همه‌چیز درباره‌ی کلاهبرداری از طریق درگاه پرداخت (IPG)

به گزارش خبرنگار پایگاه خبری بانکداری الکترونیک، گسترش استفاده از درگاه‌های پرداخت (ipg) در فرآیند خریدهای اینترنتی، در کنار مزایای فراوانی که دارد، سبب شده است بستر انواع سوء استفاده‌ها و کلاهبرداری‌ها نیز برای افراد سودجو فراهم شود. کلاهبرداری اینترنتی، از روش‌های متنوع، به ویژه کلاهبرداری از طریق درگاه پرداخت، یکی از متدوال‌ترین روش‌ها در این جریان است.

کلاه‌بردان و هکرها اصولا روندی را در پیش می‌گیرند که تمام شواهد به‌صورت طبیعی رخ بدهد. به طور مثال، صفحاتی کاملا شبیه درگاه‌های پرداخت معتبر ایجاد می‌کنند، یا با عنوان‌های جذاب و فریب‌دهنده سعی در جذب کاربر دارند. هر گاه شما را به کسب درآمد بیش‌تر، دریافت جایزه با فعالیت‌های کاذب، زیر‌مجموعه گیری، نمایش اطلاعات حقوقی (ثنا) و  … از طریق ایمیل، شبکه‌های اجتماعی و پیامک دعوت کردند؛ ضرب المثل “هیچ گربه‌ای برای رضای خدا موش نمیگیره” را به یاد آورید، آن‌گاه با کمی تامل متوجه خواهید شد فریبی در کار است یا خیر!

با این اوصاف در ادامه‌ی این مطلب تلاش می‌کنیم علاوه‌بر معرفی راه‌های کلاهبرداری و فیشینگ از طریق درگاه پرداخت اینترنتی، راهکارهایی نیز برای مقابله و پیشگیری چنین پیش‌آمدهایی ارائه بدهیم.

آشنایی با فیشینگ
هر گاه افراد سودجو قصد به دست آوردن اطلاعاتی از شما مثل گذرواژه، نام کاربری، اطلاعات حساب بانکی و امثال این‌ها را از راه‌ جعل کردن صفحات اینترنتی و یا آدرس ایمیل و … داشته باشند، در واقع عمل فیشینگ در حال رخ دادن است. بر اساس آخرین آمارهای پلیس فتا، در میان کلاه‌برداری‌های اینترنتی فیشینگ رتبه‌ی اول را در کشور ما دارد.

فیشرها چگونه عمل می‌کنند؟
فیشرها یعنی همان کلاه‌بردارهای اینترنتی که عمل فیشینگ را انجام می‌دهند، در واقع رابط گرافیکی یک وب‌گاه معتبر را کپی می‌کنند و سپس با طراحی صفحات درگاه پرداخت جعلی، عمل فیشینگ را انجام می‌دهند. هنگامی که فیشرها صفحه‌ی جعلی پرداخت را ساختند، به سادگی به شماره‌ی کارت، رمز دوم و کد CVV2 کاربران دسترسی پیدا می‌کنند و از این طریق می‌توانند از حساب آن‌ها برداشت انجام دهند.

چگونه از وقوع فیشینگ پیشگیری کنیم؟
با توجه به شرح مختصری که از شیوه‌ی کار فیشرها دادیم، اولین نکته‌ای ‌که باید به آن توجه کنیم، نحوه‌ی تشخیص درگاه جعلی پرداخت است. برای این منظور راهکارهایی وجود دارد؛ مثلا این‌که باید توجه کنیم در حاشیه نوار نشانی اینترنتی صفحه‌ی پرداخت بانک، علامت قفل یا عبارت https:// حتما درج شده باشد. این نکته را در این مورد لحاظ کنید که حضور حرف s در این‌جا بسیار اهمیت دارد.

یادتان باشد این تازه گام اول است،  و اگر چنین نقصانی در صفحه‌ی پرداخت وجود نداشت، آن‌گاه باید به مرحله‌ی بعد بروید. مرحله‌ی بعدی، دقت کردن در آدرس صفحه‌ی پرداخت است. در واقع باید آدرس URL سایت، عیناً همان آدرس اصلی درگاه پرداخت اینترنتی باشد و مطلقاً حرفی کم و زیاد نداشته باشد.

همچنین استفاده از درگاه‌های پرداخت معتبر می‌تواند در این زمینه راهکاری اساسی به شمار بیاید، زیرا به طور مثال درگاه پرداخت معتبر به دلیل این‌که از سیستم‌های قوی امنیت اطلاعات برخوردار است از وقوع حمله‌ی فیشینگ جلوگیری خواهد نمود. 

