به گزارش بنکر (Banker)، هدف اصلی این کار مقابله با فیشینگ بود، اما گزارشها نشان میدهد این کار هم نتوانسته بهصورت کامل جلوی سارقان و کلاهبرداران را بگیرد و آنها حتی با وجود داشتن رمز پویا هم دست به سرقت از حساب مردم میزنند.
بسیاری از مردم بهخاطر مراحل سخت و گاها پیچیده استفاده از اپلیکیشنهای رمزساز از روش پیامکی ارسال رمز پویا استفاده میکنند؛ به همینخاطر بسیاری از کاربران وقتی وارد صفحهای میشوند و با کلیک کردن روی دکمه ارسال رمز پویا، پیامک بانک را دریافت میکنند خیالشان تخت میشود که خبری از کلاهبرداری نیست؛ این در حالی است که در ماههای اخیر کلاهبردارهای اینترنتی حقههای جدیدی را بهکار بستهاند تا ماجرای رمز پویا را دور بزنند.
هرچند رمز پویا باعث شده تا دست و بال سارقان بستهتر از گذشته شود، اما نتوانسته بهصورت کامل درصورت توجه نکردن کاربر جلوی تراکنشهای غیرمجاز را بگیرد. شاید در نگاه اول این مسئله عجیب بهنظر برسد، اما به گفته کارشناسان، استفاده از این مسئله روشی پیش پاافتاده بهحساب میآید.
یاشار شاهینزاده، کارشناس امنیت اطلاعات در این رابطه به همشهری میگوید: قبل از اینکه این داستان در ایران اتفاق بیفتد، روی پلتفرمهای مهمی مثل گوگل، فیسبوک و توییتر هم رخ داده است. درواقع هکرها با این روش مسئله احراز هویت ۲مرحلهای با پیامک را دور میزدند. او میگوید: اگر شما پای تلفن مشخصات کارتتان را به یک نفر بگویید و بعد از آن هم رمز ارسال شده توسط پیامک را به او اعلام کنید در مدت زمان اعتبار رمز پویا آن فرد میتواند اقدام به برداشت از حسابتان کند.
حالا به جای این فرد پشت تلفن یک سرور را فرض کنید. درواقع مهاجم روی یک سرور سامانه فیشینگ نصب میکند و میتواند این فرایند را اتوماتیکسازی کند. این سامانه یک صفحه جعلی را به کاربر نشان میدهد و اطلاعات وارد شده توسط او ازجمله شماره کارت، کد CVV2 و تاریخ انقضا را به بانک میفرستد. این کار توسط این سامانه فیشینگ در پشت پرده روی یک درگاه واقعی بانک صورت میگیرد. در همان لحظه هم بانک بهخاطر ورود اطلاعات از طریق این سامانه فیشینگ، رمز پویا را برای شماره تلفن همراه کاربر ارسال میکند و فرد قربانی آن را وارد صفحه جعلی میکند. از این زمان تا پایان اعتبار رمز پویا مثلا حدود ۲دقیقه سرقت و خالی کردن حساب فرد با داشتن همه اطلاعات لازم ممکن میشود.
خطر در انتظار اینترنت بانک
این کارشناس امنیت اطلاعات همچنین درباره ورود غیرمجاز به اینترنتبانک کاربران هشدار میدهد. هماکنون اکثر سامانههای اینترنت بانک کشور ورودشان فقط با نام کاربری و کلمه عبور است. هماکنون تعداد صفحات جعلی اینترنت بانکهای کشور بهشدت افزایش پیدا کرده و حتی در برخی موارد کلاهبرداران با پرداخت هزینه سرویس تبلیغات گوگل کاری میکنند که لینک صفحه فیشینگ بالاتر از صفحه اصلی بانک باز شود. درواقع با دادن پول تبلیغات وقتی کاربر مثلا سرویس اینترنتی بانک مورد نظرش را جستوجو میکند، روی نخستین لینک گوگل که جعلی است کلیک میکند. یاشار شاهینزاده در این رابطه به همشهری میگوید: مهاجمان با فیشینگ نام کاربری و رمز عبور اینترنتبانک به قول مشهور تور پهن کرده و با گرفتن موجودی حسابهای درشت را توسط سامانه خودشان جدا میکنند. در مرحله بعد مثلا حسابهای با مبالغ زیاد را هدف حمله دوم برای برداشت از حساب قرار میدهند.
مشکلی جهانی
یاشار شاهینزاده میگوید: این روش برای دور زدن رمز پویا مشکلی است که در کشورهای مختلف و پلتفرمهای پیشرفته هم وجود دارد. در این پلتفرمها اما سیستم هوش مصنوعی وجود دارد که ورودهای مشکوک را تشخیص داده و جلوی آن را میگیرد؛ مثلا وقتی با دستگاه جدید یا آیپی غیرمتعارف فردی سعی در ورود بهحساب شخص میکند، گوگل جلوی آن را میگیرد. به گفته او، در این زمینه هر چند بانکهای ایران مقصر نیستند، اما بخشهای امنیت آنها میتوانند کارهایی را برای جلوگیری از این مسئله انجام دهند. بهگفته او، مثلا یکی از راههای ممکن این است که سیستم بانکی متوجه شود که خود کاربر است که درخواست رمز پویا را ارسال کرده است، اما در نهایت باید بدانیم که در حلقه امنیت حساب، بخشی مربوط به کاربر است و فرد باید حواسش باشد آدرس صفحه را کنترل کرده و اطلاعات خود را در صفحه جعلی وارد نکند.
همه درگاههای بانکی واقعی بهعبارت Shapark.ir ختم میشوند. شاهینزاده میگوید: سرورهای افراد کلاهبردار که برای فیشینگ استفاده میشود در داخل ایران هستند؛ چون بسیاری از صفحه اینترنت بانکها فقط با آیپی ایران باز میشود. بانکها باید با سامانههایی متوجه فیشینگ شوند و با گزارش مسئله به پلیس فتا سریعا این فرد براساس مشخصاتی که دارد، دستگیر شود. بانکها باید از لاگهای خود آیپی افراد مهاجم را بیرون کشیده و گزارش کنند. این کار سختی است و فعلا در سیستم بانکداری هیچ تدبیری برای آن درنظر گرفته نشده است.
