شناسه خبر : 31931 لینک کوتاه
تاریخ انتشار:

هزینه ناآگاهی

حمیدرضا مختاریان از چگونگی مقابله با فیشینگ می‌گوید

در سال‌های اخیر استفاده از کارت‌های بانکی برای خریدهای اینترنتی، تراکنش‌های غیرحضوری و... با افزایش چشمگیری روبه‌رو شده و این در حالی است که به همین نسبت کلاهبرداران اینترنتی و سودجویان نیز بیشتر شده‌اند. به‌طوری که به تازگی برخی آمارها از رشد شدید کلاهبرداری اینترنتی در زمینه فیشینگ حکایت دارند. به این بهانه با حمیدرضا مختاریان مدیرعامل شرکت داده‌ورزی سداد درباره علل اوج‌گیری فیشینگ در ماه‌های اخیر در جامعه ایرانی به گفت‌وگو پرداختیم.

در سال‌های اخیر استفاده از کارت‌های بانکی برای خریدهای اینترنتی، تراکنش‌های غیرحضوری و... با افزایش چشمگیری روبه‌رو شده و این در حالی است که به همین نسبت کلاهبرداران اینترنتی و سودجویان نیز بیشتر شده‌اند. به‌طوری که به تازگی برخی آمارها از رشد شدید کلاهبرداری اینترنتی در زمینه فیشینگ حکایت دارند. به این بهانه با حمیدرضا مختاریان مدیرعامل شرکت داده‌ورزی سداد درباره علل اوج‌گیری فیشینگ در ماه‌های اخیر در جامعه ایرانی به گفت‌وگو پرداختیم. این مدیر بانکی کشور می‌گوید فیشینگ و به‌طور کلی کلاهبرداری‌های اینترنتی تنها گریبانگیر ما در ایران نیست و تقریباً تمام کشورهای دنیا با آن دست و پنجه نرم می‌کنند. کلاهبرداران اینترنتی همواره به دنبال به‌روز کردن روش‌های کلاهبرداری خود هستند ولی ما (رگولاتوری) ابتدا منتظر می‌مانیم یک روش کلاهبرداری پیدا شود و بعد راهی برای مقابله با آن پیدا کنیم، همین دنباله‌رو بودن ماست که مشکل ایجاد می‌کند و موجب رشد میزان تخلفات می‌شود. موضوعی که وجود دارد این است که در اکثر کشورها مقامات پولی و مالی به دنبال اتخاذ راهکاری هستند تا حجم تخلفاتی را که در این حوزه اتفاق می‌افتد کم کنند و ما نیز در کشور به دنبال همین هستیم.

♦♦♦

برخی گزارش‌های غیررسمی حاکی از آن است که میزان کلاهبرداری‌های اینترنتی مربوط به فیشینگ رشد زیادی در تابستان امسال داشته است. به‌طوری که یک‌چهارم فیشینگ یک‌سال گذشته در تیرماه امسال رخ داده است. پدیده فیشینگ چیست و چرا در ایران به مرز هشدار رسیده است؟

در سال‌های اخیر افزایش استفاده از خدمات درگاه‌های اینترنتی و موبایل برای پرداخت آنلاین در جامعه‌مان باعث شده تا میزان تخلفات کلاهبرداری‌های اینترنتی مانند فیشینگ بیشتر از گذشته دیده شوند و به چشم بیایند در حالی که از همان زمان فراگیری استفاده اینترنت در جهان، پدیده فیشینگ نیز وجود داشته و این موضوع مختص به زمان حال نیست. در واقع مبحث فیشینگ و به‌طور کلی کلاهبرداری‌های اینترنتی تنها گریبانگیر ما در ایران نیست و تقریباً تمام کشورهای دنیا با آن دست و پنجه نرم می‌کنند چراکه این موضوع از یک عامل یا خطای انسانی به وجود می‌آید. افراد به عنوان عنصری در حلقه خدمت‌رسانی، ممکن است به دلایل مختلف و با وجود پیش‌بینی‌های موجود، اهداف مدنظر را به نتیجه نرسانند و در دام فیشینگ بیفتند. فیشینگ یعنی اخذ اطلاعات کارت بانکی از طریق سایت‌های جعلی و خالی کردن حساب، که افراد به علت عدم آگاهی در این دام می‌افتند.

