ضدحمله علیه راهزنان فضای دیجیتال؛ چطور با «فیشینگ» مقابله کنیم؟
«فیشینگ»، به زبان ساده، نوعی حمله آنلاین، پیامکی، تلفنی، ایمیلی و غیره است که برای سرقت دادههای کاربر، از جمله رمز عبور و اطلاعات حساب یا کارت بانکی و مواردی از این قبیل صورت میگیرد.
به گزارش تریتا نیوز به نقل از پایگاه خبری تحلیلی انتخاب (Entekhab.ir): برای حفظ امنیت نقلوانتقالات بانکی خود در شبکه اینترنت چه کاری میتوانیم انجام دهیم؟ پاسخ این پرسش برای جهانی که در آن بسیاری از فعالیتهای ما از رهگذر فضای مجازی انجام میگیرد، احتمالاً از نان شب هم واجبتر است. این در حالی است که با اوجگیری فعالیتهای مخربی نظیر «فیشینگ» در مبادلات مالی اینترنتی، مهم است که کاربران هم اطلاعات خود را در این زمینه بالا ببرند.
«فیشینگ»: باید مراقب چه چیزی باشیم؟
این روزها، امنیت تبادلات بانکی دیگر چندان با سرقتِ فیزیکی وجه نقد تهدید نمیشود، بلکه بیشتر اهمیت آن به دنیای مجازی و تراکنشهای بانکی آنلاین منتقل شده است. تجربههای مختلف افراد را که کنار هم بگذاریم میبینیم کوچکترین غفلت در این زمینه، باعث مشکلات و خسارات بزرگی برای افراد و حتی کسبوکارها شده است. در این میان، حملات موسوم به «فیشینگ»(Phishing) یکی از اصلیترین نگرانیهای امنیتی در حوزه نقلوانتقالات مالی است که علاوه بر تراکنشهای بانکی، دیگر ابزارهای انتقال مالی، نظیر اپلیکیشنهای پرداختی (پرداختیارها) را هم تحتالشعاع قرار داده است.
«فیشینگ»، به زبان ساده، نوعی حمله آنلاین، پیامکی، تلفنی، ایمیلی و غیره است که برای سرقت دادههای کاربر، از جمله رمز عبور و اطلاعات حساب یا کارت بانکی و مواردی از این قبیل صورت میگیرد. در این حمله، مهاجم به روشهای مختلف خود را بهشکل یک نهاد یا شخص معتبر نشان داده و فرد را به سوی سامانههای جعلی هدایت میکند تا قربانی با وارد کردن اطلاعات محرمانه حساب خود در آنها، طعمه شیادان و «فیشرها» شود. این کار ممکن است با شگردهایی نظیرتشویق قربانی به خرید شارژ ارزان، دریافت جایزه قرعهکشی، بازکردن یک ایمیل از طرف شخص یا سازمانی بهظاهر مهم و دانلود اپلیکیشنهای کاربردی آغاز شده و در ادامه قربانی را با کلیک بر روی یک لینک ساختگی، به یک صفحه وبسایت جعلی (برای مثال درگاههای جعلی پرداخت) هدایت کند یا بدافزاری را بر روی رایانه یا گوشی او نصب نماید.
اما چطور میتوان با این حملات مقابله کرد؟ سادهترین راه، افزایش ضریب ایمنی در هنگام خرید اینترنتی یا نقل وانتقالات بانکی است. در واقع، درست مانند یک اسکناس، که فاکتورهای ایمنی متعددی دارد، نقلوانتقالات آنلاین را هم می توان از طریق بررسی فاکتورهای ایمنی متعدد و موازی، امنتر کرد.
رمز پویا: راهکار مؤثر در امنیت تراکنشهای کارتی
اجتناب از بهکارگیری رمز دوم ایستا در پرداختهای اینترنتی و بهرهمندی از رمز دوم پویا، یکی از بهترین و مطمئنترین راههای جلوگیری از حمله «فیشینگ» است. از این رو، به مشتریان نظام بانکی توصیه میشود جهت جلوگیری از سوءاستفاده کلاهبرداران از طریق حمله «فیشینگ»، برای خریدهای خود از رمز دوم پویا استفاده نمایند. هرچند رمز دوم پویا برای کارتهای نقدی الزامی شده است اما هنوز بنکارتها، کارتهای هدیه و کارتهای اعتباری میتوانند از رمز دوم ایستا استفاده کنند. لذا پیشنهاد میشود همیشه هنگام تراکنشهای کارتی خود از کارتی که قابلیت دریافت رمز دوم پویا دارد استفاده نمایید. امروزه با گذشت حدود دو سال از الزامی شدن وارد کردن رمز پویا برای تراکنشهای غیرحضوری کارت، امکانات مناسبی نیز در درگاهها و اپلیکیشنهای موبایلی بدین منظور تعبیه شده است. بهعنوان مثال دریافت رمز پویای کارتهای بانک پاسارگاد بهراحتی در اپلیکیشن همراهبانک پاسارگاد بهصورت مجزا از سیستم پیامکی ممکن است و حتی هنگام کارتبهکارت نیز رمز پویا بهصورت خودکار داخل محل موردنظر قرار میگیرد و نیاز به حفظ کردن آن نیست. همچنین امکان درخواست رمز پویا از طریق سامانۀ #۷۲۰* بانک پاسارگاد فراهم است و در سامانه بانکداری مجازی و همچنین درگاههای پرداخت این بانک نیز امکان درخواست آن و دریافت پیامکی رمز پویا وجود دارد.
