حساب های بی دفاع در مقابل فریب فیشینگ / بانک ها و نهادهای مسول همچنان نسبت به عملیات دزدی از حساب های شهروندان از طریق اینترنت و رمز دوم بی تفاوت هستند

فضای مجازی و شبکه های اجتماعی کشور پر شده است از اخطارهای رنگارنگی که درباره عملیات فیشینگ و دزدی از حساب های شهروندان داده می شود. در میان سکوت و بی توجهی مسولان بانک ها حالا این شهروندان هستند که به صورت مکرر درباره این موضوع اخطار می دهند و یکدیگر را خبر می کنند که حداقل دیگر شهروندان در جریان این موضوع قرار بگیرند. دست کم صدها شهروند طی ماه های گذشته از اینکه مورد حمله سایبری و دزدی اینترنتی قرار گرفته اند ، خبر داده اند و اطلاعات مهم و مفیدی را در شبکه های اجتماعی با دیگران در میان گذاشته اند

« سلام دوستان
همه مراقب سایت های فیشینگ یا همون کلاهبرداری باشید. به اینصورت با ی متن هیجانی از شما میخان که رو ی لینک ارسالی کلیک کنید و ی سایت باز میشه و با کلیک کردن روی گزینه مورد نظره کلاهبردار وارد درگاه … »

«سایت کلاهبردار!
توجه: اخیرا سایتى جعلی تحت عنوان ثبت نام کارت سوخت راه اندازی شده است که از شهروندان می‌خواهد مبلغ ۲۰۰۰ تومان را برای ثبت نام کارت سوخت پرداخت نمایند و در ادامه با نمایش یک درگاه پرداخت جعلی اقدام فیشینگ و برداشت غیرمجاز و خالی کردن حساب بانکی شهروندان می‌نمایند!»

فضای مجازی و شبکه های اجتماعی کشور پر شده است از اخطارهای رنگارنگی که درباره عملیات فیشینگ و دزدی از حساب های شهروندان داده می شود. در میان سکوت و بی توجهی مسولان بانک ها حالا این شهروندان هستند که به صورت مکرر درباره این موضوع اخطار می دهند و یکدیگر را خبر می کنند که حداقل دیگر شهروندان در جریان این موضوع قرار بگیرند. دست کم صدها شهروند طی ماه های گذشته از اینکه مورد حمله سایبری و دزدی اینترنتی قرار گرفته اند ، خبر داده اند و اطلاعات مهم و مفیدی را در شبکه های اجتماعی با دیگران در میان گذاشته اند.
بررسی‌ها نشان می‌دهد که در یک‌ سال گذشته(منتهی به تیر ۹۸)حدود پنج‌ هزار ‎فیشینگ در کشورشناسایی شده که یک‌چهارم آن(۲۵درصد)مربوط به تیر امسال است. اگرچه آمار دقیقی از تعداد ‎کلاهبرداری‌های اینترنتی در دسترس نیست اما بررسی‌ها نشان می‌دهد این تعداد رو به افزایش است و با همه اخطارهای مداوم همچنان بسیاری در تله دزدی های اینترنتی گرفتار می شوند. این در حالی است که حدود ۲ سال قبل رییس پلیس فتا کشور به شدت درباره عملیات های فیشینگ اخطار داده بود. رئیس پلیس فتا در همین باره گفته بود که: «برداشت های غیر مجاز از حساب های بانکی همچنان جزو بالاترین آمار جرایم سایبری کشور قرار دارد و باید در این زمینه فرهنگ سازی کنیم.»
وی با بیان اینکه برداشت های غیر مجاز از حساب های بانکی همچنان جزء بالاترین آمار جرایم سایبری کشور قرار دارد و در حال حاضر بیش از ۳۶۰ میلیون کارت بانکی در سراسر کشور توزیع شده است و در دست مردم به طور متوسط بیش از ۴ تا ۵ کارت بانکی وجود دارد ، اظهار کرده بود: «بانک ها نقش بسیار اساسی در جلوگیری از بروز و کاهش وقوع اینگونه جرایم دارند و می توانند با پیاده سازی  آخرین استاندارد های امنیتی بستر بسیاری از سرقت ها و کلاهبرداری های صورت گرفته در این حوزه را کاهش دهند.»این مقام ارشد انتظامی همچنین گفته بود که :« بیش از ۳۴ درصد  پرونده های متشکله از بدو تاسیس پلیس فتا تا کنون مربوط به برداشت های بانکی است که برخی از این پرونده ها تا ۲۵۰۰ نفرمال باخته ( تنها در یک پرونده )داشته اند و این آمار بالای تشکیل پرونده ، نشان از ضرورت حساس شدن بانک ها به افزایش سطح استاندارد های امنیتی و ارتقاء سطح تعامل و همکاری با پلیس فتا را نشان می دهد که در این راستا همچنین افزایش ضریب دقت مردم در حفظ اطلاعات بانکی خود نیز مورد تاکید است.»

