روزنامه آفتاب یزد

چکار کنیم سارقان اینترنتی جیبمان را خالی نکنند

آفتاب یزد - محبوبه مظفری: میزان سرقت اینترنتی حساب‌های بانکی (فیشینگ) در ماه‌های اخیر رشد زیادی یافته است؛ سرقتهایی که باعث شده قربانیان، امیدی به بازگشت پول‌های خود نداشته باشند. نکته جالب این است ردپای برخی از فیشینگ‌ها به باندهای بین‌المللی خارج کشور می‌رسد که کار شناسایی را دشوار می‌کند.
میزان کلاهبرداری‌های اینترنتی و فیشینگ (سایت‌های جعلی) در ماه‌های اخیر و به ویژه فصل تابستان جهش زیادی داشته و به وضعیت ناگواری رسیده به طوری که یک چهارم (۲۵ درصد) فیشینگ یک سال منتهی به تیرماه در نخستین ماه فصل تابستان رخ داده است.
> فیشینگ چیست؟
فیشینگ به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و … از طریق جعل یک وب‌سایت، پیامک و آدرس ایمیل گفته می‌شود. افراد سودجو پس از دریافت این اطلاعات به راحتی می‌توانند حساب‌های بانکی افراد را خالی کنند.


کلاهبرداران برای فیشینگ و خالی کردن حساب مردم از موضوع‌های جذاب و احساسی مانند کارت سوخت، قطع یارانه، سبد حمایتی خانوار وخرید شارژ اینترنت رایگان سوءاستفاده کرده و پیشنهادات جذابی مانند تخفیفات عجیب و غریب، برنده شدن در مسابقات و اینترنت رایگان را
مطرح می‌کنند.
وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد. اما در ادامه، آخرین رصدهای امنیتی در فضای سایبر حکایت از این دارد که درگاه‌های پرداخت بانکی در کشور در طی دو ماه گذشته، به شدت دچار حملات فیشینگ شده‌اند. انتشار و شروع این حملات با محوریت انتشار #‫برنامکهای اندرویدی مخرب یا جعلی انجام گرفته است. ‬
شمار قربانیان فیشینگ در حالی رو به افزایش است که به دلیل ماهیت این نوع تخلفات، شناسایی عاملان سخت و پیچیده بوده و از آن سخت تر، بازگرداندن پولی است که از حسات و کارت بانکی قربانیان سرقت شده است.
کارشناسان می‌گویند قربانیان فیشینگ بهتر است قید پول خود را زده و امیدی برای بازگشت آن نداشته باشند.
واژه فیشینگ برای اولین بار در سال ۱۹۹۵ مورد استفاده قرار گرفته‌است. واژه فیشینگ مخفف عبارت Password Harvesting Fishing (شکار کردن گذرواژه کاربر از طریق یک طعمه) است که در آن حرف Ph به جای F برای القای مفهوم فریفتن جایگزین شده‌ است.
فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وب‌گاه معتبر مانند بانک‌های آنلاین انجام می‌شود. ابتدا کاربر از طریق ایمیل یا آگهی‌های تبلیغاتی سایت‌های دیگر، به این صفحه قلابی راهنمایی می‌شود. سپس از کاربر درخواست می‌شود تا اطلاعاتی را که می‌تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد، آنجا وارد کند. در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا می‌کنند. از جمله سایت‌های هدف این کار می‌توان سایت‌های پی‌پال، ای‌بی و بانک‌های آنلاین را نام برد.
> اطلاعاتی که سایت‌های فیشینگ
از شما می‌خواهند
اطلاعاتی که سایت‌های فیشینگ ممکن است از شما بخواهند از این قرار است:
1- نام کاربری و گذرواژه
2- شماره تامین اجتماعی
3- شماره‌ حساب‌های بانکی
4- کدهای پین (شماره‌های شناسایی شخصی)
5- شماره‌های کارت اعتباری
6- تاریخ تولد شما
7- اطلاعات هویتی شما
> جعل و دستکاری پیوندها و آدرس‌ها
این روش یکی از شیوه‌های متداول فیشینگ است. در این روش، پیوندها و آدرس‌های سازمان‌ها و شرکت‌های غیرواقعی و جعلی از طریق ایمیل ارسال می‌شود. این آدرس‌ها با آدرس‌های اصلی تنها در یک یا دو حرف تفاوت دارند.