چه کارهای دیگری می توانیم انجام دهیم؟
بهطور کلی، راههای دیگری هم برای افزایش امنیت نقلوانتقالات بانکی وجود دارد که رعایت آنها میتواند ضریب امنیت فعالیتهای بانکی افراد را افزایش دهد. بهعنوان نمونه، سعی کنید هنگام خرید از درگاههای پرداخت از اصل بودن درگاه مطمئن شوید و فریب تشابه نشانی لینک یک درگاه جعلی را با درگاه اصل نخورید.
همچنین دقت کنید که درگاههای پرداخت همیشه از پروتکل https در اول نشانی خود استفاده میکنند. در نشانی” نکات امنیتی پرداخت وجه خریدهای اینترنتی ” میتوانید فهرست درگاه های تأییدشده توسط شاپرک (شبکه الکترونیکی پرداخت کارت) جهت خریدهای اینترنتی را مشاهده کنید و از وارد کردن اطلاعات در هر سایت پرداخت دیگری به جز موارد درج شده در لینک بالا جداً خودداری و بهسرعت آن صفحه را ترک کنید. بهعنوان مثال لینک درگاه پرداخت اینترنتی شرکت پرداخت الکترونیک پاسارگاد بهصورت https://pep.shaparak.ir صحیح است و باید مراقب بود که در آدرس درگاه ضمن وجود داشتن پروتکل https، املای کلمات shaparak و مخفف نام شرکت پرداخت الکترونیک پاسارگاد (pep) صحیح درج شده باشد. همچنین دامنۀ تمامی درگاههای شرکت پرداخت ایرانی .ir است و هر دامنه دیگری جز این، نشانگر جعلی بودن درگاه پرداخت است.
دقت کنید که معمولاً بانکها در حالت عادی برای مشتریان از طریق ایمیل یا پیامک اطلاعات شخصی حساب یا کارت را درخواست نمیکنند. ضمن دقت به آدرس ایمیل و سرشمارۀ پیامکی، از پاسخ به ایمیلها و پیامکهایی با چنین مضامینی خودداری کرده و برای اطمینان با شعبه یا مرکز تماس بانک خود تماس بگیرید. برای مثال سرشمارۀ پیامکی بانک پاسارگاد بهصورت B.Pasargad و یا ۵۰۰۰۹۰۰۰ صحیح است و باید نسبت به هر شماره یا نام مشابهی دیگری مشکوک شده و مراتب را به مرکز تماس این بانک به شماره ۸۲۸۹۰ -۰۲۱ یا شعبه خود اطلاع دهید.
برای مقابله با فیشینگ علاوه بر دقت در اصالت درگاه پرداخت توجه به نکات دیگری نیز ضروری است:
# از انتخاب شمارههای آشنا، مثل شماره شناسنامه، تاریخ تولد یا شماره دانشجویی برای رمز کارت بانکی اجتناب کنید تا امکان حدس زدن رمز آن در صورت سرقت سایر اطلاعات شخصی شما ممکن نباشد.
# برای کارتهای مختلف خود، رمزهای متفاوت انتخاب کنید. با این کار حتی اگر شخصی به اطلاعات یکی از حسابهای شما دسترسی پیدا کند، سایر کارتها در معرض خطر قرار نمیگیرند.
# رمز کارت بانکی و حسابهای مالی خود را هر چند وقت یک بار (۲ الی ۳ ماه) تغییر دهید و هنگام مراجعه به دستگاههای خودپرداز و یا کار با اپلیکیشنهای پرداخت (مانند پیپاد) در مکانهای عمومی، رمز خود را با احتیاط وارد کنید.
# سعی کنید برای ورود به اپلیکیشنهای بانکی بهجای ورود با رمز، از اثر انگشت و شناسایی چهره استفاده نمایید؛ در همراهبانک پاسارگاد میتوانید از منوی «سایر» این تنظیمات را برای خود فعال کنید.
# برای دریافت وجه از دیگران تنها اعلام شماره کارت شما کافی است؛ بنابراین از ارسال عکس مربوط به کارت بانکی خود در شبکه های اجتماعی برای دیگران اجتناب کنید. در صورت ضرورت حتماًکد اعتبارسنجی دوم کارت (CVV2) و تاریخ انقضای آن را بپوشانید و سپس عکس بگیرید.
در پایان دقت داشته باشید که فیشینگ بر مبنای وسوسهکردن مخاطب و سوءاستفاده از اطلاعات ناکافی او نسبت به الزامات انتقالوجه و یا شناسایی درگاهها و کانالهای تأییدشده انتقالوجه انجام میشود. در صورتی که پیام یا تماس نامتعارفی مبنی بر برنده شدن در قرعهکشی، امکان خرید کالایی با تخفیف غیرمعقول، درخواست فوری مبنی بر ارسال اطلاعات شخصی یا اطلاعات بانکی خود، واریز وجه جهت مشاهده ابلاغیههای قضایی و… دریافت کردید نسبت به موضوع مشکوک شده و قبل از هر اقدامی موضوع را با افراد مطلعتر یا نهادهای رسمی در میان بگذارید.