اما سوال اینجاست در حالی که اخطار اولیه جدی بودن دزدی های اینترنتی نخستین بار دو سال پیش داده شده بود و در حالی که رییس پلیس فتا کشور در همان زمان نیز از بانک ها خواسته بود برای ساماندهی این وضعیت تلاش کنند چطور همچنان عملیات فیشینگ قربانی می گیرد و اصلی ترین بخش از شکایت ها به پلیس فتا را تشکیل داده است؟ شاید برای پاسخ به این سوال در ابتدا باید به سراغ این موضوع برویم که «فیشینگ» چیست؟

*فریب فیشینگ چیست؟
عملیات فیشینگ  به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وب‌سایت، آدرس ایمیل و… گفته می‌شود. در واقع «فیشینگ » به  یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال شهروندان اطلاق می شود. طی سال‌های اخیر هکرها تلاش‌های زیادی برای به سرقت بردن موجودی حساب‌های کاربران در اینترنت کرده‌اند. به عبارت ساده‌تر وقتی شخصی سعی می‌کند شما را فریب دهد تا اطلاعات شخصی‌تان را در اختیارش بگذارید، یک حمله فیشینگ اتفاق می‌افتد. شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزارهستند.
فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش می‌کند به اطلاعات بانکی شما دست یابد، برخی از معروف‌ترین روش‌های فیشینگ عبارت اند از:
فیشینگ با ایمیل‌های فریبنده و جذاب
فیشینگ تلفنی
طراحی صفحه‌ای نظیر درگاه پرداخت بانک
جعل و دستکاری پیوندها و آدرس‌ها

* در اینترنت از دادن اطلاعات شخصی اجتناب کنید
باید توجه داشت که هکری که قصد دارد فریب فیشینگ را انجام دهد همواره راه های تازه ای برای دزدی خود را بنیان می گذارد پس مواردی که گفته شد می تواند گاه گسترده تر شود و شهروندان باید همواره به این موارد دقت کنند.
مثلا یکی از راه هایی که می تواند برای مقابله با عملیات فیشینگ قرار بگیرد مساله دادن اطلاعات در شبکه های اجتماعی است. باید دقت کرد چه در محیط اینترنت و چه در شبکه های اجتماعی و یا حتی پیوندها و سایت ها و صفحات درگاه بانک از خود بپرسیم که چرا باید این اطلاعات بیشتر را در اختیار آن پیوند قرار بدهیم.
اطلاعاتی که در فریب فیشینگ از شما ربوده می شود ، می تواند این موارد را شامل شود:
نام کاربری و گذرواژه / شماره تأمین اجتماعی / شماره‌های حساب‌های بانکی / کدهای پین (شماره‌های شناسایی شخصی) / شماره‌های کارت اعتباری / تاریخ تولد شما / اطلاعات هویتی شما.
پس باید همواره دقت کنید که چرا و به چه منظوری قرار است این اطلاعات را در اختیار طرف دیگر در شبکه اینترنت قرار دهید.

