ضرورت این موضوع و با هدف بررسی ابعاد آن و ارائه راهکارهای عملی به‌منظور کاهش حجم جرائم در این بخش میزگردی با عنوان “فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری” با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستاجری معاونت سیاست‌گذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش توسط ایبنا برگزار کرد.

وضعیت فیشینگ در کشور را چگونه ارزیابی می‌کنید و آیا در حال حاضر فیشینگ در کشور به سطحی رسیده که نگران‌کننده باشد و یا همانند سایر کشورها در سطح استاندارد صنعت بانکی قرار دارد؟

آیت در پاسخ به این سوال گفت:

آمار رسمی در این بخش وجود ندارد و شرکت خدمات انفورماتیک به دلیل این‌که تنها زیرساخت بین‌بانکی را فراهم می‌کند به آمار این مهم دسترسی ندارد. زمانی که فیشینگ رخ می‌دهد به‌طورمعمول مردم به بانک‌های صادرکننده مراجعه و تقاضای مسدودی کارت می‌کنند. البته پرونده‌هایی که سمت پلیس فتا برای معضل فیشینگ شکل‌گرفته مرجع خوبی برای به دست آوردن حجم فیشینگ در کشور است. پرتال تعاملی کاشف نیز اخیراً برای شناسایی و فیلتر سایت‌های فیشینگ و رسیدگی به پرونده‌ها در این حوزه در زمان کمتر به نسبت گذشته راه‌اندازی شده است. برای بررسی وضعیت فیشینگ در کشور باید گفت فیشینگ در ایران با راهکارهای ساده انجام می‌شود ولی حجم پرونده‌ها در این بخش روبه افزایش است.

منظور از پیچیده نبودن این است که از Attack و سیستم‌ها برای فیشینگ در کشور استفاده نمی‌شود؟

آیت در ادامه گفت:

به‌منظور مقایسه فیشینگ در ایران با کشورهای دیگر باید گفت؛ در سایر کشورها این مهم با یک ایمیل شروع می‌شود که در آن‌یک لینک یا فایل پیوست وجود دارد که در صورت باز شدن لینک، افراد با ورود به یک سایت با بهره‌گیری از افزونه هایی که در مرورگر سیستم وجود دارد؛ سوءاستفاده و سیستم فرد را آلوده می‌کند و هنگامی‌که فرد برای پرداخت وجوه به‌صورت اینترنتی وارد سایت یک بانک می‌شود، اطلاعات حساس کارت وی سرقت و حساب شخص را از این طریق مورد دستبرد قرار می‌دهند. در ایران روش کار بسیار ساده است و فیشینگ از طریق یک سایت جعلی، ارسال ایمیل‌ها و پیامک‌های جعلی صورت می‌گیرد و کاربر به‌وسیله این ابزارها مجاب می‌شود سایتی که به آن وارد شده واقعی است.

با توجه به این‌که بر اساس آمار بانکی ملی بیشترین میزان کارت صادر شده در کشور را دارد و به‌ تبع باید حجم مشکلات در این بخش بیشتر باشد؛ تا چه میزان بانک ملی موضوع فیشینگ را جدی گرفته و چه اقداماتی انجام داده است؟

پور طاهر در پاسخ به این سوال گفت:

با توجه به این‌که آمار فیشینگ در ایران نگران‌کننده است؛ اما روش‌های اجرای آن ابتدایی و تنها با فریب کاربر با یک پیشنهاد جذاب رخ می‌دهد. تعداد کارت‌های صادر شده از سمت بانک ملی بیشتر از سایر بانک‌ها است و بنابراین فیشینگ برای بانک دغدغه بوده است. مسئله اساسی این است که راهکار واحدی برای مقابله با فیشینگ از سمت صادرکننده کارت وجود ندارد. همچنین فیشینگ فرآیندی است که مشتری بیشترین نقش را در آن بازی می‌کند. ازاین‌رو شاید نشود خیلی به بانک‌ها و رگولاتور در این بخش خرده گرفت، زیرا کماکان مشتری هدف فیشینگ قرار می‌گیرد. البته این موضوع نافع مسئولیت بانک‌ها و رگولاتور در این بخش نیست. بر فرض مثال فون فیشینگ یکی از روش‌ها در این بخش است که نمونه مشخص آن فردی است که تنها با تلفن عمومی از داخل زندان میلیون‌ها تومان کلاه‌برداری کرد.

آیا بانک ملت تاکنون ریسک بهره‌گیری از رمز دوم در پرداخت‌های غیرحضوری را به مشتریان خود منتقل کرده است و فعالیت بانک ملت برای کاهش فیشینگ به چه صورت بوده است.

