ITanalyze

نادر نینوایی - نگاهی به وضعیت یک سال گذشته نشان‌دهنده افزایش بی‌سابقه حملات فیشینگ در کشور است. در این یک ساله حدود 5 هزار ‎فیشینگ در کشور شناسایی شده که 25 درصد آن به تیر ماه سال جاری مربوط است.

اگرچه آمار دقیقی از تعداد ‎کلاهبرداری‌های اینترنتی در دسترس نیست اما بررسی‌ها نشان می‌دهد این تعداد رو به افزایش است و با همه اخطارهای مداوم همچنان بسیاری در تله دزدی‌های اینترنتی و فیشینگ و جعل درگاه‌های بانکی گرفتار می‌شوند.

این سارقان اینترنتی با ایجاد فروشگاه‌های اینترنتی جعلی، ارایه قیمت‌های وسوسه‌انگیز و پایین و ایجاد صفحاتی شبیه به درگاه‌های بانکی، رمز و سایر مشخصات کارت‌های بانکی افراد را سرقت کرده و برای آنکه ردی از خود به جا نگذارند با اطلاعات بانکی سرقت شده اقدام به خرید از فروشگاه‌های اینترنتی می‌کنند.

وضعیت بحرانی امروز البته از مدت‌ها قبل پیش‌بینی می‌شد و پیش از این رسانه‌ها و حتی رییس‌پلیس فتا هشدارهایی را در خصوص آن مطرح می‌کردند. سال قبل رییس‌پلیس فتا کشور به شدت درباره رشد عملیات فیشینگ اخطار داده بود. رییس‌پلیس فتا گفته بود که: «برداشت‌های غیر مجاز از حساب‌های بانکی همچنان جزو بالاترین آمار جرایم سایبری کشور است و باید در این زمینه فرهنگ‌سازی کنیم.»

حال اما در سایه رشد روزافزون حملات فیشینگ و عدم ارایه رمز یک‌بار مصرف توسط بانک‌ها و همچنین عدم اتصال کسب‌وکارهای اینترنتی به سامانه شاهکار (احراز هویت کاربران) از یک سو پلیس فتا و از سوی دیگر سایت‌های اینترنتی خود راسا وارد عمل شده و اقداماتی مسوولانه را برای مقابله با کلاهبرداران و حفاظت از مردم به انجام می‌رسانند.

اگرچه در بررسی‌های عصر ارتباط متوجه شدیم که این روش‌ها مسایلی دارد که در ادامه به آن می‌پردازیم.

افزایش فیشینگ در سال‌های اخیر

این روزها فضای مجازی و شبکه‌های اجتماعی کشور پر شده است از اخطارهای رنگارنگی که درباره عملیات فیشینگ و دزدی از حساب‌ شهروندان داده می‌شود. در میان سکوت و بی‌توجهی مسوولان برخی بانک‌ها حالا این شهروندان هستند که به صورت مکرر درباره این موضوع اخطار می‌دهند و یکدیگر را خبر می‌کنند که حداقل دیگر شهروندان با مشکل مواجه نشوند.

دست‌کم صدها نفر در ماه‌های گذشته از اینکه مورد حمله سایبری و دزدی اینترنتی قرار گرفته‌اند، خبر داده‌اند و البته اطلاعات مهم و مفیدی در شبکه‌های اجتماعی و در رسانه‌ها در این خصوص منتشر شده است.

در سال‌های اخیر حملات فیشینگ زیاد شده و حجم گسترده‌ای از اطلاعات بانکی افراد شامل رمز دوم، تاریخ انقضای کارت و ccv2 آنها در اختیار سارقان قرار می‌گیرد. از آنجا که انتقال روزی بیش از 3 میلیون تومان به صورت کارت به کارت مقدور نیست و نیز با نظر به اینکه انتقال پول به کارت سارق امکان شناسایی را برای پلیس فراهم می‌کند لذا سارقان ترجیح می‌دهند که از اطلاعات بانکی سرقتی برای خریدهای گران‌قیمت از کسب‌و‌کارهای اینترنتی استفاده کنند.

به این ترتیب فروشگاه‌های اینترنتی یکی از مقاصد کلاهبرداران فیشینگ است؛ برای اطلاع از چند و چون این قبیل سرقت‌ها با یکی از مدیران فروشگاه‌های اینترنتی که خواستار عدم ذکر نامش بود مصاحبه کردیم که اظهارات او حاوی نکات جالب توجه و خواندنی است.

راهکار سنتی پلیس فتا

این فرد مسوول در یک فروشگاه اینترنتی در ابتدا به تشریح روش این فروشگاه در شناسایی و مهار کلاهبردارانی پرداخت که با اطلاعات سرقتی مردم اقدام به خرید از این فروشگاه می‌کنند.

وی به هماهنگی‌های انجام شده میان پلیس فتا و فروشگاه‌های اینترنتی از حدود یک سال قبل اشاره کرد و به خبرنگار عصر ارتباط گفت: برای این منظور پلیس فتا ارتباط مستمری با فروشگاه‌های اینترنتی برقرار کرده و شکایات و گزارش‌های مردمی در خصوص برداشت غیرقانونی از حساب را به فروشگاه‌های اینترنتی اطلاع می‌دهد تا مانع تحقق خرید و تحویل کالا شود.

