مدیران بخش امنیت شبکه بانکی در خصوص راهکار کاهش فیشینگ در کشور معتقدند که اجرایی شدن رمز دوم یکبار مصرف و تسویه ۴۸ ساعته پرداختهای غیر حضوری میتواند کلاهبرداریهای فیشینگ را به صورت گسترده کاهش دهد.
بر اساس آمار اعلام شده از سوی پلیس فتا، کلاهبرداری فیشینگ (Phishing) و سرقت اطلاعات کارت بانکی برای برداشت غیر مجاز بخش مهمی از کلاهبرداریهای سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ، به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداریها در حال افزایش است. این در حالی است که کلاهبرداری فیشینگ در تمام نقاط جهان وجود دارد و همواره درصد آن به صفر نرسیده اما رگولاتورها با همکاری بازیگران صنعت بانکی و پرداخت برای ایجاد زیرساخت و در عین حال با افزایش آگاهی شهروندان تواسنتهاند میزان این کلاهبرداری را کاهش داده و کنترل کنند؛ با توجه به این که میزان کلاهبرداریهای آنلاین از جمله فیشینگ در کشور به مرز هشدار رسیده، این موضوع اهمیت بسیاری پیدا کرده است؛ در همین راستا میزگردی با عنوان “فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری” با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاستگذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار گردید که بخش اول آن منتشر شد و در ادامه به بخش دوم این میزگرد و راهکارهای کارشناسان برای شناسایی و کنترل کلاهبرداریهای آنلاین و فیشینگ میپردازیم:
آیت در این راستا گفت:
طیف راهکارهای که برای کنترل فیشینگ ارائه میشود از بررسی حملات، ارائه آموزش و پیادهسازی الزامات امنیتی در درگاههای پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاهترین زمان ممکن است. به عنوان نمونه گوگل سرویسی با عنوان مرور امن (safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود میشود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت میشود از این طریق شناسایی و محدود میشود. ازاینرو باید یک نگاه همهجانبه به این موضوع داشت و تنها فعالیتها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیتهای جدی بر روی شناسایی سایتهای جعلی، تجهیز درگاههای بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن دادههای مختص به حملات و سایتهای جعلی انجامنشده است. برخی از حملات فیشینگ به قدری پیچیدهاند که تکیه بر آموزش کاربر به عنوان تنها راهکار موثر نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیتهای مرورگر در اندروید ارائه شده است که در آن آدرسی که مرورگر به کاربر نشان میداد با آدرس سایتی که کاربر به آن وارد میشد، متفاوت بود. بدین معنا یک صفحهای در وب طراحیشده بود که به کاربر یک لینک دیگر نشان داده میشد؛ درصورتیکه پسزمینه آن سایت جعلی بود، بنابراین موارد اینچنینی با آموزش قابلشناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایتهای جعلی که دامنهی آنها شباهت زیادی به دامنهی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش میتواند این سایتها را شناسایی کند. مجموعهای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب مدیریت حملهی فیشینگ است. درست است که OTP بهصورت کامل نمیتواند فیشینگ را به دلیل موارد مربوط به حملهی مرد میانی (MITM) کنترل کند. اما این الزام منجر به کاهش چشمگیر سوءاستفادهها در این بخش خواهد شد، زیرا حملات را به ۶۰ ثانیه و تنها یکبار محدود میکند. بحث 3D Secure هم در ایران به نوعی اجرایی شده است. در 3D Secure یک زنجیرهی اعتمادی بین کاربر، فروشنده و بانک برقرار میشود که به واسطهی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمیکند، همچنین بانک از جزئیات خرید کاربر مطلع نمیشود و بنابراین حریم شخصی کاربر در این خصوص حفظ میشود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور میکند بعد توسط بانک صادر کننده این اطلاعات احراز میشود، در موضوع فیشینگ نیز برای کاربر سهلتر است که بهجای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانکها ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تماما زیر دامنه شاپرک هستند را در خاطر داشته باشد.
مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟
پور طاهری در پاسخ به این سوال گفت:
تمام موارد مذکور در کنترل فیشینگ موثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجامنشده و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقهبندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی، خیلی ابزار و راهکار در دنیا مورد بهرهبرداری قرارگرفته که بعضی از آنها هم به سطح بلوغ رسیده است. بر فرض مثال اگر هر بانک و شرکتهای PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایتهای جعلی بهراحتی شناسایی میشوند و اگر این کار از سوی بانک مرکزی و شاپرک بهعنوان رگولاتور، با پیادهسازی ابزاری برای شناسایی دامین های مشابه بانکها و شرکتهای PSP بهصورت شبانهروزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاعرسانی شوند، از بروز بسیاری از فیشینگ ها جلوگیری میشود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکسالعمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتیویروسها مرورگر امن (safe browsing) دارند که در صورت انجام پرداخت بانکی با مرورگری که آنتیویروس برای شخص فراهم کرده، این پروسه با امنیت انجام میشود.
یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و یکی از راهکارهای ساده چاپ CVV۲ در پشت کارتبانکی است. می توان به این وسیله از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث خطر تعریفشده شامل انگیزه، توجیه و دسترسی میشود که دو ضلع اول خیلی قابل کنترل نیست، اما دسترسی به اطلاعات کارت بانکی را می توان با راهکارهای ساده کنترل و از وقوع خطر جلوگیری کرد.
من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام میدهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند 3D SECURE است.
در شاپرک و شتاب این اتفاق پیشبینینشده است؛ شما بهعنوان صادرکننده کارت فارغ از اینکه شاپرک چنین قابلیتی ندارد آیا امکاناتی ازایندست را در اختیار مشتری قرار دادهاید یا برنامهریزی در این خصوص انجام دادهاید؟
مستأجری گفت:
برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود، زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهیرسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمی رساند. باید مجموعهای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحثهایی در خصوص سامانههای کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفا تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است. به عنوان نمونه، تراکنشهای با مبالغ بالا تائید نمیشود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تایید کند. البته چنین مواردی مستلزم تجهیز یکسری زیرساختهای نرم افزاری و سخت افزاری است. حمله فیشینگ عموما در بستر پذیرندگی رخ میدهد و این امر تنها محدود به وب سایت و مرورگر نمی شود. زیرا اکنون بحثهای بانکداری باز، فین تکها و پرداختهای درون برنامهای مطرح است که در این فضا URL وجود ندارد و صرفا بحث وب در آن مطرح نیست و راهکارهایی مثل 3D Secure ممکن است عملیاتی نباشد. ازاینرو نمیتوان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانکها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند، بانکها آمادگی این را دارند که زیرساختهای فنی خود را بر اساس مدلی که رگولاتور تعریف میکند پیادهسازی کنند.
مستأجری می افزاید:
رگولاتور با ابلاغ الزام بکارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیشگرفته است. قطعا راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. در حال حاضر بحث رمز پویا یا OTP مطرحشده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت میگردد. همچنین با توجه به اینکه مدت اعتبار رمز پویا تنها ۶۰ ثانیه است، امکان سوء استفاده و تقلب را به حداقل می رساند. البته عملیاتی شدن این موضوع نیز می بایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند 3D SECURE، باید دغدغه کارایی سیستم ها و حجم باری سمت سرور و زیرساخت های ارتباطی نیز به عنوان یک پارامتر تاثیر گذار لحاظ گردد.
به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیتهای بانکها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل اطلاع رسانی و کنترلهای اپلیکیشنی میتواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.
افرادی که فیشینگ انجام میدهند چگونه این مبالغ را نقد میکنند؟
سرلک در توضیح این سوال گفت:
در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پولشویی در حال حاضر اجرایی میشود و نیاز هم به تخصصهای ویژه ندارد زیرا بسیاری از مجرمهای ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیمکارتهای اعتبار و کارت به کارتهای متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابلپیگیری است اما کار با این ترفندها خیلی پیچیده میشود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابلردیابی نیست..
سرلک در ادامه می افزاید:
در این روند ما بهنقد کش هم رسیدهایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و بهوسیله این کارت کالاهای مثل طلا خریداریشده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کردهاند و با کارت جعلی خرید انجام دادهاند.
ایرانی گفت:
نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت میرود را میتوان با تسویه ۴۸ ساعته پرداختهای غیرحضوری کنترل کرد.
بین صادرکننده کارت، رگولاتور و شرکتهای پرداخت در بحث فیشینگ کدامیک کمکاری بیشتری کردهاند؟
سرلک گفت:
به عقیده من شرکتهای پرداخت، چون هیچوقت این موضوع برای آنها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند، برای آن هزینه نمیکنند و به همین دلیل مشخص، شرکتهای PSP در این موضوع خود را کمتر درگیر کردهاند.
اما مستأجری می گوید:
به عقیده من خود شاپرک در این بخش نقش بیشتری میتواند ایفا کند.
چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟
پور طاهری گفت:
اگر من صحبت خود را با OTP آغاز کنم بههرحال این راهکار یک مرحله شرایط را بهتر میکند؛ البته معایبی هم دارد که یکی از مهمترین آنها بحث سخت کردن کار است. اپلیکیشن شصت کاملترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد اینچنینی در کشور ترند میشود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یکدفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاهمدت هستند. بحث بعدی اینکه نظام بانکی و پرداخت کشور به دلیل اینکه در شرایط تحریم قرار دارد به شبکه بینالمللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار سادهای که رگولاتور برای کاهش فیشینگ میتواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم بهصورت قانون مصوب شود.
سرلک در همین راستا افزود:
به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش مییابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتیکه بحث بهرهگیری از OTP در صنعت بانکی و پرداخت شروعشده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل اینکه دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهرهگیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاینرو زودتر باید این موضوع بهصورت کامل اجرایی شود.