همهچیز دربارهی کلاهبرداری از طریق درگاه پرداخت (IPG)
چگونه از وقوع فیشینگ پیشگیری کنیم؟
گسترش استفاده از درگاههای پرداخت (ipg) در فرآیند خریدهای اینترنتی، در کنار مزایای فراوانی که دارد، سبب شده است بستر انواع سوء استفادهها و کلاهبرداریها نیز برای افراد سودجو فراهم شود.
به گزارش خبرنگار پایگاه خبری بانکداری الکترونیک، گسترش استفاده از درگاههای پرداخت (ipg) در فرآیند خریدهای اینترنتی، در کنار مزایای فراوانی که دارد، سبب شده است بستر انواع سوء استفادهها و کلاهبرداریها نیز برای افراد سودجو فراهم شود. کلاهبرداری اینترنتی، از روشهای متنوع، به ویژه کلاهبرداری از طریق درگاه پرداخت، یکی از متدوالترین روشها در این جریان است.
کلاهبردان و هکرها اصولا روندی را در پیش میگیرند که تمام شواهد بهصورت طبیعی رخ بدهد. به طور مثال، صفحاتی کاملا شبیه درگاههای پرداخت معتبر ایجاد میکنند، یا با عنوانهای جذاب و فریبدهنده سعی در جذب کاربر دارند. هر گاه شما را به کسب درآمد بیشتر، دریافت جایزه با فعالیتهای کاذب، زیرمجموعه گیری، نمایش اطلاعات حقوقی (ثنا) و … از طریق ایمیل، شبکههای اجتماعی و پیامک دعوت کردند؛ ضرب المثل “هیچ گربهای برای رضای خدا موش نمیگیره” را به یاد آورید، آنگاه با کمی تامل متوجه خواهید شد فریبی در کار است یا خیر!
با این اوصاف در ادامهی این مطلب تلاش میکنیم علاوهبر معرفی راههای کلاهبرداری و فیشینگ از طریق درگاه پرداخت اینترنتی، راهکارهایی نیز برای مقابله و پیشگیری چنین پیشآمدهایی ارائه بدهیم.
آشنایی با فیشینگ
هر گاه افراد سودجو قصد به دست آوردن اطلاعاتی از شما مثل گذرواژه، نام کاربری، اطلاعات حساب بانکی و امثال اینها را از راه جعل کردن صفحات اینترنتی و یا آدرس ایمیل و … داشته باشند، در واقع عمل فیشینگ در حال رخ دادن است. بر اساس آخرین آمارهای پلیس فتا، در میان کلاهبرداریهای اینترنتی فیشینگ رتبهی اول را در کشور ما دارد.
فیشرها چگونه عمل میکنند؟
فیشرها یعنی همان کلاهبردارهای اینترنتی که عمل فیشینگ را انجام میدهند، در واقع رابط گرافیکی یک وبگاه معتبر را کپی میکنند و سپس با طراحی صفحات درگاه پرداخت جعلی، عمل فیشینگ را انجام میدهند. هنگامی که فیشرها صفحهی جعلی پرداخت را ساختند، به سادگی به شمارهی کارت، رمز دوم و کد CVV2 کاربران دسترسی پیدا میکنند و از این طریق میتوانند از حساب آنها برداشت انجام دهند.
چگونه از وقوع فیشینگ پیشگیری کنیم؟
با توجه به شرح مختصری که از شیوهی کار فیشرها دادیم، اولین نکتهای که باید به آن توجه کنیم، نحوهی تشخیص درگاه جعلی پرداخت است. برای این منظور راهکارهایی وجود دارد؛ مثلا اینکه باید توجه کنیم در حاشیه نوار نشانی اینترنتی صفحهی پرداخت بانک، علامت قفل یا عبارت https:// حتما درج شده باشد. این نکته را در این مورد لحاظ کنید که حضور حرف s در اینجا بسیار اهمیت دارد.