از سوی دیگر، تکنیک‌های فیشینگ نیز یکسان نبوده و مرتباً در حال تغییر است و افراد سودجو به‌طور مداوم در حال عوض کردن روش‌های خود هستند چراکه تکنیک‌های قدیمی به مرور زمان کهنه شده و راه‌های مقابله با آن نیز پیدا می‌شود. نکته‌ای که وجود دارد این است که کلاهبرداران اینترنتی همواره به دنبال به‌روز کردن روش‌های کلاهبرداری خود هستند ولی ما (رگولاتوری) ابتدا منتظر می‌مانیم یک روش کلاهبرداری پیدا شود و بعد راهی برای مقابله با آن پیدا کنیم، همین دنباله‌رو بودن ماست که مشکل ایجاد می‌کند و موجب رشد میزان تخلفات می‌شود. موضوعی که وجود دارد این است که در اکثر کشورها مقامات پولی و مالی به دنبال اتخاذ راهکاری هستند تا حجم تخلفاتی را که در این حوزه اتفاق می‌افتد کم کنند و ما نیز در کشور به دنبال همین هستیم.

در حالی که همواره آمارهایی از رشد میزان تخلفات فیشینگ در کشور خبر می‌دهد، اما هیچ‌گاه به‌طور رسمی از علل رشد این پدیده سخنی به میان نیامده است، به نظر شما چه عواملی باعث شده تا در حال حاضر حجم فیشینگ چند برابر شود؟ آیا بالا رفتن حجم پرداخت اینترنتی تنها دلیل این موضوع بوده یا عوامل اقتصادی در خصوص افزایش این تخلفات تاثیرگذار بوده است؟

به نظر من دو عامل را می‌توان بیش از سایر عوامل موثر دانست، نخست اینکه با استفاده بیشتر مردم از ابزارهای نوین، این تخلفات بیشتر دیده شده است. به هر حال روزبه‌روز تکنولوژی‌ها و اپلیکیشن‌های جدیدی به بازار می‌آیند و هر کدام از این اپ‌ها در واقع یک فرصت تازه برای کلاهبردارها ایجاد می‌کنند. به عبارت دیگر ارائه هر قابلیت یا امکان جدید موجب می‌شود تا عده‌ای به فکر چگونگی سوءاستفاده از این قابلیت‌ها باشند. مثال‌های زیادی در این زمینه وجود دارد که از میان آنها می‌توان به قضیه سهام عدالت یا کارت سوخت اشاره کرد. به‌طور کلی هر چیزی که ثبت نام آنلاین و پرداخت اینترنتی داشته باشد فرصتی را برای سوءاستفاده در اختیار کلاهبرداران قرار می‌دهد که یک نمونه بسیار متداول و اخیر آن را در سایت دیوار مشاهده کردیم که با توجه به قابلیت‌های بسیار کارآمدی که دارد فرصتی را در اختیار سودجویان قرار می‌دهد که با سوءاستفاده از امکانات آن به کلاهبرداری بپردازند.

عامل دوم این است که در حوزه فرهنگ‌سازی، ارتباط با مشتری و مقابله با چنین تخلفاتی یا به‌طور کلی اقدامات سیاستگذاری و نظارتی فعال و قابل توجهی صورت نگرفته یا اگر هم گرفته چندان موثر نبوده است. اگرچه بسیاری از سایت‌ها «ای-نماد» دریافت می‌کنند اما مهم این است که مردم با «ای-نماد» آشنا باشند و در مواجهه با سایت‌هایی که چنین نمادی ندارند احتیاط بیشتری به خرج دهند که متاسفانه چنین فرهنگ‌سازی و اطلاع‌رسانی‌ای کمتر مدنظر قرار گرفته است.

