ضدحمله علیه راهزنان فضای دیجیتال؛ چطور با «فیشینگ» مقابله کنیم؟

«فیشینگ»، به زبان ساده، نوعی حمله آنلاین، پیامکی، تلفنی، ایمیلی و غیره است که برای سرقت داده‌های کاربر، از جمله رمز عبور و اطلاعات حساب یا کارت بانکی و مواردی از این قبیل صورت می‌گیرد.
به گزارش تریتا نیوز به نقل از پایگاه خبری تحلیلی انتخاب (Entekhab.ir): برای حفظ امنیت نقل‌وانتقالات بانکی خود در شبکه اینترنت چه کاری می‌توانیم انجام دهیم؟ پاسخ این پرسش برای جهانی که در آن بسیاری از فعالیت‌های ما از رهگذر فضای مجازی انجام می‌گیرد، احتمالاً از نان شب هم واجب‌تر است. این در حالی است که با اوج‌گیری فعالیت‌های مخربی نظیر «فیشینگ» در مبادلات مالی اینترنتی، مهم است که کاربران هم اطلاعات خود را در این زمینه بالا ببرند.

«فیشینگ»: باید مراقب چه چیزی باشیم؟

این روزها، امنیت تبادلات بانکی دیگر چندان با سرقتِ فیزیکی وجه نقد تهدید نمی‌شود، بلکه بیشتر اهمیت آن به دنیای مجازی و تراکنش‌های بانکی آنلاین منتقل شده است. تجربه‌های مختلف افراد را که کنار هم بگذاریم می‌بینیم کوچک‌ترین غفلت در این زمینه، باعث مشکلات و خسارات بزرگی برای افراد و حتی کسب‌وکارها شده است. در این میان، حملات موسوم به «فیشینگ»(Phishing) یکی از اصلی‌ترین نگرانی‌های امنیتی در حوزه نقل‌وانتقالات مالی است که علاوه بر تراکنش‌های بانکی، دیگر ابزارهای انتقال مالی، نظیر اپلیکیشن‌های پرداختی (پرداخت‌یارها) را هم تحت‌الشعاع قرار داده است.

«فیشینگ»، به زبان ساده، نوعی حمله آنلاین، پیامکی، تلفنی، ایمیلی و غیره است که برای سرقت داده‌های کاربر، از جمله رمز عبور و اطلاعات حساب یا کارت بانکی و مواردی از این قبیل صورت می‌گیرد. در این حمله، مهاجم به روش‌‌های مختلف خود را به‌شکل یک نهاد یا شخص معتبر نشان داده و فرد را به سوی سامانه‌‌های جعلی هدایت می‌کند تا قربانی با وارد کردن اطلاعات محرمانه حساب خود در آن‌ها، طعمه شیادان و «فیشرها» شود. این کار ممکن است با شگردهایی نظیرتشویق قربانی به خرید شارژ ارزان، دریافت جایزه قرعه‌کشی، بازکردن یک ایمیل از طرف شخص یا سازمانی به‌ظاهر مهم و دانلود اپلیکیشن‌های کاربردی آغاز شده و در ادامه قربانی را با کلیک بر روی یک لینک ساختگی، به یک صفحه وب‌سایت جعلی (برای مثال درگاه‌های جعلی پرداخت) هدایت کند یا بدافزاری را بر روی رایانه یا گوشی او نصب نماید.

اما چطور می‌توان با این حملات مقابله کرد؟ ساده‌ترین راه، افزایش ضریب ایمنی در هنگام خرید اینترنتی یا نقل‎ وانتقالات بانکی است. در واقع، درست مانند یک اسکناس، که فاکتورهای ایمنی متعددی دارد، نقل‌وانتقالات آنلاین را هم می توان از طریق بررسی فاکتورهای ایمنی متعدد و موازی، امن‌تر کرد.

رمز پویا: راهکار مؤثر در امنیت تراکنش‌های کارتی

اجتناب از به‌کارگیری رمز دوم ایستا در پرداخت‌‌های اینترنتی و بهره‌مندی از رمز دوم پویا، یکی از بهترین و مطمئن‌‌ترین راه‌های جلوگیری از حمله «فیشینگ» است. از این‌ رو، به مشتریان نظام بانکی توصیه می‌‌شود جهت جلوگیری از سوء‌استفاده‌ کلاهبرداران از طریق حمله «فیشینگ»، برای خریدهای خود از رمز دوم پویا استفاده نمایند. هرچند رمز دوم پویا برای کارت‌های نقدی الزامی شده است اما هنوز بن‌کارت‌ها، کارت‌های هدیه و کارت‌های اعتباری می‌توانند از رمز دوم ایستا استفاده کنند. لذا پیشنهاد می‌شود همیشه هنگام تراکنش‌های کارتی خود از کارتی که قابلیت دریافت رمز دوم پویا دارد استفاده نمایید. امروزه با گذشت حدود دو سال از الزامی شدن وارد کردن رمز پویا برای تراکنش‌های غیرحضوری کارت، امکانات مناسبی نیز در درگاه‌ها و اپلیکیشن‌های موبایلی بدین منظور تعبیه شده است. به‌عنوان مثال دریافت رمز پویای کارت‌های بانک پاسارگاد به‌راحتی در اپلیکیشن همراه‌بانک پاسارگاد به‌صورت مجزا از سیستم پیامکی ممکن است و حتی هنگام کارت‌به‌کارت نیز رمز پویا به‌صورت خودکار داخل محل موردنظر قرار می‌گیرد و نیاز به حفظ کردن آن نیست. همچنین امکان درخواست رمز پویا از طریق سامانۀ #۷۲۰* بانک پاسارگاد فراهم است و در سامانه بانکداری مجازی و همچنین درگاه‌های پرداخت این بانک نیز امکان درخواست آن و دریافت پیامکی رمز پویا وجود دارد.