راهکارهایی برای تست صحت درگاه پرداخت
یک روش ساده برای تست صحت درگاه پرداخت، ارائه‌ی اطلاعات غلط است. هنگامی که در صفحه‌ی پرداخت یک سایت اصلی و معتبر اطلاعات غلط را وارد کنید، با پیغامی از سایت شاپرک مبنی بر نادرست بودن اطلاعات‌تان مواجه خواهید شد. در مقابل، اگر کد اخطاری دریافت نکردید، به این معنا خواهد بود که صفحه‌ی پرداخت جعلی است.

اما یک راهکار دیگر نیز در این زمینه وجود دارد و آن استفاده از پلاگین ضد فیشینگ است. در واقع با نصب افزونه‌ی ضدفیشینگ بر روی موتور جستجوگر خود، در لحظه‌ی اتصال به درگاه پرداخت، در هر دو صورت جعلی یا اصلی بودن درگاه، پیامی بر آن مبنا دریافت خواهید نمود.

در سایت های معتبر، بخشی وجود دارد که با قرار دادن، آدرس صفحه پرداخت، می‌توان اعتبار درگاه پرداخت را مورد بررسی قرار دهید و درصورت صحت آن با خیال راحت پرداخت خود را انجام دهید.

راهکار ساده‌ی بعدی رفرش کردن صفحه‌ی پرداخت، پیش از اتمام عملیات پرداخت است. پس از رفرش کردن، چنانچه شماره‌های صفحه کلید امن صفحه‌ی پرداخت، تغییر نکرد، آن صفحه جعلی خواهد بود. در نهایت باید اشاره کنیم که استفاده از رمز پویا نیز خود می‌تواند در جلوگیری از فیشینگ اثر مثبتی داشته باشد.

چند توصیه‌ی کاربردی به کاربران
در کنار راهکارهایی که پیش‌تر توضیح دادیم، چند توصیه‌ی کاربردی نیز در این زمینه مطرح می‌کنیم که می‌تواند برای پیشگیری از وقوع فیشینگ بسیار اثرگذار باشد. اولین توصیه این است که با دقت‌نظر همیشگی، بر روی هر لینکی که پیش روی شما قرار می‌گیرد کلیک نکنید.

لینک‌‌های زیادی در طول روز برای شما پیامک‌ یا ایمیل می‌شود، هر چند که عنوان فریبنده‌ای داشته باشد بر روی تمام آن‌ها کلیک نکنید. دومین توصیه‌ی کاربردی ما این است که یک کارت بانکی مجزا با موجودی محدود، مختص به عملیات‌های اینترنتی در صفحات پرداخت داشته باشید. این راهکار می‌تواند از زیان‌های کلان حتی در هنگام وقوع فیشینگ جلوگیری کند.

در نهایت توصیه‌ی ما تمرکز بر روی نشانی سایت شاپرک است؛ فرض کنید بر روی یک لینک کلیک می‌کنید و به صفحه‌ی درگاه پرداخت منتقل می‌شوید. در آن‌جا حتما به دامنه‌ی سایت دقت کنید که لزوما و دقیقا باید shaparak.ir باشد، زیرا آدرس‌های مشابه که کلاه‌برداران از آن استفاده می‌کنند، شما را به تله‌ی فیشینگ خواهد انداخت.

نکته ای دیگری که باید به آن توجه کرد، در حال حاضر درگاه‌های پرداخت نیز بصورت واسط که به آنها پرداخت یار نیز گفته می‌شود، ارائه می‌گردد. در این حالت شما قبل از ورود به صفحه پرداخت که با دامنه شاپرک می‌باشد وارد فرم پرداخت شرکت واسط شده و اطلاعاتی مانند مبلغ،نام و شماره تماس را قرار می‌دهید و به هیچ عنوان از شما اطلاعات حساب و شماره کارت گرفته نمی‌شود.

مسئولیت و وظیفه‌ی جبران خسارت فیشینگ بر عهده‌ی کیست؟
اکنون آمار پرونده‌های فیشینگ در ایران به مرز هشدار رسیده است، اما همچنان به طور شفاف و واضح مرجعی قانونی که مسئولیت مستقیم جبران خسارات فرد زیان دیده از حمله‌ی فیشینگ را بر عهده بگیرد معین و مشخص نشده است. آیا سیستم شاپرک مسئول وقوع این جرائم است یا بانک‌ها و یا حتی صاحبان کسب و کارها؟

به طور کلی حدود این مسئولیت باید در همان حوزه‌ی قانونی تعریف شود که حدود اختیارات نهادها تعریف شده است. در واقع هر نهادی که در مسیر پرداخت‌ها وجود دارد، بسته به میزان اختیاراتش، مسئولیت‌ نیز بر عهده خواهد داشته داشت. اما متاسفانه اکنون قانون مدونی در این‌باره وجود ندارد.

بنابراین صاحبان کسب و کارها و سازمان‌های وابسته به فرآیندهای خرید اینترنتی نیز باید تا حد ممکن و بر اساس نیازی ضروری، در بالا بردن سطح آموزش راهکارهای مقابله با فیشینگ نهایت تلاش خود را بکنند.

