بزرگنمایی:

ایران مراسم نیوز: فیشینگ، معضلی بزرگ در شبکه پرداخت ایران در میزگرد باشگاه دیجیتال بررسی شد/ بخش اول

به گزارش خبرنگار پایگاه خبری-تحلیلی ایران مراسم نیوز،کلاهبرداری فیشینگ در طول سال‌های اخیر افزایش بسیار زیادی داشته تا جایی که آمارها نشان از وضعیت نگران کننده دارد و این دسته از حملات به معضلی بزرگ برای شبکه پرداخت ایران تبدیل شده است.


فیشینگ (Phishing) روشی برای نفوذ به اطلاعات افراد و سرقت دارایی‌های الکترونیک آن‌ها توسط کلاهبرداران است. متداول‌ترین روش‌های فیشینگ در حال حاضر ارسال ایمیل‌های فریبنده، فیشینگ تلفنی، درگاه تقلبی مشابه دروازه پرداخت بانک‌ها، دستگاه‌های کارت‌خوان و خودپرداز تقلبی و ربات‌های تلگرامی ویژه فیشینگ است. آمار دقیقی از تعداد پرونده‌های فیشینگ و کلاهبرداری اینترنتی در دسترس نیست، اما متأسفانه تعداد آن‌ها هرروز بیشتر می‌شود و طبق اعلام کارشناسان به مرز هشدار رسیده است. ازاین‌رو با توجه به‌ ضرورت این موضوع و باهدف بررسی ابعاد آن و ارائه راهکارهای عملی به‌منظور کاهش حجم جرائم در این بخش باشگاه دیجیتال ایبِنا میزگرد "فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری" با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاست‌گذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد.

عماد ایرانی: فیشینگ معضلی است که در تمام دنیا رواج دارد و هنوز هیچ کشوری نتوانسته آن را به صفر برساند؛ با توجه به این‌که شرکت خدمات انفورماتیک نگاه فرا بانکی دارد؛ وضعیت فیشینگ در کشور را چگونه ارزیابی می‌کنید و آیا در حال حاضر فیشینگ در کشور به سطحی رسیده که نگران‌کننده باشد و یا همانند سایر کشورها در سطح استاندارد صنعت بانکی قرار دارد؟

آیت: آمار رسمی در این بخش وجود ندارد و شرکت خدمات انفورماتیک به دلیل این‌که تنها زیرساخت بین‌بانکی را فراهم می‌کند به آمار این مهم دسترسی ندارد. زمانی که فیشینگ رخ می‌دهد به‌طورمعمول مردم به بانک‌های صادرکننده مراجعه و تقاضای مسدودی کارت می‌کنند. البته پرونده‌هایی که سمت پلیس فتا برای معضل فیشینگ شکل‌گرفته که مرجع خوبی برای به دست آوردن حجم فیشینگ در کشور است. پرتال تعاملی کاشف نیز اخیراً برای شناسایی و فیلتر سایت‌های فیشینگ و رسیدگی به پرونده‌ها در این حوزه در زمان کمتر به نسبت گذشته راه‌اندازی شده است. برای بررسی وضعیت فیشینگ در کشور باید گفت فیشینگ در ایران با راهکارهای ساده انجام می‌شود ولی حجم پرونده‌ها در این بخش روبه افزایش است.

ایرانی: منظور از پیچیده نبودن این است که از Attack و سیستم‌ها برای فیشینگ در کشور استفاده نمی‌شود؟

آیت: به‌منظور مقایسه فیشینگ در ایران با کشورهای دیگر باید گفت؛ در سایر کشورها این مهم با یک ایمیل شروع می‌شود که در آن‌یک لینک یا فایل پیوست وجود دارد که درصورتی‌که لینک باز شود افراد با ورود به یک سایت با بهره‌گیری از افزون‌هایی که در مرورگر سیستم وجود دارد؛ سوءاستفاده و سیستم فرد را آلوده می‌کند و هنگامی‌که فرد برای پرداخت وجوه به‌صورت اینترنتی وارد سایت یک بانک می‌شود، اطلاعات حساس کارت وی سرقت و حساب شخص را از این طریق مورد دستبرد قرار می‌دهند. در ایران روش کار بسیار ساده است و فیشینگ از طریق یک سایت جعلی، ارسال ایمیل‌ها و پیامک‌های جعلی صورت می‌گیرد و کاربر به‌وسیله این ابزارها مجاب می‌شود که سایتی که به آن واردشده و واقعی است.