> گریز از فیلترها
فیشرها برای جلوگیری از شناسایی متن‌های متداول فیشینگ در ایمیل‌ها توسط فیلترهای ضدفیشینگ از عکس به جای نوشته استفاده می‌کنند.
برخی از فیشرها از جاوااِسکریپت برای تغییر آدرس در نوار آدرس مرورگر استفاده می‌کنند تا هیچ جای شکی برای قربانی نماند. یک مهاجم حتی می‌تواند به کمک تزریق اسکریپت از طریق وب‌گاه از ایرادهای موجود در اسکریپت‌های یک سایت معتبر علیه خودش استفاده کند. در این نوع فیشینگ از کاربر خواسته می‌شود تا در بانک خودش لاگین کند. ظاهراً همه چیز عادی است. از آدرس وب‌گاه گرفته تا گواهینامه امنیتی (به انگلیسی:
‏Security Certificates). اما در واقعیت، پیوند به آن وب‌گاه دستکاری می‌شود تا با استفاده از عیب‌های موجود در اسکریپت‌های آن وب‌گاه، حمله انجام شود. با این حال این روش نیازمند دانش و آگاهی بالایی است. از این روش در سال ۲۰۰۶ برای حمله به وب‌گاه پی‌پل استفاده شد.
> فیشینگ تلفنی
تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره‌گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق‌ای پی مهیا شده‌ است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.
حملات فیشینگ در کشور رو به گسترش است. چندی پیش بود که یک باند بزرگ کلاهبرداری فیشینگ در کشور دستگیر شد.
متهمان اصلی باند بزرگ فیشینگ با گردش مالی بیش از ۵۰ میلیارد ریال و سرقت داده‌های بیش از ۶ هزار کارت بانکی توسط پلیس فضای تولید و تبادل اطلاعات هرمزگان(فتا) شناسایی و دستگیر شده بودند.
فرمانده انتظامی هرمزگان در این خصوص گفت: با مراجعه یک شاکی زن از شهرستان بندرعباس و طرح شکایتی با موضوع برداشت غیر مجاز از حساب بانکی به واسطه خرید کارت‌های هدیه به مبلغ ۳۰۰میلیون ریال، پرونده اولیه تشکیل و برای پیگیری در اختیار کارشناسان پلیس فتا استان قرار گرفت.
سردار عزیزالله ملکی ادامه داد: با شناسایی ماهیت سیستم مشخص شد پولشویی شکل گرفته و در بررسی ردپای متهمان، ارتباط موضوع با پرونده فیشینگ در سال ۹۷ محرز شد بنابراین با احضار متهمان مربوط به پرونده‌های تشکیل شده در سال گذشته و بازجویی‌های فنی، با هدف شناسایی اعضای اصلی این تیم تبهکاری، سرنخ‌های بیشتری به دست آمد.
وی بیان داشت: در جریان بررسی‌های علمی و تحقیقات تکمیلی، نام‌های کاربری کانال‌های مخفی تلگرامی استخراج شد سپس طی شناسایی صفحات فیس بوک، اینستاگرام و نفوذ به کانال‌های بسته متهمان مشخص شد که متهمان اصلی همزمان با راه‌اندازی فروشگاه‌های جعلی، سایت‌های قمار و صرافی آنلاین صوری اقدام به احراز هویت‌های جعلی،خرید ارزهای دیجیتال با بهره‌گیری از مبالغ فیشینگ،تبدیل ارزهای دیجیتال به ریال و انتقال به درگاه‌های پرداخت متصل به حساب‌های شخصی،اجاره کارت‌های بانکی متعلق به معتادین و تهیه دستگاه‌های اسکیمر می‌کنند.
رئیس پلیس هرمزگان اضافه کرد: این کانال‌ها ضمن هدایت عملیات‌های سازمان یافته فیشینگ و استخراج شناسه‌های سرقتی کارت‌های بانکی، همزمان با فعال‌سازی توکن و ربات، فعالیتی زنجیره‌ای داشتند، در سال گذشته تعدادی از زیرمجموعه‌های این گروه تبهکار در این پلیس و پلیس فتا استان‌ها دستگیر شدند اما قابلیت‌های حرفه‌ای گردانندگان اصلی برای پنهان کاری، فعالیت با هویت‌های جعلی و قطع مسیرهای ارتباطی موجب شد کارشناسان این پلیس اقدام به گسترش چتر اطلاعاتی و برپایی کمین گاه‌های مجازی برای برداشتن نقاب‌های مجازی و جمع‌آوری دلایل دیجیتال کنند.