 مردم نسبت به هشدارهای پلیس فتا در فضای مجازی بی‌تفاوت هستند و فریب موضوعات جذابی مانند کارت سوخت، قطع یارانه، سبد حمایتی خانوار و خرید شارژ اینترنت رایگان و... را می‌خورند. تا حدودی این مساله مشابه سرمایه‌گذاری مردم در موسسات مالی غیرمجاز است که با وجود هشدارهای متعدد بانک مرکزی باز هم مردم به سمت این موسسات کشیده می‌شوند. اینکه نهادهای متولی و نظارتی تنها به هشدار دادن بسنده می‌کنند و فرهنگ‌سازی و اطلاع‌رسانی صحیح درباره کلاهبرداری‌های اینترنتی چندان مورد توجه نیست چه عواقبی دارد؟

نکته مهم این است که کلاهبرداران اینترنتی دقیقاً از همین بی‌اطلاعی و احساسات مردم سوءاستفاده می‌کنند. برخی را با سوءاستفاده از عقاید مذهبی و دینی و سفر کربلا فریب می‌دهند، برخی را با تهدید در مورد تعلق نگرفتن کارت سوخت و برخی را با تهدید قطع یارانه گول می‌زنند.

در واقع تطمیع، اشتیاق و تهدید ابزارهایی است که کلاهبرداران با استفاده از آنها احساسات مردم را مورد هدف قرار می‌دهند و واقعیت هم این است که وقتی احساسات درگیر موضوعی شود دیگر حتی انسان‌های مطلع و تحصیل‌کرده نیز به برخی از مشاهدات عینی خود توجهی ندارند چه برسد به افرادی که به کل از موضوع بی‌اطلاع‌اند.

از سوی دیگر تجربه موضوعاتی نظیر قطع شدن یارانه موضوعی است که امکان اتفاق افتادن آن در واقعیت نیز وجود دارد و بنابراین برخی از مردم از ترس اینکه به عنوان مثال یارانه‌شان قطع شود یا کارت سوخت به آنها تعلق نگیرد نسبت به این تهدیدات واکنش نشان داده و در دام کلاهبرداران می‌افتند. در مجموع مقابله با این موارد نیازمند عزمی جدی بابت اطلاع‌رسانی به مردم است به این صورت که به عنوان مثال یک مسیر یا سایت یا سرشماره را به عنوان منبع اطلاع‌رسانی رسمی به مردم معرفی کنند تا مردم با دیدن آن سرشماره مشخص، متوجه شوند این پیامکی که برایشان ارسال می‌شود معتبراست و از یک سازمان رسمی ارسال شده است و نسبت به جعلی بودن شماره‌های دیگری که با آن نام پیامک می‌فرستند اطمینان پیدا کنند.

شما در بخشی از صحبت‌هایتان به عقب‌ماندگی رگولاتوری اشاره کردید، آیا واقعاً همه این موارد وظیفه سیاستگذاران پولی است یا نهادهای دیگر نیز باید همکاری کنند؟ به عنوان مثال در خصوص موضوع سایت‌هایی نظیر دیوار که خودتان نیز به آن اشاره کردید برخورد پلیس فتا و سیاستگذاران برخوردی قهری بود که به تهدید تعطیلی این سایت‌ها نیز انجامید؛ این در حالی است که مساله کلاهبرداری و فیشینگ در همه جای دنیا وجود دارد حتی سایت‌های معروفی چون آمازون هم در امان نیستند، ولی در دنیا راهکارها و تدابیر امنیتی ویژه‌ای اندیشیده‌اند اما در ایران چنین چیزی دیده نمی‌شود، این موضوع ناشی از چیست؟