* پرکاربرد ترین فریب فیشینگ در بین کاربران ایرانی

اما شاید با خود بگویید کسانی را می شناسید که هیچگاه ، هیچ اطلاعاتی از خود را بروز نداده اند و در دام فیشینگ افتاده اند. این موضوع درست است چون پرکاربردترین مدل فریب فیشینگ در میان ایرانیان استفاده از صفحات جعلی درگاه بانک یا پرداخت پول بوده است. در واقع شما فکر می کنید کالا یا خدماتی را خریداری کرده اید و از طریق صفحه و پیوندی که برای شما فرستاده شده است قصد دارید بهای آن را بپردازید اما در واقع وارد یک صفحه جعلی می شوید . صفحه ای که در نهایت بدون اینکه بخواهید یا کسی از شما پرسیده باشد تمامی اطلاعات خود را در آن ثبت می کنید و به این ترتیب دزدی ایرنتنی یا همان عملیات فیشینگ درباره شما اتفاق می افتاد. مساله بسیار مهم این است که اول تا حد امکان از کسانی که نمی شناسید یا خدمات اینترنتی قرار است بگیرید صفحه پیوند یا درگاه بانک قبول نکنید و برای پرداخت پول بخواهید شماره کارت برای شما بفرستند. در واقع شما با این روش اگر قصد شخص مقابل دزدی از حسابتان باشد اول اینکه هیچ اطلاعاتی به او نمی دهید و در مرحله دوم اگر قبول کند شماره کارتی برای شما بفرستد شما اطلاعات وی را به دست می آورید. هر چند در این روش قطعا حسابتان از دسترس مصون می ماند اما جالب است بدانید در بسیاری مواقع شماره کارتی که ارسال می شود نیز لزوما شماره کارت شخص هکری که پشت عملیات فیشینگ پنهان شده است نیست.

* استفاده غیرقانونی از اطلاعات حساب شهروندان
در واقع این بخش خطرناک دیگر عملیات فیشینگ است، استفاده از اطلاعات حساب یک شهروند مالباخته برای دسترسی به حساب شهروندان دیگر . در این روش اطلاعات حساب کاربر دیگری که پیش از این دزدیده شده و حالا امکان همه نوع دسترسی به حسابش وجود دارد مورد سواستفاده مضاعف قرار می گیرد تا شهروندان دیگری به دام بیافتند.
کافی است سری به شعبه های مختلف پلیس فتا بزنید تا با تعداد بالای شهروندان مالباخته ای رو به رو شوید که از شهروند مالباخته دیگر که از اطلاعات حسابش سواستفاده مضاعف شده است ، شکایت کرده اند. در حقیقت یک گردونه معیوب که در آن شاکی و متشاکی هر د و مالباخته و فریب خورده هستند و جاعلی که فریب فیشینگ را انجام داده است همچنان در پس ماتریکس پیچیده اینترنت پنهان مانده است.


نمونه ای از دزدی از طریق یک سایت صیغه یابی و با اطلاعات غلط ، صفحه ای که برای کاربر باز می شود پیوند ارسال شده برای سرقت اطلاعات حساب کاربر است

* خرید اینترنتی با پول های دزدی
هر چند روش گرداندن پول در چندین حساب که همه آنان حساب های دزدی هستند یکی از اصلی ترین روش های فیشینگ است اما یک روش دیگر نیز وجود دارد و آن نیز خرید اینترنتی است. در این روش پول داخل حسابی که در عملیات فیشینگ مورد دستبرد قرار گرفته در خریدهای اینترنتی وارد می شود و بدون امکان پیگیری خاصی از آن برای خرید کالا یا خدماتی استفاده می شود . یکی از اصلی ترین این موارد در ایران خرید از « دیجی کالا » بوده است. دیجی کالا ، شرکت توزیع کالا بوده است و در ماه های اخیر شکایت های بسیار زیادی از سوی شهروندانی که مورد فریب فیشینگ قرار گرفته اند وجود داشته که پس از مراجعه به بانک و رهگیری پول خارج شده از حساب مشخص شده است این پول وارد حساب یکی از شرکت های خدمات اینترنتی و به خصوص دیجی کالا شده است.
شکایت ها آنقدر گسترده و تعداد آن بالا بود که در روزهای اخیر دیجی کالا بخشی دیگر به مراحل خرید و پرداخت اینترنتی را اضافه کرده است و آن تایید هویت پس از تماس اپراتور است اما لازم است بدانیم همچنان این روش ها نمی تواند قطعی و مطمئن برای جلوگیری از سرقت های اینترنتی باشد.