ایرانی: با توجه به این‌که بر اساس آمار بانکی ملی بیشترین میزان کارت صادرشده در کشور را دارد و به‌ تبع باید حجم مشکلات در این بخش بیشتر باشد؛ تا چه میزان بانک ملی موضوع فیشینگ را جدی گرفته و چه اقداماتی انجام داده است؟

پور طاهر: با توجه به این‌که آمار فیشینگ در ایران نگران‌کننده است؛ اما روش‌های اجرای آن ابتدایی و تنها با فریب کاربر با یک پیشنهاد جذاب رخ می‌دهد. تعداد کارت‌های صادرشده از سمت بانک ملی بیشتر از سایر بانک‌ها است و به‌طور فیشینگ برای بانک دغدغه بوده است. مسئله اساسی این است که راهکار واحدی برای مقابله با فیشینگ از سمت صادرکننده کارت وجود ندارد. همچنین فیشینگ فرآیندی است که مشتری بیشترین نقش را در آن بازی می‌کند. ازاین‌رو شاید نشود خیلی به بانک‌ها و رگولاتور در این بخش خرده گرفت؛ زیرا کماکان مشتری هدف فیشینگ قرار می‌گیرد البته این موضوع نافع مسئولیت بانک‌ها و رگولاتور در این بخش نیست. برفرض مثال فون فیشینگ یکی از روش‌ها در این بخش است که نمونه مشخص آن فردی است که تنها با تلفن عمومی از داخل زندان میلیون‌ها تومان کلاه‌برداری کرد.

ایرانی: بانک ملت همواره در صنعت بانکی آموزش‌های متعددی به مشتریان خود ارائه داده است و من می‌خواهم بدانم این بانک تاکنون ریسک بهره‌گیری از رمز دوم در پرداخت‌های غیرحضوری را به مشتریان خود منتقل کرده است و فعالیت بانک ملت برای کاهش فیشینگ به چه صورت بوده است.

مستأجری: بانک ملت در اوایل دهه 90 درگیر داستان فیشینگ بود و آن زمان هنوز وضعیت درگاه‌های پرداخت همانند امروز پررنگ نشده بود؛ این بانک به دلیل سهم بالا از خدمات غیرحضوری به‌شدت درگیر موضوع فیشینگ بود. بانک ملت از سال 92 کمپینی که شامل اقدامات فنی و اجرایی و همچنین آگاهی‌رسانی بود در این بخش راه‌اندازی کرد و بانک ملت در بانکداری الکترونیکی اولین بانکی بود که از OTP روی حواله‌های بانک ملت استفاده کرد. در گام اول استفاده از OTP برای سقف بالای یک‌میلیون تومان اجباری و در گام دوم این مهم برای تمام مبالغ اجباری شد. البته حرکت‌های واحد در شبکه بانکی و پرداخت اثرگذارتر خواهد بود؛ چون اقداماتی که در هر بانکی به‌صورت مجزا انجام می‌شود منجر به ایجاد دغدغه‌های بیزنسی می‌شود. بانک ملت به‌منظور کاهش فیشینگ با توجه به این امر از خطای کاربری نشات می‌گیرد خود را مقید می‌دانست تا جایی که امکان دارد کاربر را محدود کند تا از ریل خارج نشده و دچار خطا نشود. افزون بر این بانک ملت در بحث آگاهی بخشی نیز با آموزش‌های بیلبوردی و پوستر تمام تلاش خود در این بخش را انجام داده است.

