بانکبانک و بیمه

میزان امنیت شبکه بانکی و پرداخت کشور


*هادی فتح‌اللهی/ تحلیلگر امنیت سایبری

انتشار اخباری درباره دستبرد یک سارق اینترنتی به اطلاعات بانکی برخی شهروندان، بهانه‌ای شد برای زیر سؤال بردن شاخص‌های امنیت سایبری سایت‌های بانکی و درگاه‌ها و اپلیکیشن‌های پرداخت الکترونیک توسط برخی؛ موضوعی که نه تنها صحیح نیست بلکه در صورت تکرار به سلب آرامش مشتریان بانک‌ها هم می‌انجامد.
هفته گذشته یک سارق اینترنتی از طریق کانال‌های تلگرامی اقدام به افشای اطلاعات کارت بانکی تعدادی از شهروندان کرد. بررسی‌های فنی نشان ‌می‌دهد این سارق با ایجاد صفحه جعلی پرداخت اینترنتی و فریب قربانیان، آنان را به استفاده از این صفحه جعلی و وارد کردن اطلاعات کارت بانکی ترغیب کرده است. این نوع کلاهبرداری که در اصطلاح فنی،"فیشینگ" نام دارد، یکی از رایج‌ترین روش‌های سرقت اطلاعات در اینترنت بشمار می‌آید و نمونه‌های فراوانی در داخل و خارج از کشور دارد.
فیشینگ مبتنی بر جعل و فریب است. جعل به این معنا که سارق، ابتدا صفحه‌ای را که هیچ ارتباطی با درگاه‌های رسمی پرداخت قانونی ندارد، ایجاد و در اینترنت منتشر می‌کند. سپس با فریب و اغوای قربانیان، آن‌ها را به این صفحه جعلی هدایت کرده تا فرد قربانی اطلاعات کارت بانکی خود را در آن وارد کند. نکته مهم برای مقابله با این شیوه دستبرد به اطلاعات بانکی مردم، آگاهی کاربران از شیوه‌های امن و درست استفاده از ابزارهای پرداخت الکترونیک است. به همین خاطر در کشور ما نیز مانند همه کشورهای جهان، تلاش‌های فراوانی از سوی نهادهای مسئول برای آموزش مردم و ارتقای سواد دیجیتالی جامعه در این حوزه صورت گرفته و می‌گیرد.
متأسفانه با وجود اقدامات گسترده شبکه پرداخت کشور در حوزه فنی و استانداردها و ممیزی های سختگیرانه آن و نیز فرهنگ‌سازی و اطلاع‌رسانی نهادهای قانونی از جمله پلیس فتا، هنوز برخی از شهروندان در مواجهه با این صفحات جعلی براحتی فریب می‌خورند که بخشی از آن معضلی جهانی است؛ طبق آمارهای رسمی سالانه میلیون ها کاربر بزرگترین وب‌سایت‌های جهان و سامانه‌های مالی نیز قربانی حملات فیشینگ می‎شوند. این آمار در حوزه‌های مالی جهانی به علت جذابیت بیشتر آن برای مجرمان، بسیار بالا است.
شیوع بروز چنین رخدادهایی، بسیاری از نهادهای مسئول را به تدوین دستورالعمل‌های اجرایی برای مواقع کشف فیشینگ واداشته ‌است. این دستورالعمل‌ها شامل مراحل انجام اقدامات لازم برای جلوگیری از گسترش دامنه سرقت اطلاعات، از ابطال اطلاعات به سرقت رفته در صفحات جعلی اینترنتی تا اطلاع رسانی و کشف و پیگیری مسدودی این صفحات جعلی است. هر یک از دستگاه‌های مرتبط بر اساس این دستورالعمل‌ها موظفند هنگام بروز فیشینگ، اقدامات لازم را انجام دهند. از جمله نهادهایی که در این مواقع باید به کمک فریب‌خوردگان و دستگاه‌های مسئول بیایند، رسانه‌ها هستند. رسانه‌ها باید با اطلاع‌رسانی به‌موقع و دقیق بدون ایجاد هراس در شهروندان به کمک عملیات خنثی‌سازی بیایند.
در کشور ما متأسفانه هنوز چنین دستورالعمل‌هایی در برخی سطوح تدوین یا ابلاغ نشده‌است بنابراین خیلی جای تعجب نیست که در مواقع بروز اتفاقاتی از قبیل فیشینگ دچار ناهماهنگی می‌شویم که بعضا به سارقان کمک می‌کند.
گذشته از این با کمال تأسف مشاهده‌ می‌کنیم که در برخی مواقع از جمله در مورد اخیر، وقوع یک فقره فیشینگ دستمایه تسویه‌ حساب‌های تجاری با شبکه بانکی و پرداخت شده و از آن بدتر امنیت سایبری کشور ضعیف نشان داده می‌شود.
نمونه برخی از این‌گونه اظهارنظرها را می‌توان هنگامی مشاهده کرد که وقوع یک رخداد فیشینگ نشانه‌ای بر ابطال نظریه قدرت سایبری کشور دانسته شده‌است!
این قبیل تحلیل‌ها در حالی است که به عنوان نمونه در فیشینگ اخیر، بانک ‌مرکزی و نهادهای زیرمجموعه آن در عمل به وظایف خود در صیانت از حقوق مردم از اولین لحظات دریافت گزارش کلاهبرداری، ضمن همکاری نزدیک با دیگر نهادهای قانونی، اقدامات لازم را در راستای محدود کردن ابعاد رخداد، پیشگیری سوءاستفاده های احتمالی دیگر افراد کلاهبردار، اطلاع‌رسانی و آموزش مجدد به شهروندان و دیگر اقدامات موثر انجام داده‌اند.
با این حال اما برخی با قلب واقعیت، سعی می‌کنند از آب گل‌آلود ماهی بگیرند و در روزهای پایان سال موجبات نگرانی و تشویش اذهان شهروندان را فراهم آورند. ادعاهایی از قبیل وجود فیشینگ گسترده روی درگاه‌های شاپرک، یا تکرار ادعای کذب مجرم فیشینگ اخیر در خصوص یکی از شرکت های پرداخت از یک طرف و مرتبط کردن این ادعاهای کذب با بحث امنیت بسترUSSD از طرف دیگر در این مقطع زمانی، شگفتی هر کارشناس منصف و مطلعی را بر می‌انگیزد، چرا که سرقت یاد شده اساساً خارج از سامانه‌های شبکه پرداخت کشور انجام شده و هرگونه ادعایی در خصوص سوءاستفاده از درگاه‌های مجاز و رسمی پرداخت کشور، نشان‌دهنده عدم اطلاع مدعی از جزئیات این رخداد و نیز ویژگی‌های فنی حملات فیشینگ است.

همچنین بخوانید

دکمه بازگشت به بالا