بدون شک بزرگ‌ترین اشتباهی که سیاستگذار و رگولاتور می‌تواند انجام دهد محدود کردن و تعطیلی سایت‌های آنلاین و اپ‌ها در جهت مقابله با کلاهبرداری‌های اینترنتی است. چراکه به این سایت‌ها در جامعه نیاز مبرم وجود دارد و با تعطیلی این سایت‌ها که احساس نیاز مردم از بین نمی‌رود و قطع به یقین جایگزینی برای آنها پیدا خواهد شد. اما اینکه چرا مردم به دام این کلاهبرداران می‌افتند دلیلش همان بی‌اطلاعی آنهاست. در حال حاضر در دنیا هم همانند ایران شرکت‌های مختلف ای‌میل‌ها یا پیامک‌های متعددی را به صورت اتفاقی و دسته‌جمعی به مخاطبان مختلف می‌فرستند ولی بحث آگاهی باعث می‌شود که پیام‌ها و ای‌میل‌های رسمی و معتبر را از نمونه‌های جعلی و غیرمعتبر تشخیص دهند.

مطمئناً سیاستگذار پولی می‌تواند به این آگاهی‌بخشی و کاهش تخلفات کمک کند اما باید سایر نهادها نیز در این زمینه همکاری داشته باشند. همان‌طور که کشورهای دیگر اقدامات متفاوتی را در زمینه پرداخت اینترنتی و به منظور کاهش حجم تخلفات انجام داده‌اند. به عنوان مثال در برخی از کشورها قانونگذار به منظور جلوگیری از این تخلفات از کاربرانی که می‌خواهند از طریق اینترنت بحث پرداخت را انجام دهند خواسته است تا یک افزونه خاص (plug-in) را بر مرورگر خود نصب کنند.

کاری که این پلاگین انجام می‌دهد این است که سایت‌‌های معتبر را از سایت‌های غیرمعتبر تشخیص می‌دهد و بنابراین فرد با دیدن اخطار این پلاگین دیگر تراکنش خود را از طریق یک سایت جعلی انجام نخواهد داد. در واقع رگولاتور با کمک برخی ابزارهای تکنولوژیک و فناوری به کمک کاربران آمده و میزان تخلفات را کمتر کرده است اما صرفاً استفاده از تکنولوژی منجر به تاثیرگذاری و کاهش تخلفات نخواهد شد بلکه این موضوع باید در کنار اطلاع‌رسانی هدفمند و دقیق باشد تا بتواند موثرتر واقع شود.

به‌طور کلی دلایل زیادی در خصوص به دام افتادن مردم توسط دام فیشینگ وجود دارد. یکی از این دلایل این است که مشتریان نقطه تماس واحدی در خیلی از بانک‌ها ندارند تا از صحت و سقم برخی از موضوعاتی که به نام آن بانک تبلیغ می‌شود باخبر شوند. در واقع یکی از معضلات اصلی این است که به موضوع ارتباط با مشتری در کشور اهمیت چندانی داده نمی‌شود و همین موضوع باعث شده مشتری سردرگم شود و اطلاعات بانکی خود را در اختیار افراد غیرمجاز قرار دهد.

به اعتقاد بسیاری از متخصصان یکی از راه‌های جلوگیری از فیشینگ استفاده از رمز یک‌بارمصرف (OTP) است. با علم به این موضوع مدتی پیش بانک مرکزی بانک‌ها را ملزم به راه‌اندازی سیستم رمز یک‌بارمصرف کرد اما باز هم مشاهده می‌شود که هنوز این فرآیند اجرا نشده و با تاخیر متعددی مواجه شده است، به نظر شما علت این تاخیرها چیست؟ و آیا استفاده از رمز یک‌بارمصرف واقعاً کارگشا خواهد بود؟

به نظر من تکنولوژی در این زمینه می‌تواند کمک شایان توجهی بکند و OTP به عنوان یک نمونه از تکنولوژی قادر خواهد بود عملکرد بسیار خوبی در زمینه کاهش فیشینگ داشته باشد اگرچه مطمئناً این راهکار فیشینگ را به صفر نخواهد رساند اما می‌تواند به نوعی ریسک را تا حد قابل قبولی مدیریت کند. اما مشکلی که در این میان وجود دارد، پذیرش این موضوع در میان مردم است که متاسفانه کمتر به آن توجه می‌شود.