 من عقیده دارم روش‌های متکی به یک بانک و سازمان برای مدیریت فیشینگ در کشور جوابگو نیست و اقدام رگولاتور در بهره‌گیری از رمزهای پویا در کارت‌های بانکی راهکار مناسبی است؛ ولی تا زمانی که همه ملزم به استفاده از آن نشوند مؤثر واقع نمی‌شود. به اعتقاد من مردم ایران ظرفیت پذیرش این موضوع رادارند شاید در ابتدا منجر به ریزش مشتری شود و اما در بلندمدت به دلیل افزایش امنیت از آن استقبال می‌شود. همچنین به دلیل تقویت زیرساخت‌ها با الزامات امنیتی مثل OTP کار مشتری سخت نمی‌شود و باید در این روند سهولت انجام کار برای مشتریان بانکی تحت تأثیر قرار نگیرد. البته با به‌کارگیری از هر روشی هکرها به راهکارهای جدیدی برای فیشینگ دست می‌یابند و این موضوع پایانی ندارد و تنها از یک مدل به مدل دیگر تغییر رویه می‌دهد. بانک‌ها و شرکت‌های حوزه پیمت باید بتوانند در این شرایط در سریع‌ترین زمان ممکن راهکارهای جایگزین سریع را برای مقابله با شیوه‌های جدید فیشینگ ارائه دهند.

ایرانی: داتین یک تولیدکننده در حوزه نرم‌افزارهای بانکی و پرداخت است به نظر شما در حوزه صادرکنندگی کارت فناوری می‌تواند در شناسایی و کنترل فیشینگ مؤثر باشد و در کل موضوع فیشینگ باید در سطح پرداخت یا صادرکننده کارت مدیریت شود؟

سرلک: بخش عمده فیشینگ به مشتری برمی‌گردد، البته یکسری از اقدامات به‌صورت فنی برای احراز هویت می‌تواند از سمت صادرکننده کارت انجام شود؛ اما به‌طورقطع پاسخگو نخواهد بود. شواهد موجود بیانگر این است که تیپ آدم‌هایی که هدف فیشینگ قرارگرفته‌اند از چند سال گذشته تاکنون تغییری نکرده است که نشانگر این است که حرکت مؤثری در این بخش صورت نگرفته است. قشر تحصیل‌کرده جامعه در بخش فناوری هم دچار فیشینگ شده‌اند که این امر به دلیل نبود آموزش و آگاهی دهی در این حوزه است که باید بافرهنگ سازی آن را در سطح کشور رواج داد. روش‌های فیشینگ در کشور بسیار ابتدایی؛ ولی حجم پرونده در حال افزایش است که می‌توان این امر را از طریق آموزش و آگاهی دهی کاهش داد. این آموزش باید در سطح مدرسه و عموم مردم باشد و از سوی صادرکننده کارت و توسعه‌دهنده سیستم‌ها انجام شود.

ایرانی: شرکت‌های پرداخت می‌توانند با شناسایی و طبقه‌بندی مشتریان سطوح امنیتی برای آن‌ها در نظر بگیرند؟

سرلک: شرکت‌های پرداخت می‌توانند محدودیت‌های زیادی را برای افزایش امنیت ایجاد کنند و با طبقه‌بندی بخشی از کاربران را قبل از انجام هر تراکنش احراز هویت کنند؛ اما این روند منجر به‌کندی و نارضایتی کاربران می‌شود. حدود 70 الی 80 درصد کنترل فیشینگ باید با آموزش و آگاهی حل شود و به عقیده من تنها 15 الی 20 درصد پرونده‌های حملات فیشینگ با اجبار مشتری به انجام یکسری الزامات خاص که با نارضایتی همراه است، کنترل می‌شود.

 بخش دوم این میزگرد بزودی منتشر می شود...