چطور با داشتن رمز پویا با حمله فیشینگ مواجه نشویم؟

استفاده از رمز پویا از زمستان سال گذشته به‌منظور جلوگیری از انجام کلاه‌برداری‌های اینترنتی اجباری شد. آیا این موضوع وضعیت کلاه‌برداری‌های اینترنتی را تغییر داده است؟

استفاده از رمز دوم یک‌بارمصرف یا رمز پویا از اول دی‌ ۱۳۹۸ اجباری شد؛ بااین‌حال، به مشتریان بانکی فرصتی داده شد که تاکنون هم ادامه دارد تا خریدهای اینترنتی کمتر از ۱۰۰ هزار تومان خود در روز را با رمز دوم ثابت انجام دهند. رمز پویا برای جلوگیری از انجام کلاه‌برداری‌های اینترنتی الزامی شد که به‌گفته‌ی رئیس پلیس فتا ایران، جزو پنج «جرم برتر سایبری» و عامل شکل‌گیری یک‌سوم آن‌ها در کشور است.

مقام‌های مسئول در اجرایی‌کردن رمز پویا ادعا می‌کردند که با آغاز این طرح، به‌مرور سرقت اطلاعات بانکی به صفر می‌رسد. دلیل اطمینان زیاد به رمز پویا این است که رمز یک‌بارمصرف نوعی «احراز هویت چند عاملی» (MFA) محسوب می‌شود که تجربه‌ی کارکردن با آن را هنگام استفاده از سرویس‌های ایمیل و پیام‌رسان‌ها داشته‌ایم. مایکروسافت می‌گوید استفاده از احراز هویت چندعاملی کاربران را ۹۹٫۹ درصد دربرابر حملات مصون می‌کند. گوگل هم ادعا می‌کند با استفاده از تأیید چندمرحله‌ای، می‌توان از ۹۹ درصد حملات فیشینگ جلوگیری کرد.

طبق اعلام بانک مرکزی، افشای اطلاعات حساس کارت بانکی در اسفند ۱۳۹۸ درمقایسه‌با ماه‌های پیش از اجرایی‌شدن رمز پویا، درحدود ۹۰ درصد و فیشینگ درگاه‌های پرداخت تقریبا ۸۵ درصد کاهش یافته است. فیشینگ یکی از شیوه‌های مهندسی اجتماعی برای فریب کاربران برای به‌دست‌آوردن اطلاعات آن‌ها و انجام اعمال مجرمانه است.

پیش از اجراشدن رمز پویا، فیشینگ بدین‌صورت انجام می‌گرفت که اطلاعات کارت بانکی مانند شماره ۱۶ رقمی، CVV2، تاریخ انقضا و رمز ایستا برداشته یا هک می‌شد. با اجباری‌شدن رمز پویا، دیگر اهمیت چندانی ندارد که این اطلاعات دردسترس دیگران قرار بگیرد و این مورد هم از مزایای رمز پویا محسوب می‌شود؛ چراکه احتمال دزدیده‌شدن یا گرفتن کپی از کارت بانکی، احتمال دزدیدن اطلاعات را بسیار افزایش می‌دهد. این شیوه‌ی کلاه‌برداری اکنون کم‌رنگ شده؛ اما افراد سودجو هم بیکار نمانده‌اند. کلاه‌برداران با اجرایی‌شدن رمز پویا، اکنون به‌سراغ راه‌هایی می‌روند که در ناآگاهی یا دقت‌نکردن مشتریان بانکی ریشه دارد. آیا اساسا وقوع فیشینگ با استفاده از رمز پویا ممکن است؟ پاسخ مثبت است؛ اما چگونه؟

جعل درگاه پرداخت

با اجرایی‌شدن رمز پویا جعل درگاه پرداخت، تنها شیوه‌ی عمده‌ی فیشینگ حساب بانکی کاربران محسوب می‌شود. تمام انرژی کلاه‌برداران صرف کشاندن کاربر به درگاه بانکی جعلی می‌شود. این کار ممکن است ازطریق ارسال پیامک (تبلیغاتی یا غیرتبلیغاتی)، ایمیل، استوری یا پست در شبکه‌های اجتماعی مجازی، پیشنهادهای وسوسه‌انگیز در پیام‌رسان‌ها و وب‌سایت‌ها مانند ثبت‌نام اینترنتی، خرید نرم‌افزار یا اپلیکیشن، وی‌پی‌ان، سهام عدالت و... انجام شود.