مستأجری که مورد سوال قرار گرفته بود توضیح داد:

بانک ملت در اوایل دهه ۹۰ درگیر داستان فیشینگ بود و آن زمان هنوز وضعیت درگاه‌های پرداخت همانند امروز پررنگ نشده بود. این بانک به دلیل سهم بالا از خدمات غیرحضوری به‌شدت درگیر موضوع فیشینگ بود. بانک ملت از سال ۹۲ کمپینی که شامل اقدامات فنی و اجرایی و همچنین آگاهی‌رسانی بود را در این بخش راه‌اندازی کرد و بانک ملت در بانکداری الکترونیکی اولین بانکی بود که از OTP روی حواله‌های بانک ملت استفاده کرد. در گام اول استفاده از OTP برای سقف بالای یک‌میلیون تومان اجباری و در گام دوم این مهم برای تمام مبالغ اجباری شد. البته حرکت‌های واحد در شبکه بانکی و پرداخت اثرگذارتر خواهد بود؛ چون اقداماتی که در هر بانکی به‌صورت مجزا انجام می‌شود منجر به ایجاد دغدغه‌های تجاری می‌شود. بانک ملت به‌منظور کاهش فیشینگ و با توجه به این که این امر از خطای کاربری نشات می‌گیرد، خود را مقید می‌دانست تا جایی که امکان دارد کاربر را محدود کند تا از ریل خارج نشده و دچار خطا نشود. افزون بر این، بانک ملت در بحث آگاهی بخشی نیز با آموزش‌های بیلبوردی و پوستر تمام تلاش خود در این بخش را انجام داده است.

 من عقیده دارم روش‌های متکی به یک بانک و سازمان برای مدیریت فیشینگ در کشور جوابگو نیست و اقدام رگولاتور در بهره‌گیری از رمزهای پویا(رمز دوم یکبار مصرف) در کارت‌های بانکی راهکار مناسبی است؛ ولی تا زمانی که همه ملزم به استفاده از آن نشوند موثر واقع نمی‌شود. به اعتقاد من مردم ایران ظرفیت پذیرش این موضوع را دارند. شاید در ابتدا منجر به ریزش مشتری شود و اما در بلندمدت به دلیل افزایش امنیت از آن استقبال می‌شود. همچنین به دلیل تقویت زیرساخت‌ها با الزامات امنیتی مثل OTP کار مشتری سخت نمی‌شود و باید در این روند سهولت انجام کار برای مشتریان بانکی تحت تأثیر قرار نگیرد. البته با به‌کارگیری از هر روشی هکرها به راهکارهای جدیدی برای فیشینگ دست می‌یابند و این موضوع پایانی ندارد و تنها از یک مدل به مدل دیگر تغییر رویه می‌دهد. بانک‌ها و شرکت‌های حوزه پیمت باید بتوانند در این شرایط در سریع‌ترین زمان ممکن راهکارهای جایگزین سریع را برای مقابله با شیوه‌های جدید فیشینگ ارائه دهند.

سرلک نیز گفت:

بخش عمده فیشینگ به مشتری برمی‌گردد، البته یکسری از اقدامات به‌صورت فنی برای احراز هویت می‌تواند از سمت صادرکننده کارت انجام شود؛ اما به‌طورقطع پاسخگو نخواهد بود. شواهد موجود بیانگر این است که تیپ آدم‌هایی که هدف فیشینگ قرارگرفته‌اند از چند سال گذشته تاکنون تغییری نکرده است و نشانگر این است که حرکت مؤثری در این بخش صورت نگرفته. قشر تحصیل‌کرده جامعه در بخش فناوری هم دچار فیشینگ شده‌اند که این امر به دلیل نبود آموزش و آگاهی دهی در این حوزه است که باید با فرهنگ سازی آن را در سطح کشور رواج داد. روش‌های فیشینگ در کشور بسیار ابتدایی، ولی حجم پرونده در حال افزایش است که می‌توان این امر را از طریق آموزش و آگاهی دهی کاهش داد. این آموزش باید در سطح مدرسه و عموم مردم باشد و از سوی صادر کننده کارت و توسعه‌دهنده سیستم‌ها انجام شود.

وی در ادامه عنوان کرد:

شرکت‌های پرداخت می‌توانند محدودیت‌های زیادی را برای افزایش امنیت ایجاد کنند و با طبقه‌بندی بخشی از کاربران را قبل از انجام هر تراکنش احراز هویت کنند؛ اما این روند منجر به‌کندی و نارضایتی کاربران می‌شود. حدود ۷۰ الی ۸۰ درصد کنترل فیشینگ باید با آموزش و آگاهی حل شود و به عقیده من تنها ۱۵ الی ۲۰ درصد پرونده‌های حملات فیشینگ با اجبار مشتری به انجام یکسری الزامات خاص که با نارضایتی همراه است، کنترل می‌شود.

برای آشنایی با روش های فیشینگ در زمینه ارزهای دیجیتال توصیه می شود حتما لینک زیر را مطالعه نمایید:

دامی با وعده میلیونر شدن

ایمان کیمیایی
ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.