سردار ملکی افزود: با شناسایی کامل متهمان و استخراج مدارک دیجیتال غیر قابل انکار، سرانجام در یک اقدام همزمان و ضربتی با همکاری مرکز مبارزه با جرائم سازمان یافته فتا ناجا و پلیس فتا استان خراسان رضوی،متهمین در مخفیگاه‌های خود دستگیر و این سیستم تبهکاری منحل شد،این مجرمان سایبری جهت کسب تکلیف از مقام قضایی به دادسرای عمومی و انقلاب شهرستان بندرعباس تحویل داده شدند.
> باندهای بین‌المللی فیشینگ
در این حال یکی از قربانیان فیشینگ درباره نتیجه پیگیری‌های خود گفت: پس از چند ماه پیگیری از مراجع قانونی به ما اعلام کردند که پرونده شما به یک باند بین‌المللی فیشینگ مربوط می‌شود که در ترکیه مستقر هستند اما سرشاخه‌هایی در ایران دارند.
یکی دیگر از قربانیانی که حسابش توسط سارقان اینترنتی خالی شده است نیز اظهار داشت: بارها این موضوع را پیگیری کردم، چند ماه منتظر پاسخ استعلام از بانک مرکزی، شاپرک و بانک‌های مربوطه شدم، اما هیچ نتیجه‌ای نگرفتم.
وی ادامه داد: در نهایت به ما اعلام کردند که سرقت‌ها از طریق کارت‌های بانکی سرقتی انجام شده و پول‌ها به حساب‌های دیگر منتقل شده‌اند.
> گستردگی فعالیت سارقان اینترنتی
«محمدرضا زارع» کارشناس ارشد امنیت شبکه بانکداری و کارشناس امنیت مقابله با فیشینگ و تخلفات اینترنتی در این زمینه گفت: در فیشینگ، افراد متقلب سعی می‌کنند اطلاعات بانکی و سایر اطلاعات حساس قربانیان مانند نام کاربری و رمز عبور را از طریق پیامک، سایت‌های جعلی و یا ایمیل دریافت کنند.
وی افزود: معمولاً فردی خوش‌صحبت با دادن وعده‌های دروغین، اطلاعات حساب‌های بانکی افراد را دریافت کرده و برای دستیابی به این هدف موضوعاتی مانند برنده شدن در جوایز و یا امور خیریه را نیز مطرح می‌کند.
زارع ادامه داد: این افراد سودجو معمولاً برای فریب کاری و سوق دادن افراد به سایت جعلی از سه روش تلفن کردن، ایمیل و پیامک استفاده می‌کنند.
> امنیت شبکه بانکی کاهش نیافته است
این کارشناس امنیت بانکداری درباره میزان فیشینگ و کلاهبرداری‌های اینترنتی در ماه‌های اخیر گفت: درباره آمار این گونه فریب‌کاری‌ها و تخلفات باید نهادهای ذیربط پاسخ بدهند.
زارع افزود: افزایش میزان فیشینگ به معنای این نیست که امنیت شبکه‌های اینترنتی و فناوری اطلاعات موسسات مالی و بانکی کاهش یافته، بلکه علت اصلی این افزایش به قرار گرفتن مردم در فضای هیجانی و احساسی باز می‌گردد.
وی یادآور شد: معمولاً در زمان طرح مسائلی مانند کارت‌سوخت، سهام عدالت، هدفمندی یارانه‌ها، امور خیریه و حوادثی مانند زلزله و سیل یک فضای احساسی و هیجانی شکل گرفته و فریبکاران از این فضا برای دستیابی به نیت شوم خود استفاده می‌کنند.
این کارشناس امنیت بانکداری ادامه داد: به‌ عنوان مثال زمانی که اعلام کردند کارت‌های سوخت به کارت‌های بانکی متصل می‌شود برخی افراد اقدام به طراحی سایت‌های فیشینگ کردند، این افراد پیامک‌ها و یا ایمیل‌های جعلی را به قربانیان ارسال می‌کردند که در صورت کلیک کردن روی این پیام ها، قربانیان به سوی سایت جعلی که شباهت زیادی به سایت‌های اصلی داشت هدایت می‌شدند
> تازه‌ترین بهانه فیشینگ
این کارشناس امنیت بانکداری ادامه داد: یکی از آخرین فرصت‌ها و بسترها برای کلاهبرداری‌های فیشینگ، مربوط به ارائه تخفیف برای پیامک‌های خدمات بانکی بوده است.
