راهکارهای دفع حملات فیشینگ

شاید در استفاده از سرویس‌ها، فاصله ما با دنیا به اندازه سرویس‌های فناوری اطلاعات، کم نیست. توسعه زیرساخت‌های ارتباطی در دو دهه اخیر، به همراه تحول زیادی که در حوزه نرم‌افزار، سخت‌افزار و ارتباطات رخ داده است، باعث شده تا ضریب نفوذ اینترنت در بین ایرانیان به سرعت افزایش پیدا کند. به‌طوری که طبق آمارهایی که سازمان تنظیم مقررات و ارتباطات رادیویی در سال 97 منتشر کرده است، حدوداً 10 میلیون نفر مشترک اینترنت ثابت و 64 میلیون نفر مشترک اینترنت سیار هستند. بنابراین در مجموع ضریب نفوذ اینترنت در کشور بالای 90 درصد است. به همین ترتیب، مردم اکنون بسیاری از فرآیندهای اجتماعی را بر بسترهای سایبری انجام می‌دهند. این خدمات سایبری، آنچنان در زندگی طبقاتی از جامعه تنیده شده است که منجر به تغییر عادات سنتی مردم و حتی مدل‌های بیزنسی بسیاری از کسب‌وکارها شده است. به عنوان مثال، رستوران‌ها تا چند سال قبل، عمده تمرکزشان را بر مشتریان حضوری داشته و در نهایت می‌توانستند به مشتریانی که از لحاظ فیزیکی، پیرامون خود بودند، سرویس دهند. اما امروز با قرار گرفتن در market-placeها، ضمن آنکه مشتری در یک پاساژ الکترونیک، امکان تنوع، مقایسه، نظرسنجی و... را دارد، رستوران‌ها هم می‌توانند با هزینه کم، توسعه بازار داشته باشند.

با این تغییر مهم در مدل‌های کسب‌وکاری، شاهد آن بودیم که تجارت الکترونیک و کسب‌وکارهای مبتنی بر اینترنت رشد زیادی داشته و برای مشتریان، عادی شده است که در طول روز، سرویس‌های حمل‌ونقل، تهیه غذا، خرید سایر کالا و خدمات را به صورت غیرفیزیکی انجام دهند. طبیعتاً مهم‌ترین حلقه از این فرآیند، انجام عملیات پرداخت الکترونیک از طریق درگاه‌های غیرحضوری پرداخت است. عملیاتی که طی آن، مشتری اطلاعات کارت خود را وارد کرده و پس از تایید بانک صادرکننده، پرداخت وجه را انجام می‌دهد.

متاسفانه، بانکداری شخصی در ایران به شدت مبتنی بر کارت شده است و مشتری می‌تواند به ازای هر حسابی اعم از قرض‌الحسنه، جاری، کوتاه‌مدت و بلندمدت، و با هر سقف مبلغی که در سپرده‌اش باشد، از بانک درخواست صدور کارت داشته باشد و عملاً کارت مشتری با حسابش گره خورده است. بنابراین اگر اطلاعات کارت مشتری هک شود، تمام موجودی حسابش مورد تهدید قرار می‌گیرد. البته سقف انتقال و خرید در سیستم بانکی به سه و 50 میلیون تومان در روز محدود شده است. از این‌رو شاهد آن هستیم که حجم کلاهبرداری اینترنتی که عمدتاً به صورت فیشینگ (phishing) و سرقت اطلاعات کارت مشتری است، در چند سال اخیر افزایش زیادی داشته است. معمولاً در این روش، شخصی که قصد سرقت اطلاعات را دارد، یک صفحه جعلی، مشابه با صفحه پرداخت الکترونیک شاپرکی ایجاد کرده که البته آدرس آن نسبت به آدرس صفحه اصلی، اختلافات جزئی دارد. به این ترتیب مشتری اطلاعات کارت خود را وارد می‌کند و این اطلاعات توسط شخص کلاهبردار ذخیره و مورد سوءاستفاده برای خالی کردن حساب مشتری قرار می‌گیرد. عمده این موارد نیز در روزهای آخر هفته رخ می‌دهد تا با توجه به تعطیلی آخر هفته، روند مسدود کردن حساب و ثبت شکایت مشتری با کندی انجام شود.