* رواج اپلیکیشن های فیشینگ

حاشیه های امن و عدم پیگیری مناسب مدیران بانکی کشور به اخطارهای مکرر پلیس فتا ، عملا دست سارقان اینترنتی را باز گذاشته است. شاید به همین خاطر است اگر به صفحات بخشی از اینفلوئنسرهای اینستگرامی و حتی صفحات سلبریتی های مختلف در شبکه های اجتماعی و اینستاگرام سر بزنید با تبلیغ بی رویه صفحات قمار و فیشینگ رو به رو خواهید شد. در واقع این صفحات به شکل تبلیغ  و در ازای دریافت پول صفحاتی را تبلیغ می کنند که در نهایت منجر به فریب فیشینگ برای مخاطبان خواهد شد.
اما شاید از جالب ترین این موارد اس ام اس های انبوهی است که بارها از شماره های مشخصی برای شهروندان ارسال شده است. در اوایل مرداد سال جاری در آخرین ساعات شب بود که خبری دست به دست می شد که اس ام اس های انبوهی که به شکل شبانه درباره کارت سوخت و لزوم رفتن به آدرسی که در پیامک بوده است یک عملیات فیشینگ است و از وارد سایت شدن خودداری کنید بین کاربران شبکه های اجتماعی دست به دست می شد. در واقع پیامکی که در تعداد بالا ارسال شده بود بخشی از یک فریب فیشینگ بود و در همان زمان نیز تعدادی از کاربران در شبکه های اجتماعی تویتر و اینستاکرام به سراغ صفحه وزیر ارتباطات رفته بودند و از وی توضیح خواستند که چطور این پیامک ها منتشر شده است و آذری جهرمی نیز وعده پیگیری داد ولی خبری منتشر نشده بود.

*پاپ ‌آپ ها ممنوع مطلق

یک مورد مهم برای مقابله با دزدی اینترنتی و فریب فیشینگ این مهم است که به هیچ وجه از پیوندهای ارسالی یا پاپ آپ برای پرداخت هیچ پولی استفاده نکنیم. پبوندهای ارسالی یعنی نوعی از پرداخت پول که خود گیرنده پول برای شما پیوند یا لینک می فرستد و بهترین شیوه این است که به هیچ وجه پرداخت پول از طریق هیچ پیوند یا لینکی را نپذیرید.
«پاپ‌ آپ» یا پنجره تبلیغاتی نیز به صفحه باز شونده‌ای می‌گویند که برای کاربر پس از نخستین کلیک صفحه جدیدی به طور خودکار باز می‌شود. این پنجره‌های تبلیغاتی برای نخستین بار در چت روم‌ها مرسوم شد و مدیران از این طریق بدون اختیار کاربر، برای وی یک تب جدید در مرورگر باز می‌کردند که دارای تبلیغات بود.هکرها با استفاده از پاپ‌آپ ،کاربران را به صفحات مخرب شامل صفحه جعلی و سایت آلوده به بدافزار هدایت می‌کنند، برای جلوگیری از باز شدن پاپ ‌آپ بهتر است از مرورگر کروم استفاده شود، همچنین می‌توان از افزونه Ad block Plus Popupp در فایرفاکس استفاده کرد. در وضعیت فعلی و بی توجهی بانک ها به مسولیت خود در قبال امنیت حساب شما شاید بهترین شیوه همین باشد که خود را در معرض هیچ گونه سواستفاده از اطلاعات کاربری قرار ندهید.