**نکته جالب اما روش ارتباط پلیس فتا با فروشگاه‌های اینترنتی است؛ این فرد مسوول در خصوص نحوه اطلاع‌رسانی پلیس فتا به فروشگاه‌های اینترنتی می‌گوید: این پلیس به‌طور روزانه با تعدادی از فروشگاه‌های اینترنتی تماس تلفنی(!) برقرار کرده و شماره کارت‌هایی که خرید سرقتی با آنها انجام شده را اعلام کرده و خواستار عدم ارسال کالاها می‌شود.**

راهکار مهار کلاهبرداری فیشینگ

این فرد در خصوص راهکار فروشگاه اینترنتی خود برای مقابله با سارقان گفت: ما در سایت خودمان برای خریدهای بالای 3 میلیون تومان از فرد متقاضی درخواست آپلود عکس کارت ملی و کارت بانکی را کرده‌ایم تا به این ترتیب در یک مرحله اضافه، امکان تطبیق هویت کارت ملی و بانکی فراهم شود.

وی در پاسخ به این سوال که آیا فرد کلاهبردار امکان فتوشاپ و جعل را ندارد گفت: بله این امکان وجود دارد اما فعلا راهکار دیگری نداریم و تقاضای قبلی ما در خصوص ارتباط با سامانه شاهکار و فعال شدن رمزهای یک‌بار مصرف همچنان پابرجاست.

این فعال حوزه تجارت الکترونیک ادامه داد: البته ما این کنترل را در خصوص حساب و اکانت‌های مشتریان قدیمی که سابقه خریدهای مکرر و میلیونی در سال‌های قبل را داشته‌اند، اعمال نمی‌کنیم.

این فرد مسوول ادامه داد: با اعمال همین راهکار ارسال تصویر کارت بانکی و کارت ملی میزان خریدها با اطلاعات سرقتی کاهش زیادی داشته است و سارقان معمولا در هنگام خرید اول یا دوم که حساب خرید باز می‌کنند شناسایی می‌شوند.

پلیس فتا جمعه‌ها تعطیل است؟

این فعال حوزه فروشگاه اینترنتی در پاسخ به این سوال که آیا تماس‌های مستقیم از سوی خود مالباختگانی که اطلاعات بانکی آنها سرقت شده، نیز دارند یا خیر گفت: بله این موارد هم اتفاق افتاده اگرچه برخی از مشترکان که پیامک برداشت از حساب را فعال نکرده‌اند معمولا دیر متوجه برداشت غیرقانونی از حساب خود شده و موفق به جلوگیری از برداشت‌های بعدی نمی‌شوند.

البته در مواردی هم بوده که کاربران جمعه و در روزهای تعطیل متوجه برداشت غیرقانونی از حساب خود شده و با ما تماس گرفته و خواستار توقف خرید مذکور شده‌اند.

در این گونه از موارد **از آنجا که در روزهای تعطیل و جمعه‌ها پلیس فتا با ما تماسی ندارد ما در نخستین روز کاری به مدت 24 تا 48 ساعت خرید را به تعویق می‌اندازیم تا منتظر تماس پلیس فتا شویم. اگر پلیس گزارش داد فرایند خرید متوقف می‌شود اما اگر تماسی گرفته نشد، فرایند خرید طبق روال جاری پیش رفته و کالا تحویل می‌شود.**

وی با بیان اینکه در حال حاضر ماهانه 20 تا 30 تماس از سوی پلیس فتا برای توقف خریدها داریم در خصوص آدرس‌های اعلامی توسط کلاهبرداران و چگونگی تحویل کالا به ایشان گفت: معمولا این آدرس‌ها جعلی بوده و در مکان‌های عمومی قرار تحویل کالا گذاشته می‌شود.

وی در پایان برای جلوگیری از اقدامات فیشینگ و سرقت اطلاعات کاربران به ذکر چند نکته پرداخت و گفت:

- نخست آنکه سامانه شاهکار برای احراز هویت و تایید آدرس واقعی خریداران می‌بایست برای کسب‌و‌کارهای اینترنتی هر چه سریع‌تر فعال شود.

- دوم آنکه رمزهای یک‌بار مصرف اینترنتی هم باید از سوی تمام بانک‌ها فعال شود، تا حتی در صورت سرقت اطلاعات بانکی امکان سوءاستفاده برای کلاهبرداران فراهم نشود.

- و سوم آنکه کاربران ضمن هوشیاری در خصوص به دام افتادن در حملات فیشینگ و اعلام نکردن اطلاعات بانکی خود به دیگران، حتما در خصوص فعال‌سازی پیامک برداشت از حساب خود اقدام کنند.  

فیشینگ چیست؟

عملیات فیشینگ به تلاش برای به‌دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه و اطلاعات حساب بانکی از طریق جعل یک ‌سایت، آدرس ایمیل یا موارد مشابه گفته می‌شود.

در واقع «فیشینگ» یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال شهروندان است. در سال‌های اخیر هکرها تلاش‌های زیادی برای به سرقت بردن موجودی حساب‌های کاربران در اینترنت کرده‌اند. به عبارت ساده‌تر وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد. شبکه‌های اجتماعی و سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک سایت هستند در اکثر موارد حاوی بدافزار هستند.

فیشینگ انواع مختلفی دارد که به روش‌های مختلف تلاش می‌کند به اطلاعات بانکی شما دست یابد، برخی از معروف‌ترین روش‌های فیشینگ عبارتند از: فیشینگ با ایمیل‌های فریبنده و جذاب، فیشینگ تلفنی، طراحی صفحه‌ای نظیر درگاه پرداخت بانک و جعل و دستکاری پیوندها و آدرس‌ها.

باید توجه داشت که هکری که قصد دارد فریب فیشینگ را انجام دهد همواره راه‌های تازه‌ای برای دزدی خود ابداع می‌کند؛ پس مواردی که گفته شد می‌تواند گاه گسترده‌تر شود و شهروندان باید همواره به این موارد دقت کنند. (منبع:عصرارتباط)