چه کارهای دیگری می توانیم انجام دهیم؟

به‌طور کلی، راه‌های دیگری هم برای افزایش امنیت نقل‌وانتقالات بانکی وجود دارد که رعایت آن‌ها می‌تواند ضریب امنیت فعالیت‌های بانکی افراد را افزایش دهد. به‌عنوان نمونه، سعی کنید هنگام خرید از درگاه‌های پرداخت از اصل بودن درگاه مطمئن شوید و فریب تشابه نشانی لینک یک درگاه جعلی را با درگاه اصل نخورید.

همچنین دقت کنید که درگاه‌های پرداخت همیشه از پروتکل https در اول نشانی خود استفاده می‌کنند. در نشانی” نکات امنیتی پرداخت وجه خریدهای اینترنتی ” می‌توانید فهرست درگاه های تأییدشده توسط شاپرک (شبکه الکترونیکی پرداخت کارت) جهت خریدهای اینترنتی را مشاهده کنید و از وارد کردن اطلاعات در هر سایت پرداخت دیگری به جز موارد درج شده در لینک بالا جداً خودداری و به‌سرعت آن صفحه را ترک کنید. به‌عنوان مثال لینک درگاه پرداخت اینترنتی شرکت پرداخت الکترونیک پاسارگاد به‌صورت https://pep.shaparak.ir صحیح است و باید مراقب بود که در آدرس درگاه ضمن وجود داشتن پروتکل https، املای کلمات shaparak و مخفف نام شرکت پرداخت الکترونیک پاسارگاد (pep) صحیح درج شده باشد. همچنین دامنۀ تمامی درگاه‌های شرکت پرداخت ایرانی .ir است و هر دامنه دیگری جز این، نشان‌گر جعلی بودن درگاه پرداخت است.

دقت کنید که معمولاً بانک‌ها در حالت عادی برای مشتریان از طریق ایمیل یا پیامک اطلاعات شخصی حساب یا کارت را درخواست نمی‌کنند. ضمن دقت به آدرس ایمیل و سرشمارۀ پیامکی، از پاسخ به ایمیل‌ها و پیامک‌هایی با چنین مضامینی خودداری کرده و برای اطمینان با شعبه یا مرکز تماس بانک خود تماس بگیرید. برای مثال سرشمارۀ پیامکی بانک پاسارگاد به‌صورت B.Pasargad و یا ۵۰۰۰۹۰۰۰ صحیح است و باید نسبت به هر شماره یا نام مشابهی دیگری مشکوک شده و مراتب را به مرکز تماس این بانک به شماره ۸۲۸۹۰ -۰۲۱ یا شعبه خود اطلاع دهید.

برای مقابله با فیشینگ علاوه بر دقت در اصالت درگاه پرداخت توجه به نکات دیگری نیز ضروری است:

# از انتخاب شماره‌‌های آشنا، مثل شماره شناسنامه، تاریخ تولد یا شماره دانشجویی برای رمز کارت بانکی اجتناب کنید تا امکان حدس زدن رمز آن در صورت سرقت سایر اطلاعات شخصی شما ممکن نباشد.

# برای کارت‌های مختلف خود، رمزهای متفاوت انتخاب کنید. با این کار حتی اگر شخصی به اطلاعات یکی از حساب‌های شما دسترسی پیدا کند، سایر کارت‌‌ها در معرض خطر قرار نمی‌گیرند.

# رمز کارت بانکی و حساب‌‌های مالی خود را هر چند وقت یک بار (۲ الی ۳ ماه) تغییر دهید و هنگام مراجعه به دستگاه‌های خودپرداز و یا کار با اپلیکیشن‌‌های پرداخت (مانند پی‌پاد) در مکان‌های عمومی، رمز خود را با احتیاط وارد کنید.

# سعی کنید برای ورود به اپلیکیشن‎های بانکی به‌جای ورود با رمز، از اثر انگشت و شناسایی چهره استفاده نمایید؛ در همراه‌بانک پاسارگاد می‌توانید از منوی «سایر» این تنظیمات را برای خود فعال کنید.

# برای دریافت وجه از دیگران تنها اعلام شماره کارت شما کافی است؛ بنابراین از ارسال عکس مربوط به کارت بانکی خود در شبکه های اجتماعی برای دیگران اجتناب کنید. در صورت ضرورت حتماًکد اعتبارسنجی دوم کارت (CVV2) و تاریخ انقضای آن را بپوشانید و سپس عکس بگیرید.

در پایان دقت داشته باشید که فیشینگ بر مبنای وسوسه‌کردن مخاطب و سوءاستفاده از اطلاعات ناکافی او نسبت به الزامات انتقال‌وجه و یا شناسایی درگاه‌ها و کانال‌های تأییدشده انتقال‌وجه انجام می‌شود. در صورتی که پیام یا تماس نامتعارفی مبنی بر برنده شدن در قرعه‌کشی، امکان خرید کالایی با تخفیف غیرمعقول، درخواست فوری مبنی بر ارسال اطلاعات شخصی یا اطلاعات بانکی خود، واریز وجه جهت مشاهده ابلاغیه‌های قضایی و… دریافت کردید نسبت به موضوع مشکوک شده و قبل از هر اقدامی موضوع را با افراد مطلع‌تر یا نهادهای رسمی در میان بگذارید.