زارع افزود: بانک‌ها امسال برای ارسال پیامک‌های مربوط به تراکنش‌های حساب‌های بانکی مبلغ ۱۰ تا ۱۵ هزار تومان را از افراد کسر کردند که سودجویان از این فرصت برای فریبکاری استفاده می‌کنند.
وی اضافه کرد: در ماه‌های اخیر، افراد سودجو اقدام به ارسال پیامک‌هایی به قربانیان خود کردند مبنی بر اینکه در صورت پرداخت تنها پنج هزار تومان، سامانه ارسال پیامک مربوط به تراکنش‌های بانکی به مدت یک سال برایشان فعال می‌شود.
زارع خاطرنشان کرد: کلاهبرداران برای اینکه انگیزه قربانیان برای ورود به سایت‌های جعلی را بیشتر کنند، معمولا تلاش می‌کنند تا با ایجاد هیجان، امکان تصمیم‌گیری عقلانی و منطقی را از قربانیان بگیرند، بنابراین در پیام تبلیغی خود می‌گویند «تنها تا پایان این هفته فرصت دارید که از این امتیاز استفاده کنید.» که این موضوع باعث می‌شود برخی شهروندان تحریک شده و قربانی شوند.
> شیوه‌های جدید فیشینگ
این کارشناس امنیت بانکداری ادامه داد: در گذشته معمولاً در زمان فیشینگ هیچ پرداختی در سایت جعلی انجام نمی‌شد و معمولاً کاربران با پیام «عملیات ناموفق» مواجه می‌شدند، اما در شیوه‌های جدید فیشینگ معمولاً عملیات بانکی به درستی انجام شده و حتی پیامک مربوط به کسر مبلغ مورد نظر نیز برای قربانی ارسال می‌شود.
وی با توضیح این شیوه جدید گفت: در شیوه جدید معمولاً افراد خلافکار سایت پرداخت واقعی مربوط به بانک را نیز باز می‌کنند و هم زمان که فرد در سایت جعلی اطلاعات بانکی خود را وارد می‌کند، افراد سودجو اطلاعات دریافتی را در سایت اصلی درج می‌کنند بدین ترتیب پرداخت به صورت واقعی انجام شده و پیامک نیز به قربانی ارسال می‌شود اما واقعیت این است که اطلاعات بانکی فرد از طریق سایت جعلی لو رفته است.
> بازگرداندن مبلغ سرقت شده در فیشینگ
دشوار است
این کارشناس امنیت بانکداری درباره بازگرداندن وجود سرقت شده در فیشینگ، اظهار داشت: پیگیری این‌گونه تخلفات بسیار مشکل بوده و به سختی مبلغ سرقت شده به قربانی
بازگردانده می‌شود. وی افزود: در این گونه موارد، کار خاصی نمی‌توان انجام داد مگر اینکه قبل از انتقال همه پول‌های سرقت شده به حساب اصلی فرد سودجو، این کلاهبرداری کشف شود.
> توصیه‌های بانک‌ها به مشتریان
زارع یادآور شد: از جمله اقداماتی که بانک‌ها می‌توانند در این خصوص انجام دهند این است که نرم‌افزارهای خود را به‌طور مرتب به‌روزرسانی و به کاربران هشدارها و توصیه‌های امنیتی لازم را اعلام کنند.
این کارشناس امنیت بانکداری افزود: همچنین بانک‌ها از مشتریان درخواست ‌کنند که نسخه‌های مرورگر اینترنت خود را به روز کرده و از آخرین نسخه‌های آن استفاده کنند.
وی خاطرنشان کرد: مرورگرهای قدیمی معمولاً خلاهای امنیتی زیادی دارند و به همین دلیل به راحتی مورد سوء استفاده قرار می‌گیرند، اما در نسخه‌های جدید معمولاً ایرادات امنیتی آنها رفع می‌شود.
زارع درباره تغییر مرتب رمز عبور نیز گفت: اینکه بانک‌ها مردم را مجبور کنند که رمز خود را به صورت پیوسته و مثلاً چند ماه یک بار تغییر دهند، برای مشتریان مشکل ساز خواهد بود، بنابراین بانک‌ها فقط می‌توانند توصیه کنند که هر چند ماه یک بار رمز خود را تغییر دهند.
> فریب اینترنت رایگان را نخورید
این کارشناس امنیت بانکداری با اشاره به فیشینگ در مکان‌های عمومی گفت: افراد اشتباه کرده و در کافی‌نت‌ها و مکان‌های عمومی، اطلاعات مربوط به حساب‌های بانکی خود را افشا و یا پرداخت بانکی انجام می‌دهند.