 صاحبان کسب و ‌کارها و مقابله با فیشینگ
فیشینگ نه تنها برای کاربران سایت‌ها و فروشگاه‌های مجازی خطری جدی محسوب می‌شود، بل‌که کاملا متوجه صاحبان کسب و ‌کارهایی است که از درگاه پرداخت استفاده می‌کنند نیز خواهد بود. بنابراین بهتر است به راه‌های گوناگون تامین امنیت وب‌سایت‌ها نیز اشاره‌ای داشته باشیم.

اولین توصیه در زمینه‌ی تامین امنیت وب‌سایت‌ها برای صاحبان کسب و کارها، داشتن یک بک‌آپ همیشگی از اطلاعات است. از طرف دیگر شما به عنوان مدیر مجموعه باید همواره با آموزش کارکنان بخش‌های مختلف کسب و کار خود، مانع کلیک کردن آن‌ها بر روی هر لینکی بشوید و از این طریق از فیشینگ به کمک لینک‌های مخرب و ایمیل‌فیشینگ جلوگیری نمایید.

اما این‌ها اقدامات مقدماتی در این زمینه به شمار می‌رود برای تامین سطح بالاتری از امنیت در وب‌سایت‌ها، باید پروتکل‌ها و روش‌های ایمن‌سازی فضای داده‌ها نیز بر روی وب‌سایت پیاده شود.

توصیه بعدی ما برای صاحبان مشاغل گوناگون در مسیر ایجاد امنیت بیش‌تر، توجه ویژه به مجوزهای لازم است. علا‌وه‌بر این‌که اخذ مجوزهای لازم سبب جذب اعتماد بیش‌تر مشتریان خواهد شد، در برقراری پروتکل‌های امنیتی نیز موثر است.

برای نمونه نماد اعتماد الکترونیکی که توسط مرکز توسعه‌ی تجارت الکترونیکی وزرات نفت، صنعت، معدن و تجارت به صاحبان کسب و کارها تعلق می‌گیرد، اصولا کارکرد و هدفش ایجاد یک بستر امن در عرصه‌ی تجارت الکترونیک است. اکنون با توجه به کلیاتی ‌که در این‌باره مطرح کردیم به بیان چند راهکار که می‌توان به کمک آن‌ها از داده‌های کسب و کارهای مختلف محافظت کرد خواهیم پرداخت.

راهکارهایی برای مقابله با فیشینگ در در کسب و کارها
سیستم‌ها و نرم‌افزارهای موجود در مجموعه را مرتباً را به‌روز کنید
از داده‌های ضروری بک‌آپ تهیه کنید
کارکنان مجموعه‌ی خودتان را در مورد فیشینگ آموزش بدهید
از رمزگذاری و سیستم امنیت ایمیل استفاده کنید
تا پیش از انجام تراکنش اطلاعات مشتریان را ذخیره نکنید
در دوره‌های منظم، آزمون‌های امنیتی را در وب‌سایت خود اجرا کنید
آخرین نسخه‌های نرم‌افزارهای امنیتی را در کامپیوتر خود نصب کنید
از پروتکل‌های Http همراه با SSL استفاده کنید
در صورت امکان در مجموعه‌ی خود از یک کارشناس امنیت شبکه بهره ببرید

مقابله با فیشینگ در شبکه‌های اجتماعی
برخی از کسب و کارهای اینترنتی که سروکارشان با درگاه پرداخت است، در شبکه‌های اجتماعی فعالیت می‌کنند. این کسب و کارها نیز از حمله‌های فیشینگ در امان نیستند، بنابراین فعالان در این حوزه نیز باید راهکارهای ایمن‌سازی حساب‌های کاربردی خود را بیاموزند. برای این منظور به فهرست اجمالی زیر توجه کنید:

ایجاد یک‌ رمز عبور قوی
تغییر دوره‌ای رمزهای عبور
استفاده از احراز هویت دو عاملی
بررسی افرادی که به حساب‌ها دسترسی دارند
آفلاین نگه داشتن اطلاعات شخصی
ایجاد آدرس ایمیلی اختصاصی برای کسب و کار در شبکه‌های اجتماعی
پرهیز از اتصال به منابع عمومی اینترنت
ایجاد یک خط مشی شرکتی برای هر حساب
توجه داشته باشید که رعایت موارد یاد شده تا حد بسیار زیادی در ایجاد تراکنش‌هایی امن اثرگذار خواهد بود. اما به طور کلی استفاده از درگاه پرداخت (IPG) معتبر که از پشتیبانی امنیتی بالایی برخوردار است و توسط سیستم‌های نرم‌افزاری و پیشرفته‌ی امنیتی از تراکنش‌ها حمایت می‌کند نیز در روند مقابله با پدیده‌ی فیشینگ بسیار با اهمیت است.