در دنیا بحثی تحت عنوان «تفکر طراحی» مطرح است که به این موضوع می‌پردازد که شما چگونه احساسات مشتریان را درک کرده و به آنها بفهمانید که چگونه می‌توانند از یک مفهوم در شرایط مختلف بهترین استفاده را بکنند. به عنوان مثال در همین بحث OTP وقتی شما در زمانی‌که صحبت از اجباری شدن آن بود، با عموم مردم صحبت می‌کردید، متوجه می‌شدید که اکثر آنها اصلاً نسبت به OTP آشنایی نداشته و از چگونگی کارکرد و مزایای آن بی‌خبرند. این در حالی بود که بانک‌ها تصور می‌کردند با این حجم از تبلیغاتی که انجام داده‌اند سطح آگاهی مردم را بالا برده‌اند. واقعیت این است که بسیاری از مردم مطمئناً تبلیغات OTP را روی بیلبوردها دیده بودند و حتی خبر اجباری شدن آن را نیز خوانده بودند اما نتوانستند میان آن تبلیغ و اجباری شدن رمز یک‌بارمصرف ارتباطی برقرار کنند. آمار و ارقام موجود نیز نشان می‌دهد حتی تا روز آخری که این اجبار وجود داشت نیز بسیاری از مردم به سراغ فعال‌سازی رمز یک‌بارمصرف خود نرفته بودند.

به همین دلیل، نحوه اطلاع‌رسانی به مردم از اهمیت بسیار بالایی برخوردار است و صرفاً نباید به آگهی تلویزیونی یا بیلبوردهای خیابانی بسنده کرد و باید نوع تبلیغات عوض شود و توضیحات واضح‌تری به مشتریان داده شود و امکان پیگیری نیز به آنها داده شود.

در حقیقت به‌جای اینکه مشتری برای گرفتن اطلاعات به سراغ ما بیاید ما باید خودمان به صورت آگاهانه به سراغ مشتری رفته و اطلاعات مورد نیاز را به آنها بدهیم. به‌طور خلاصه از نظر من نوع فرهنگ‌سازی و تبلیغات بسیار مهم‌تر از حجم آن است.

راهکارهای مختلفی برای جلوگیری از فیشینگ به مردم توصیه شده است. به عنوان مثال تفکیک حساب‌های اصلی و فرعی یا راه‌های شناخت درگاه‌های اینترنتی جعلی نمونه‌هایی از این راهکارها هستند. توصیه‌های شما در این خصوص چیست و به نظر شما مردم باید چه تمهیداتی را به کار ببندند تا اسیر فیشینگ و این قبیل کلاهبرداری‌ها نشوند؟

مهم‌ترین توصیه من به مردم این است که احساسات خود را کنترل کنند. هر جایی که ترسیدند، اشتیاق زیاد به وجود آمد، یا طمع کردند، اندکی فکر کنند و بعد تصمیم بگیرند.

وقتی با پیامک برنده شدن سفر کربلا، ثبت نام کارت سوخت، اخطار قطع یارانه و عدم واریز سود سهام عدالت و از این قبیل پیامک‌ها مواجه می‌شوند کمی درنگ کرده، از افراد مطلع سوال بپرسند، سریع و احساسی نسبت به آن واکنش نشان ندهند و در مجموع منطقی‌تر تصمیم بگیرند. هرچند که با تمام این توصیه‌هایی که می‌شود نباید فراموش کرد که همه ما انسان هستیم و اشتباه و فریب خوردن بخشی از ذات ماست.

دراین پرونده بخوانید ...