پرداخت الکترونیک

ایران کشوری با 85 میلیون جمعیت است که کمی بیش از 30 درصد آن بین 15 تا 60 سال دارند. سرویس بانکداری و پرداخت الکترونیک برای این جامعه به گونه‌ای گسترش یافته که شبکه ملی شتاب به یکی از بزرگ‌ترین شبکه‌های ملی بانکداری الکترونیک در غرب آسیا و شمال آفریقا تبدیل شده است. آمارها نشان‌دهنده فعال بودن 90 میلیون کارت در ایران است. حجم تراکنش‌های الکترونیکی در شبکه شتاب حدود 40 میلیارد در سال 97 بوده است که 21 میلیارد تراکنش به پرداخت الکترونیک اختصاص دارد. یعنی هر ایرانی بالغ به‌طور متوسط سالانه بیش از 820 تراکنش پرداخت انجام می‌دهد. این آمار مربوط به سال 97 است و تعداد تراکنش‌ها سالانه بین 25 تا 30 درصد رشد با خود به همراه دارد. حجم تراکنش‌های پرداخت الکترونیک از لحاظ مبلغ نیز قابل توجه است و به 2500 هزار میلیارد تومان در سال می‌رسد. در تراکنش‌هایی که اصطلاحاً CNP‌‌1 نام دارند، چهار فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم، CVV‌2 و تاریخ انقضای کارت است. از بین این چهار پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشأ بسیاری از سرقت‌ها و سوءاستفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنش‌های CNP بتوان رمز دوم را به صورت OTP‌2 تولید کرد، امنیت این نوع تراکنش‌ها تا حد قابل توجهی افزایش می‌یابد. آمارهای منتشرشده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال 97، حدود شش درصد از تراکنش‌ها بر بستر اینترنت و شش درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه 12 درصد از تراکنش‌های شبکه پرداخت یعنی 5 /2 میلیارد تراکنش سالانه را که بدون حضور کارت و با چهار مولفه انجام شده‌اند می‌توان با ابزار OTP ایمن کرد.

رمز دوم، راه‌حلی برای کاهش فیشینگ

رمزهای پویا یا به عبارت دقیق‌تر رمزهای یک‌بارمصرف گذرواژه‌هایی هستند که در هر بار اتصال کاربر برای انجام یک عملیات تراکنشی، مانند افتتاح حساب کاربری، تراکنش مالی و... تولید و به مدت معلومی دارای اعتبار هستند. رمز یک‌بارمصرف برای ایمن‌سازی دسترسی کاربران به سیستم‌های الکترونیکی ارائه‌ شده که در آن از قابلیت‌های رمزنگاری برای تولید رمز تصادفی یک‌بارمصرف استفاده می‌شود. مهم‌ترین مزیت استفاده از  OTP یا رمز یک‌بارمصرف این است که سرقت اطلاعات با دانستن رمز عبور غیرممکن می‌شود. بنابراین، با استفاده از رمزهای دوم پویا، حتی اگر مالکان صفحات فیشینگ، بتوانند اطلاعات کارت مشتری را هک کنند، در این صورت این اطلاعات تنها در همان تراکنش خاص با مبلغ مشخص معتبر است و فرد هک‌کننده قادر نخواهد بود از این اطلاعات برای تراکنش‌های بعدی و خالی کردن حساب کاربر، استفاده کند.

آشنایی کاربران ایرانی با رمزهای یک‌بارمصرف به صورت گسترده در نصب اپلیکیشن‌های پیام‌رسان صورت گرفت. وقتی اپلیکیشن برای ورود کاربر از وی شماره تلفن یا آدرس ای‌میل درخواست کرده و یک کد عبور چهار یا پنج‌رقمی برای کاربر ارسال می‌کند تا بدین صورت احراز هویت تکمیل شود. یکی از کاربردهای مهم این تکنولوژی، ایمن‌سازی تراکنش‌های بانکی، مخصوصاً تراکنش‌های بستر اینترنت و درگاه‌های پرداخت است. آمارهای منتشرشده حاکی از حجم عظیم برداشت‌های غیرمجاز و مجرمانه از حساب کاربران شبکه بانکی است. به‌طوری که رئیس پلیس فتا اعلام کرد: بیش از ۳۴ درصد  پرونده‌های متشکله از بدو تاسیس پلیس فتا تاکنون مربوط به برداشت‌های بانکی است که برخی از این پرونده‌ها تا ۲۵۰۰ نفر مالباخته (تنها در یک پرونده) داشته‌اند و این آمار بالای تشکیل پرونده، نشان از ضرورت حساس شدن بانک‌ها به افزایش سطح استانداردهای امنیتی و ارتقای سطح تعامل و همکاری با پلیس فتا را دارد.

در دنیا، رمزهای پویا می‌تواند بر بستر کارت، پیامک، ای‌میل یا اپلیکیشن موبایل تولید شود. البته چیزی به عنوان رمز دوم در سیستم‌های پرداخت بین‌المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید می‌شود، کد CVV2 یک‌بارمصرف است نه رمز! زیرا رمز اساساً باید از سوی مشتری محفوظ بماند یا امکان تغییر آن وجود داشته باشد و صدور رمز از طریق یک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سیستم بانکی ایران است! ضمن آنکه، اساساً بسیاری از پرداخت‌های خرد که پرتکرار هم هستند با ابزارهایی مانند کیف پول الکترونیک انجام می‌شوند که به حساب‌های اصلی کاربر متصل نیست. بنابراین لازم است سیستم بانکداری و پرداخت الکترونیک ایران، هرچه سریع‌تر نسبت به پویا کردن رمزهای دوم در تراکنش‌های غیرحضوری آن هم به صورتی که تراکنش از نظر مبلغ، ارزش حفاظت را داشته باشد، اقدامات لازم را صورت دهد.