وی افزود: گاهی اوقات در مکان‌های عمومی که اینترنت رایگان ارایه می‌شود، ترافیک اینترنت رصد شده و بدین شکل اطلاعات بانکی افراد قابل دسترسی خواهد بود.
> مراقب پیامک‌های جعلی با عنوان بانک باشید
این کارشناس امنیت بانکداری افزود: مردم به پیامک‌های تبلیغاتی و ایمیل‌ها توجه نکنند و پیش از باز کردن پیام مطمئن شوند که واقعی هستند.
زارع خاطرنشان کرد: هیچ وقت هیچ بانک و موسسه اعتباری به مشتریان ایمیل نمی‌زند که برای گرفتن جایزه، اطلاعات بانکی خود را
وارد کنند.
وی ادامه داد: اگر پیامی برای شما ارسال شد که به دلایل امنیتی باید اطلاعات حساب بانکی خود را بازبینی کنید و سپس شما را به سمت صفحه اینترنتی بانکی هدایت کنند به هیچ وجه آن را باز نکنید؛ زیرا برای فریب شما این اقدام انجام می‌شود.
این کارشناس امنیت بانکداری اظهار داشت: همچنین در زمان خرید و یا پرداخت اینترنتی حتماً آدرس درگاه پرداخت بانک را خودتان به صورت دستی وارد کنید و از طریق گوگل،
جستجو نشود.
وی افزود: به شاخص‌های امنیتی صفحات پرداخت مانند علامت «قفل سبز بسته شده» و یا عبارت «شاپرک» نیز توجه شود.
زارع ادامه داد: اگر خواستید که سایت بانکی را باز کنید حتماً آدرس اینترنتی را به همراه پسوند به طور کامل وارد کنید و از مرورگرهای جدید استفاده شود.
وی با توصیه به استفاده از آنتی ویروس‌های به روز شده گفت: معمولاً نرم‌افزارهای امنیتی با آخرین ویروس‌ها و سایت‌های جعلی و فیشینگ آشنا بوده و اجازه فعالیت به آنها نمی‌دهند.
این کارشناس امنیت بانکداری درباره استفاده از رمز دوم یک بار مصرف برای کاهش فیشینگ و تخلف اینترنتی گفت: این طرح به دلیل فراهم‌نبودن زیرساخت‌ها توسط بانک‌ها و همچنین عدم استقبال مردم در حال حاضر در اولویت
قرار نگرفته است.
زارع افزود: در این طرح مسایل مختلفی مطرح است از جمله اینکه رمز دوم یکبار مصرف به چه صورت به دست مصرف‌کننده می‌رسد، آیا از طریق پیامک و نرم‌افزار خواهد بود
یا سایر روش‌ها؟
این کارشناس امنیت بانکداری تاکید کرد: رمز دوم یک بار مصرف می‌تواند جلوی فیشینگ و تخلفات خریدهای اینترنتی را بگیرد اما باید برای آن فرهنگسازی و بسترسازی شود.
زارع خاطرنشان کرد: اگر مردم بفهمند که در اینترنت به صورت رایگان کالا یا هدیه‌ای به کسی نمی‌دهند آنها دیگر به راحتی فریب سودجویان و کلاهبرداران را نخورده و در دام فیشینگ
گرفتار نمی‌شوند.
> توصیه‌های امنیتی به مردم
1-پرهیز از نصب برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده
2-پرهیز از نصب برنامک‌های اندرویدی منتشر شده در شبکه‌های اجتماعی و کانال‌های نامعتبر و یا حتی معتبر!
3- هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر
صورت پذیرد.
4- درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و به صورت زیردامنه‌هایی از shaparak.ir (بدون هرگونه تغییر در حروف) معتبر می‌باشند.
صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست.حتما به آدرس دامنه وبسایت دقت کنید.
استفاده از نرم‌افزارهای ضد هک و فیشینگ مانند کومودو که با فایروال قوی خود مانع هک شدن می‌شود. برای جلوگیری از افزایش آمار فیشینگ و سرقت اطلاعات باید آگاهی کاربران را افزایش داد. نباید به ایمیل‌هایی که از شما در آن‌ها خواسته شده تا فرمی را پر کنید اطمینان کرد. نباید اطلاعات حساب کاربری خود را در اختیار سایت‌ها قرار داد. کاربران برای پرداخت آنلاین باید از درگاه‌های مخصوص بانک‌ها استفاده کنند. سعی کنید به ایمیل‌های داخل Spam در حساب کاربری تان بی‌اعتنا باشید و آن‌ها را پاک کنید.