* اخظارهای پلیس فتا را این بار بانک ها جدی بگیرند
از سوی دیگر در حالی که پلیس فتا بارها در این باره اخطار داده است و حتی سعی کرده با پیامک به شهروندان اطلاع رسانی کند اما همچنان مدیران و مسولان بانکی کشور به این موضوع بی توجه بودند. شاید بتوان گفت پلیس فتا با توجه به مسولیت محدود خود تنها نهادی بوده که تا جایی که ممکن بوده است اطلاع رسانی کرده و چندین بار نیز از بانک های کشور خواسته است برای جلوگیری از فریب فیشینگ و دزدی پول شهروندان ، رمز بانکی یک بار مصرف را راه اندازی کنند. موردی که متاسفانه تاکنون به آن بی توجهی شده است.
موضوع فیشینگ ها در زمستان سال ۹۷ واکنش شدید رییس پلیس فتا را نه فقط در تهران و مرکز بلکه در شهرستان ها نیز برانگیخت. رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی همدان در همان زمان گفته بود که :« بانک ها و موسسه های مالی و اعتباری مسئول جبران خسارت مالی مشتریان در صورت کلاهبرداری و سرقت اینترنتی هستند.»
رییس پلیس فتا در همدان همچنین گفته بود که :« دارندگان حساب بانکی برای خریدهای اینترنتی و حساب کارت به کارت و انجام هر گونه عملیات بانکی باید رمز دوم یک بار مصرف داشته باشند.افرادی که از درگاه های اینترنتی اقدام به پرداخت آنلاین می کنند بیشتر مواقع به علت نداشتن سواد رسانه ای در دام فیشینگ گرفتار می شوند.کلاهبرداران با راه اندازی صفحه های جعلی، اطلاعات بانکی افراد به همراه رمز دوم دریافت کرده و در یک فرصت حساب وی را سرقت می کنند.در صورت اقدام عملی بانک ها و موسسه ها در اجرای طرح رمز دوم یک بار مصرف، دیگر شاهد کلاهبرداری از طریق ارسال ییامک، فیشینگ و خودپرداز نخواهیم بود.مدیران بانک های و موسسه های مالی و اعتباری مکلف به فراهم کردن زیرساخت های مورد نیاز و برای ارایه رمز یک بار مصرف و آموزش نحوه استفاده از آن تا اول آذر بودند.»
سرهنگ سرخوش نهاد در حالی این موارد  را در زمستان سال ۹۷ مطرح کرد که به نظر می رسد امن تری و مطمئن ترین راه برای کاهش سرقت های اینترنتی و فریب فیشینگ در وضعیت فعلی بدون تردید فعال کردن رمز دوم یک بار مصرف یا موقت است. راهی که شاید از این طریق و با توجه به زمان محدود رمز دوم بتوان در مقابل دزدی های اینترنتی ، از حساب های شهروندان حفاظت کرد. تحقق این مطالبه موجب کاهش پرونده های سرقت بانکی در حوزه سایبری و امنیت مشتریان بانک ها در پرداخت های آنلاین می شود.
اما سوال اینجاست که چرا همچنان بانک های مسول در قبال امنیت و حفاظت از حساب شهروندان در ایجاد هر چه سریعتر رمزهای دوم یک بار مصرف تعلل می ورزند. حساب های شهروندان تقریبا حالا تبدیل شده حساب هایی بی دفاع در مقابل انواع مختلف فریب فیشینگ و عملیات های دزدی. موردی که باید به آن توجه داشت این مهم است که بانک ها به طور کامل خود را از این موارد و عملیات فریب اینترنتی کنار کشیده اند و هیچ توجهی به مسولیت حقوقی خود در قبال این مساله مهم ندارند.