ازجمله موارد مشکوکی که در ماه اخیر اعتراض‌های زیادی متوجه آن‌ها شد، فیشینگ ازطریق دیوار و سامانه همتا بود. دیوار در همین زمینه می‌گوید کاربران به پیام‌های جعلی از شماره‌های ناشناس درزمینه‌ی واریز پول اعتماد نکنند. دیوار در رشته‌توییتی اطلاع داده است که بلافاصله پس از درخواست ثبت آگهی، پیامکی از سرشماره‌های رسمی دیوار ارسال می‌شود که در متن آن هشدار می‌دهد: «به هرگونه پیامک مبنی‌بر پرداخت وجه اعتماد نکنید.» کاربران در صورت دریافت چنین پیامکی، باید موضوع را با شماره‌تلفن ۴۳۰۰۰۳۰۰ به پشتیبانی دیوار اطلاع دهند تا شماره‌تلفن و لینک به‌سرعت فیلتر شود.

سامانه‌ی همتا که درزمینه‌ی انجام فرایندهای فعال‌سازی تلفن‌همراه ایجاد شده، اطلاع داده است که تمام مراحل و بخش‌های سامانه به نشانی hamta.ntsw.ir رایگان است و ثبت‌نام و استعلام از آن نیازمند پرداخت هیچ مبلغی نیست. بنابراین، هنگام خریدوفروش گوشی تلفن‌همراه نباید به درخواست افرادی اعتنا کرد که برای کار با سامانه یا عضویت در آن درخواست مبلغی پول می‌کنند.

پیش از اجرایی‌شدن رمز پویا هم از روش جعل صفحه پرداخت استفاده می‌شد؛ اما اکنون تعداد صفحات جعلی درگاه‌های بانکی کشور به‌شدت افزایش پیدا کرده است؛ به‌طوری‌که حتی شاید وب‌سایت جعلی بالاتر از وب‌سایت اصلی بانک در نتایج جست‌وجوگر قرار بگیرد. بااین‌حال راه‌هایی برای شناسایی درگاه‌های جعلی وجود دارد که در بخش بعدی مقاله به آن‌ها اشاره می‌کنیم. پیش‌از‌این، باید بدانیم چگونه می‌توان پیام‌های جعلی به‌منظور فیشینگ را تشخیص داد؟

• به پیام و درخواست‌های مشکوک به‌‌ویژه از خطوط شخصی اعتنا نکنید؛
• هنگام دریافت پیامک به سرشماره ارسال‌شده توجه کنید؛
• بانک‌ها برای ثبت‌نام به‌صورت پیامکی به‌هیچ‌وجه درخواست اطلاعات بانکی نمی‌کنند؛
• وب‌سایت‌ها و شرکت‌های معتبر برای تکمیل اطلاعات یا ارسال موارد مهم از ایمیل استفاده نمی‌کنند و در ایمیل فقط به ابراز هشدار اکتفا می‌کنند.

اپلیکیشن‌های جعلی رمز پویا

یکی دیگر از روش‌های فیشینگ حساب بانکی کاربران، استفاده از اپلیکیشن‌های جعلی رمزساز محسوب می‌شود که با وجود هشدارهای فراوان، هنوزهم برخی افراد آن‌ها را نصب می‌کنند. ممکن است نصب اپلیکیشن رمزساز ازطریق برخی وب‌سایت‌های متفرقه یا شبکه‌های اجتماعی یا کانال‌های تلگرامی دردسترس باشد. علاوه‌براینکه همواره باید اپلیکیشن‌های موردنیاز را از منابع معتبر و رسمی دریافت کنید، برای نصب و فعال‌سازی رمزساز رمز پویا هم باید به سایت رسمی بانک صادرکننده‌ی کارت خود مراجعه کنید.