در عین حال مرکز ماهر وزارت ارتباطات و فناوری اطلاعات افزونه ضد فیشینگ تحت نسخه کامپیوتر و موبایل را تولید کرد که می‌تواند از کاربران در مقابل حملات فیشینگ و سرقت اطلاعات بانکی محافظت کند.
حفظ امنیت اطلاعات کاربران از جمله اطلاعات بانکی در زمان استفاده از درگاه‌های پرداخت به منظور انجام پرداخت اینترنتی ایمن از اهمیت بسیار بالایی برخوردار است؛ بر اساس گزارش‌های مراکز امنیتی معتبر جهان، کلاهبرداری با استفاده از فیشینگ و ایجاد درگاه‌های پرداخت جعلی رشد بسیار زیادی به خصوص برای کاربران تلفن‌های هوشمند داشته و بسیاری از کاربران در زمان استفاده از درگاه‌های پرداخت نگران به سرقت رفتن اطلاعات و رمز کارت بانکی خود به منظور سوءاستفاده توسط کلاهبرداران سایبری هستند که می‌تواند برداشت غیر مجاز را به عنوان یکی از جرایم بزرگ فضای مالی و سایبری به دنبال داشته باشد.
فیشینگ در ایران یکی از جرایم و روش‌های کلاهبرداری محبوب برای کلاهبرداران سایبری به منظور سرقت اطلاعات کارت‌های بانکی شهروندان و در نتیجه برداشت غیر مجاز از حساب‌های بانکی مالباختگان است که در این زمینه تعداد بسیار زیادی پرونده هر ساله در پلیس فتا ثبت و توسط این پلیس پیگیری می‌شود.
> چالشی اساسی برای ایرانیان
فیشینگ در ایران به یک چالش اساسی تبدیل شده تا جایی که امروزه یک سوم از جرایم مالی سایبری به فیشینگ اختصاص پیدا کرده و همچنان این نوع کلاهبرداری در حال افزایش است؛ در همین راستا بانک مرکزی، شرکت شاپرک، پلیس فتا، دادستانی کل کشور و وزارت ارتباطات و فناوری اطلاعات هر کدام با توجه به اختیاراتی که دارند صفحات فیشینگ را رصد و مسدود می‌کنند و از سویی دیگر با فرهنگ‌سازی و استفاده از ظرفیت‌های فرهنگی و اطلاع‌رسانی نحوه تشخیص درگاه‌های اصلی و تقلبی را به شهروندان آموزش می‌دهند تا این روش کلاهبرداری سرکوب شود که نتایج خوبی
داشته است.
یکی از راه‌های ساده تشخیص صفحات فیشینگ استفاده از نرم افزارها و افزونه‌های تشخیص درگاه‌های پرداخت اصلی و تقلبی است که در همین زمینه مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای) متعلق به وزارت ارتباطات و فناوری اطلاعات با همکاری مرکز آپا دانشگاه سمنان افزونه‌ای با هدف شناسایی و آگاه ساختن سرویس‌گیرنده وب از درگاه‌های جعلی پرداخت اینترنتی، افزونه تشخیص صفحات جعلی (فیشینگ) را تولید کرده است که می‌تواند پس از ورود به صفحه درگاه پرداخت در کسری از ثانیه و اتوماتیک درگاه‌های پرداخت ایرانی اصلی را از تقلبی تشخیص دهد که استفاده از آن می‌تواند برای کاربران امنیت بالایی را رقم بزند و در عین حال با شناسایی اتوماتیک درگاه‌های پرداخت تقلبی گزارش و آدرس درگاه برای بررسی بیشتر به مرکز ماهر برای بررسی و ارسال گزارش به بانک مرکزی و دادستانی بررسی می‌شود.
گزارش‌ها در ایران و جهان نشان می‌دهد که عمده حملات فیشینگ از سوی کلاهبرداران سایبری که به برداشت غیر مجاز ختم می‌شود از طریق گوشی‌های هوشمند رخ می‌دهد و کابران با نصب افزونه ضد فیشینگ بر روی تلفن هوشمند خود می‌توانند پرداختی امن را تجربه کنند؛ هنگامی که کاربر وارد صفحه درگاه پرداخت اصلی و معتبر با مجوز شاپرک و بانک مرکزی می‌شود برای او پیامی با عنوان این درگاه اصلی است شما به طور امن از درگاه "شرکت تجارت الکترونیک..." استفاده می‌کنید، نمایش داده می‌شود.
