حقه تازه کلاهبرداران برای خالی‌کردن حساب مردم

از چند ماه پیش با هزار دردسر و گرفتاری برای مقابله با برداشت‌های غیر مجاز و سرقت آنلاین از حساب مشتریان بانک‌ها استفاده از رمز پویا اجباری شد. هدف اصلی این کار مقابله با فیشینگ بود، اما گزارش‌ها نشان می‌دهد این کار هم نتوانسته به‌صورت کامل جلوی سارقان و کلاهبرداران را بگیرد و آن‌ها حتی با وجود داشتن رمز پویا هم دست به سرقت از حساب مردم می‌زنند.

روزنامه همشهری در ادامه نوشت: بسیاری از مردم به خاطر مراحل سخت و گاه پیچیده استفاده از اپلیکیشن‌های رمزساز از روش پیامکی ارسال رمز پویا استفاده می‌کنند؛ به همین خاطر بسیاری از کاربران وقتی وارد صفحه‌ای می‌شوند و با کلیک کردن روی دکمه ارسال رمز پویا، پیامک بانک را دریافت می‌کنند خیال‌شان تخت می‌شود که خبری از کلاهبرداری نیست. این در حالی است که در ماه‌های اخیر کلاهبردار‌های اینترنتی حقه‌های جدیدی را به کار بسته‌اند تا ماجرای رمز پویا را دور بزنند.

هرچند رمز پویا باعث شده تا دست و بال سارقان بسته‌تر از گذشته شود، اما نتوانسته به صورت کامل در صورت توجه نکردن کاربر جلوی تراکنش‌های غیر مجاز را بگیرد. شاید در نگاه اول این مسئله عجیب به نظر برسد، اما به گفته کارشناسان، استفاده از این مسئله روشی پیش پاافتاده به حساب می‌آید.

یاشار شاهین‌زاده، کارشناس امنیت اطلاعات در این رابطه می‌گوید: قبل از این که این داستان در ایران اتفاق بیفتد، روی پلتفرم‌های مهمی مثل گوگل، فیسبوک و توییتر هم رخ داده است. در واقع هکر‌ها با این روش مسئله احراز هویت ۲ مرحله‌ای با پیامک را دور می‌زدند.

او می‌گوید: اگر شما پای تلفن مشخصات کارت‌تان را به یک نفر بگویید و بعد از آن هم رمز ارسال شده توسط پیامک را به او اعلام کنید در مدت زمان اعتبار رمز پویا آن فرد می‌تواند اقدام به برداشت از حساب‌تان کند. حالا به جای این فرد پشت تلفن یک سرور را فرض کنید. در واقع مهاجم روی یک سرور سامانه فیشینگ نصب می‌کند و می‌تواند این فرایند را اتوماتیک‌سازی کند. این سامانه یک صفحه جعلی را به کاربر نشان می‌دهد و اطلاعات وارد شده توسط او ازجمله شماره کارت، کد CVV۲ و تاریخ انقضا را به بانک می‌فرستد.

این کار توسط این سامانه فیشینگ در پشت پرده روی یک درگاه واقعی بانک صورت می‌گیرد. در همان لحظه هم بانک به‌خاطر ورود اطلاعات از طریق این سامانه فیشینگ، رمز پویا را برای شماره تلفن همراه کاربر ارسال می‌کند و فرد قربانی آن را وارد صفحه جعلی می‌کند. از این زمان تا پایان اعتبار رمز پویا مثلا حدود ۲دقیقه سرقت و خالی کردن حساب فرد با داشتن همه اطلاعات لازم ممکن می‌شود.

خطر در انتظار اینترنت بانک

این کارشناس امنیت اطلاعات همچنین درباره ورود غیر مجاز به اینترنت‌بانک کاربران هشدار می‌دهد. هم‌اکنون اکثر سامانه‌های اینترنت بانک کشور ورودشان فقط با نام کاربری و کلمه عبور است. هم‌اکنون تعداد صفحات جعلی اینترنت بانک‌های کشور به‌شدت افزایش پیدا کرده و حتی در برخی موارد کلاهبرداران با پرداخت هزینه سرویس تبلیغات گوگل کاری می‌کنند که لینک صفحه فیشینگ بالاتر از صفحه اصلی بانک باز شود.

در واقع با دادن پول تبلیغات وقتی کاربر مثلا سرویس اینترنتی بانک مورد نظرش را جست‌وجو می‌کند، روی نخستین لینک گوگل که جعلی است کلیک می‌کند. یاشار شاهین‌زاده در این رابطه می‌گوید: مهاجمان با فیشینگ نام کاربری و رمز عبور اینترنت‌بانک به قول مشهور تور پهن کرده و با گرفتن موجودی حساب‌های درشت را توسط سامانه خودشان جدا می‌کنند. در مرحله بعد مثلا حساب‌های با مبالغ زیاد را هدف حمله دوم برای برداشت از حساب قرار می‌دهند.

مشکلی جهانی

یاشار شاهین‌زاده می‌گوید، این روش برای دور زدن رمز پویا مشکلی است که در کشور‌های مختلف و پلتفرم‌های پیشرفته هم وجود دارد. در این پلتفرم‌ها، اما سیستم هوش مصنوعی وجود دارد که ورود‌های مشکوک را تشخیص داده و جلوی آن را می‌گیرد؛ مثلا وقتی با دستگاه جدید یا آی‌پی غیر متعارف فردی سعی در ورود به‌حساب شخص می‌کند، گوگل جلوی آن را می‌گیرد.

به گفته او، در این زمینه هر چند بانک‌های ایران مقصر نیستند، اما بخش‌های امنیت آن‌ها می‌توانند کار‌هایی را برای جلوگیری از این مسئله انجام دهند. به‌گفته او، مثلا یکی از راه‌های ممکن این است که سیستم بانکی متوجه شود که خود کاربر است که درخواست رمز پویا را ارسال کرده است، اما در نهایت باید بدانیم که در حلقه امنیت حساب، بخشی مربوط به کاربر است و فرد باید حواسش باشد آدرس صفحه را کنترل کرده و اطلاعات خود را در صفحه جعلی وارد نکند. همه درگاه‌های بانکی واقعی به عبارت Shapark.ir ختم می‌شوند.

شاهین‌زاده می‌گوید: سرور‌های افراد کلاهبردار که برای فیشینگ استفاده می‌شود در داخل ایران هستند، چون بسیاری از صفحه اینترنت بانک‌ها فقط با آی‌پی ایران باز می‌شود. بانک‌ها باید با سامانه‌هایی متوجه فیشینگ شوند و با گزارش مسئله به پلیس فتا سریعا این فرد بر اساس مشخصاتی که دارد، دستگیر شود. بانک‌ها باید از لاگ‌های خود آی‌پی افراد مهاجم را بیرون کشیده و گزارش کنند. این کار سختی است و فعلا در سیستم بانکداری هیچ تدبیری برای آن در نظر گرفته نشده است.