خلأهای موجود در اجرایی‌کردن رمز پویا

کوروش قربانی، متخصص امنیت، در گفت‌وگو با دیجیتال از روش‌های فیشینگ پس از اجرایی‌شدن رمز پویا می‌گوید. به‌گفته‌ی قربانی، مهاجم با نصب سامانه‌ی فیشینگ روی سرور، فرایند را برای اعمال مجرمانه‌ی خود خودکار‌ می‌کند. کاربر در صفحه‌ی جعلی درگاه بانک اطلاعات کارت خود را وارد می‌کند و هکر که در پس‌زمینه‌ی این صفحه در کمین نشسته است، با استفاده از اطلاعات کاربر درخواست رمز پویا را برای بانک ارسال می‌کند. بدین‌ترتیب، قربانی در درگاه جعلی‌ عملیات بانکی انجام می‌دهد و حساب او خالی می‌شود. کلاه‌بردار اکنون متفاوت از قبل، از API بانک (رابط برنامه‌نویسی یا توسعه‌ی نرم‌افزار) برای ارسال پیامک استفاده می‌کند. قربانی می‌گوید رمز پویا تا زمانی امن بود که پیامک آن در کار نبود.

هک یا دورزدن رمز پویا به این سادگی میسر نیست؛ مگر با نصب عمدی برنامه‌ای روی گوشی فرد مدنظر که بتواند پیامک ارسالی را بخواند یا هش‌کردن برنامه‌ی توکن‌ساز بانک تا رمز را کپی کند (هش‌کردن، داده‌های ورودی را به خروجی رمزگذاری‌شده تبدیل می‌کند). بااین‌حال، مشکلاتی در درگاه‌ها وجود دارد که ممکن است به برداشت پول بیشتری درمقایسه‌با درخواست خرید کاربر منجر شود. پین‌نشدن گزینه‌ی ارسال پیامک به درخواست خرید کاربر در برخی درگاه‌های بانکی یکی از این مشکلات است. قربانی می‌گوید مشخص نیست آیا این موضوع اجرایی شده است یا به‌عنوان پروتکل در سیستم بانکی مطرح شده یا تمام بانک‌ها می‌توانند آن را اجرا کنند یا خیر. بااین‌حال درصورت پین‌شدن دکمه‌ی ارسال پیامک رمز پویا به درخواست خرید کاربر، رمز دوم فقط برای یک درخواست خرید معتبر است و کلاه‌بردار نمی‌تواند مبلغ بیشتری برداشت کند.

با پین‌نشدن گزینه‌ی ارسال پیامک رمز پویا مشخص نمی‌شود که رمز ساخته‌شده از طرف بانک است یا نرم‌افزار دیگری. به‌گفته‌ی کوروش قربانی، اگر اطلاعات کارت قبل از اجرایی‌شدن رمز پویا اشتباه وارد می‌شد، تعداد کمی از این صفحه‌ها می‌توانستند وضعیت کارت و درست‌ بودن یا نبودن اطلاعات آن را تشخیص دهند؛ اما اکنون API به‌صورت مستقیم این تشخیص را انجام می‌دهد. بدون درنظرگرفتن مشکل موجود سیستم بانکی، برنامه‌هایی مانند آپ نیز APIهایی برای ارتباط بین برنامه و سرور دارند که به‌صورت خصوصی و مخفی برای خود برنامه است و ازطریق مهندسی معکوس اطلاعات آن فاش می‌شود.

مشکل دیگری که در اجرایی‌کردن رمز پویا پیش آمد، تعیین سقفی برای استفاده از رمز ثابت بود. طبق اعلام قربانی، از این طریق تنها حجم دزدی بیشتر شده؛ اما ارزش پولی آن کمتر است. مشکل اینجا است که ارزش مالی اندک بار قانونی این دسته کلاه‌برداری‌ها را چه برای قانون‌گذار و چه شاکی از بین می‌برد. علاوه‌بر‌این، بانک و قانون‌گذار هیچ‌کدام مسئولیت مشکلات رمز پویا را نمی‌پذیرند؛ درحالی‌که به‌گفته‌ی قربانی، راه مؤثر جلوگیری از کلاه‌برداری اینترنتی مطمئنا از سمت کاربر نیست.

چگونه وب‌سایت‌های جعلی را تشخیص دهیم؟

آدرس جعلی درگاه‌های بانکی بسیار شبیه به آدرس وب‌سایت اصلی است. این آدرس ممکن است تنها یک حرف با آدرس اصلی تفاوت یا فقط دامنه‌ی متفاوتی داشته باشد. فیشرها از جاوااسکریپت برای تغییر آدرس در نوار آدرس استفاده می‌کنند تا قربانی به نادرستی آدرس شک نبرد. درادامه، روش‌هایی برای شناسایی وب‌سایت‌های جعلی معرفی می‌کنیم:

• همه‌ی درگاه‌های بانکی واقعی به‌ Shapark.ir ختم می‌شوند؛
• ترتیب شماره‌ها در صفحه‌کلید مجازی با رفرش‌کردن صفحه‌ باید تغییر کند؛ درغیراین‌صورت وارد صفحه‌ی درگاه تقلبی شده‌اید؛
• از درگاه‌های بانکی‌ای استفاده کنید که در آن رمزگذاری SSL نصب شده است. توجه کنید اصلا برای خرید آنلاین نباید از شیوه‌ی انتقال پول کارت‌به‌کارت بهره ببرید. برای خرید از هر وب‌سایت معتبری باید از درگاه پرداخت استفاده کنید؛ زیرا هیچ فروشگاه اینترنتی معتبری برای انتقال مبلغ خرید از کارت شخصی خود استفاده نمی‌کند. بنابراین، برای افزایش اطمینان از وب‌سایتی خرید خود را انجام دهید که درگاه های بانکی آن با استفاده از پروتکل‌های امن SSL ارتباط شما را با بانک مدنظر برقرار می‌کنند. برای پی‌بردن به این موضوع، سایت باید با //:https شروع شده باشد. آدرس سایت‌ها و درگاه‌های اصلی که با آدرس اینترنتی https آغاز می‌شوند، درصورت نداشتن S نامطمئن محسوب می‌شوند. از وجود علامت قفل در بخش نوار آدرس مرورگر خود نیز باید مطمئن شوید؛
• سایت‌های معتبر داخلی نشان «ای‌نماد» دارند که در پایگاه داده آن‌ها نیز ثبت شده است. وب‌سایت‌های طراحی‌شده‌ی هکرها معمولا اجناس را با قیمت‌های ارزان‌تر می‌فروشند؛ پس به‌سادگی به هیچ وب‌سایتی اطمینان نکنید.

توصیه‌ها

• اپلیکیشن‌های بانکی امن‌تر از اینترنت‌بانک هستند؛ چراکه فیشینگ نام کاربری و رمزعبور اینترنت‌بانک امکان‌پذیر است. فیشر با هک این اطلاعات می‌تواند بسته به قابلیت‌های پورتال بانکی مدنظر، از حساب کاربر سوءاستفاده یا حتی برداشت نقدی کند؛
• برای خریدهای با مبالغ کمتر، حساب جداگانه‌ای با موجودی اندک داشته باشید؛
• هنگام خرید از صفحه‌کلید مجازی استفاده کنید؛
•  شبکه وای‌فای عمومی و رایگان می‌تواند به اطلاعات کاربری شما دست پیدا کند. تاحدممکن در زمان استفاده از وای‌فای عمومی، در وب‌سایت‌های حساسی مانند درگاه بانکی فعالیت نکنید؛
• با جست‌وجوی نام صفحه بانکی در سایت enamad.ir می‌توانید سایت جعلی را تشخیص دهید؛
• با نصب افزونه‌ی (Extension) ضدفیشینگ روی مرورگر و اتصال به درگاه پرداخت درصورت اصل‌بودن، پیامی بر این مبنی روی نمایشگر نمایش داده و درصورت جعلی‌بودن، پیام هشدار برایتان ارسال می‌شود (مانند افزونه Shaparak Verifier)؛
• از نرم‌افزارهای ضد هک و فیشینگ استفاده کنید. برنامه‌هایی مانند کومودو با فایروال قوی خود مانع هک‌شدن می‌شوند. با شناختن برخی وب‌سایت‌های معروف فیشینگ می‌توان متوجه وب‌سایت‌های معتبر شد. Safe Browsing یکی از سرویس‌های بلک‌لیست معروف‌ ارائه‌شده‌ی گوگل است. ابزارهایی مثل Phishing Protection از شرکت SysCloud بیشترین سطح محافظت را دربرابر تمام انواع حملات جعل به‌ارمغان می‌آورند. بیت‌دیفندر نیز آنتی‌ویروس قدرتمندی محسوب می‌شود که آنتی‌فیشینگ و آنتی‌فراد (ضدکلاه‌برداری) است. نسخه‌ی رایگان این ضدویروس را می‌توانید از این لینک دریافت کنید؛
• مرورگر سیستم خود را به‌طور مرتب به‌روزرسانی کنید. استفاده از مرورگر به‌­روز مانند لایه‌ی امنیتی اضافه‌ای دربرابر حملات فیشینگ عمل می‌کند.