از سویی دیگر هنگامی که کاربر وارد صفحه فیشینگ یا همان درگاه پرداخت جعلی می‌شود به صورت اتوماتیک به کاربر هشدار داده می‌شود و پس از آن کاربر بدون این که اطلاعاتی را در صفحه فیشینگ وارد کند به صفحه ارسال گزارش برای درگاه پرداخت جعلی به مرکز ماهر ارجاع داده می‌شود و دلایل تشخیص درگاه به عنوان درگاه جعلی به کاربر اعلام می‌شود که باعث می‌شود تا از انجام حمله فیشینگ جلوگیری شود و دامنه فیشینگ برای پیگیری‌های بعدی در اختیار مرکز ماهر وزارت ارتباطات و فناوری اطلاعات قرار بگیرد.
بر اساس اطلاعیه مرکز ماهر، افزونه ضد فیشینگ درگاه بانکی که با استفاده از تکنولوژی‌ها و سیاست‌های اتخاذ شده حریم خصوصی آن‌ها را حفظ می‌کند و این مرکز تاکید کرده این نرم‌افزار فقط در صورتی که درگاه پرداخت الکترونیکی را جعلی تشخیص دهد، آدرس درگاه را برای بررسی بیشتر به سرور ارسال خواهد کرد و هیچ اطلاعات دیگری از کاربر دریافت نخواهد شد.
‏> HTTPS را هم هک می‌کنند
یاسر سلیمانی کارشناس حوزه ارتباطات وفناوری در گفت‌وگو با آفتاب یزد در این خصوص گفت: تحقیقات اخیر نشان می‌دهد نزدیک به ۶۰ درصد از صفحه‌های فیشینگ و کلاهبرداری از پروتکل امن HTTPS و گواهی TLS استفاده می‌کنند.
وی ادامه داد: یعنی دیگر نمی‌توان گفت که اگر سایتی با https شروع می‌شود امن است. این روند افزایش استفاده از HTTPS در سایت‌های فیشینگ و جعلی از سال ۲۰۱۶ پیوسته در حال افزایش است.
به گفته وی HTTPS طراحی شده تا با رمزگذاری ترافیک بین وب‌سایت و مرورگر، از حریم خصوصی افراد حفاظت کند. بدین‌ترتیب دیگران نمی‌توانند داده‌ی تبادل‌شده را رویت کنند. این پروتکل در ابتدا برای محافظت از صفحات حاوی فرم‌هایی با اطلاعات حساس مانند اطلاعات ورود کاربران و کارت‌های اعتباری با هدف جلوگیری از رصد‌شدن ترافیک آن‌ها طراحی شد؛ اما طولی نکشید که HTTPS به استاندارد ارتباطی بین تمام سایت‌ها تبدیل شد.
وی تصریح کرد: آمار منتشرشده از فیش‌لبز، شرکتی که فعالیت‌های فیشینگ را در مقیاسی بزرگ زیر نظر دارد، نشان می‌دهد ۵۸ درصد از وب‌سایت‌های فیشینگی که در ماه‌های ابتدایی ۲۰۱۹ ایجاد شدند، از پروتکل امن HTTPS استفاده می‌کردند. بدین‌ترتیب، افزایشی ۱۲درصدی درمقایسه‌با چهار ماه پایانی ۲۰۱۸
یافته است.
وی خاطرنشان کرد: هشدار‌های گاه و بی‌گاه مرورگر‌ها در مورد سایت‌هایی که از HTTPS استفاده نمی‌کنند باعث شد تا کلاهبرداران مجبور به استفاده از HTTPS در سایت خود شوند. البته که جعل گواهی TLS غیرممکن است اما اکنون دیگر گرفتن این گواهی پیچیده یا گران نیست، بلکه حتی می‌توان آن را به صورت رایگان هم به دست آورد. جان لاکور، موسس و مدیرفنی فیش‌لبز می‌گوید: مهاجمان به‌راحتی می‌توانند گواهی‌ DV (اعتبارسنجی دامنه) بسازند و در مجموع، وب‌سایت‌های بیشتری هم از SSL استفاده می‌کنند؛ چرا که مرورگرها وقتی از SSL استفاده نمی‌شود، به کاربران هشدار می‌دهند و بیشتر جرم‌های فیشینگ هم روی وب‌سایت‌های معتبر هک‌شده اتفاق می‌افتد.
وی افزود: افراد محقق در این زمینه بر این نظرند که هر چه جلو‌تر می‌رویم استفاده کلاهبرداران از HTTPS بیشتر خواهد شد، چون امروزه اگر سایتی پروتکل HTTPS را رعایت نکند به معنای پایان کار آن سایت است.
وی به مردم توصیه کرد: وقتی وارد درگاه بانکی می‌شوید و می‌خواهید رمز دوم کارت بانکی خود را وارد کنید حتما از صفحه کلید مجازی نمایش داده شده استفاده کنید. این کار باعث می‌شود اطلاعات در مرورگر اینترنتی شما ذخیره نشود و در آینده برای هکر‌ها قابل دسترس نباشد. متاسفانه برخی کاربران به دلیل کوچک بودن و گاهی کندی در تایپ رمز، حوصله استفاده از آن را ندارند.
> خرید تنها از فروشگاه‌های معتبر
وی خاطرنشان کرد: امروزه بازار فروشگاه‌های اینترنتی رو به رونق است و مردم علاقه زیادی به خرید اجناس از اینترنت دارند. اما اولین نشانه قابل اعتماد بودن آن فروشگاه، توجه به نماد الکترونیکی است. نماد اعتماد را وزارت بازرگانی برای سایتهای فروشگاهی صادر می‌کند تا در صورتی که خریدار در این فرآیند دچار مشکل شد، امکان پیگیری آن از طریق مراجع قانونی به‌راحتی امکانپذیر باشد.
وی ادامه داد: در نظر داشته باشید که باید قبل از خرید، با کلیک روی نماد اعتماد، وارد سایت وزارت بازرگانی شوید و از اعتبار و مدت زمان فعالیت نماد اعتماد فروشگاه اینترنتی مورد نظرتان آگاهی پیدا کنید. در غیر اینصورت هرگونه ضرر و زیانی به پای خریدار است و مسئله قابل پیگیری نیست.
به گفته وی در روش فیشینگ، کلاهبردارهای اینترنتی صفحه درگاه بانکی را درست همانند سایتهای عامل طراحی می‌کنند و در یک سایت غیررسمی بارگذاری می‌کنند. طراحی سایتی همانند درگاه بانکی کشور کمتر از نیم ساعت برای یک طراح سایت زمان می‌برد. چیزی که اهمیت دارد شکل و شمایل صفحه درگاه نیست بلکه لازم است آدرس درگاه بانکی را به دقت ملاحظه کنید.
وی گفت: تمامی درگاه‌های بانکی کشور زیر نظر سایت شاپرک فعالیت دارند. از این رو هنگام وارد کردن اطلاعات کارت بانکی خود، می‌بایست آدرس سایت ” shaparak.ir ” را در آدرس بار ببینید.
در نظر داشته باشید که قبل از آدرس سایت شاپرک، زیر دامنه (ساب دامنه) بانک مورد نظر قرار دارد.
لینک منبع خبر
پربازدیدترین‌های روزنامه ها
از دستگیری شیطان هزار چهره تا سرقت با پابند الکترونیکی (جوان) اخبار ویژه (کيهان) تبیین راه‌های مشارکت مردم در جهش تولید وظیفه مهم مسئولان (تجارت)
سایر اخبار این روزنامه
به من ربطی ندارد که تورم، قیمت خانه ام در فرمانیه را بالا برده است ذینفعان بروکراسی پیچیده اداری در ایران مدارس هم به پیمانکاران واگذار می‌شود؟ سود مدارس از فروش لباس مدرسه ۴ برابر تولیدکنندگان است! چکار کنیم سارقان اینترنتی جیبمان را خالی نکنند فلاحت‌پیشه: از هر گونه تحلیل مداخله جویانه در قبال عراق باید پرهیز کرد بازی با نابغه 6 ساله؟ راه‌اندازی گروه‌های امر به معروف در مراکز تجاری بدهکاران طلبکار فروکش تظاهرات عراق خلاقیت کجای ماجراست؟! حکمرانی شیشه ای و حاکمیت جیوه ای مجلس جای سکوت‌کنندگان نیست خلاقیت کجای ماجراست؟! حکمرانی شیشه ای و حاکمیت جیوه ای بازداشت "سحر تبر" حمید استیلی سرمربی تیم ملی امید شد توقف پرواز هواپیماهای u2 در منطقه