یادتان باشد این تازه گام اول است، و اگر چنین نقصانی در صفحهی پرداخت وجود نداشت، آنگاه باید به مرحلهی بعد بروید. مرحلهی بعدی، دقت کردن در آدرس صفحهی پرداخت است. در واقع باید آدرس URL سایت، عیناً همان آدرس اصلی درگاه پرداخت اینترنتی باشد و مطلقاً حرفی کم و زیاد نداشته باشد.
همچنین استفاده از درگاههای پرداخت معتبر میتواند در این زمینه راهکاری اساسی به شمار بیاید، زیرا به طور مثال درگاه پرداخت معتبر به دلیل اینکه از سیستمهای قوی امنیت اطلاعات برخوردار است از وقوع حملهی فیشینگ جلوگیری خواهد نمود.
راهکارهایی برای تست صحت درگاه پرداخت
یک روش ساده برای تست صحت درگاه پرداخت، ارائهی اطلاعات غلط است. هنگامی که در صفحهی پرداخت یک سایت اصلی و معتبر اطلاعات غلط را وارد کنید، با پیغامی از سایت شاپرک مبنی بر نادرست بودن اطلاعاتتان مواجه خواهید شد. در مقابل، اگر کد اخطاری دریافت نکردید، به این معنا خواهد بود که صفحهی پرداخت جعلی است.
اما یک راهکار دیگر نیز در این زمینه وجود دارد و آن استفاده از پلاگین ضد فیشینگ است. در واقع با نصب افزونهی ضدفیشینگ بر روی موتور جستجوگر خود، در لحظهی اتصال به درگاه پرداخت، در هر دو صورت جعلی یا اصلی بودن درگاه، پیامی بر آن مبنا دریافت خواهید نمود.
در سایت های معتبر، بخشی وجود دارد که با قرار دادن، آدرس صفحه پرداخت، میتوان اعتبار درگاه پرداخت را مورد بررسی قرار دهید و درصورت صحت آن با خیال راحت پرداخت خود را انجام دهید.
راهکار سادهی بعدی رفرش کردن صفحهی پرداخت، پیش از اتمام عملیات پرداخت است. پس از رفرش کردن، چنانچه شمارههای صفحه کلید امن صفحهی پرداخت، تغییر نکرد، آن صفحه جعلی خواهد بود. در نهایت باید اشاره کنیم که استفاده از رمز پویا نیز خود میتواند در جلوگیری از فیشینگ اثر مثبتی داشته باشد.
چند توصیهی کاربردی به کاربران
در کنار راهکارهایی که پیشتر توضیح دادیم، چند توصیهی کاربردی نیز در این زمینه مطرح میکنیم که میتواند برای پیشگیری از وقوع فیشینگ بسیار اثرگذار باشد. اولین توصیه این است که با دقتنظر همیشگی، بر روی هر لینکی که پیش روی شما قرار میگیرد کلیک نکنید.
لینکهای زیادی در طول روز برای شما پیامک یا ایمیل میشود، هر چند که عنوان فریبندهای داشته باشد بر روی تمام آنها کلیک نکنید. دومین توصیهی کاربردی ما این است که یک کارت بانکی مجزا با موجودی محدود، مختص به عملیاتهای اینترنتی در صفحات پرداخت داشته باشید. این راهکار میتواند از زیانهای کلان حتی در هنگام وقوع فیشینگ جلوگیری کند.
در نهایت توصیهی ما تمرکز بر روی نشانی سایت شاپرک است؛ فرض کنید بر روی یک لینک کلیک میکنید و به صفحهی درگاه پرداخت منتقل میشوید. در آنجا حتما به دامنهی سایت دقت کنید که لزوما و دقیقا باید shaparak.ir باشد، زیرا آدرسهای مشابه که کلاهبرداران از آن استفاده میکنند، شما را به تلهی فیشینگ خواهد انداخت.
نکته ای دیگری که باید به آن توجه کرد، در حال حاضر درگاههای پرداخت نیز بصورت واسط که به آنها پرداخت یار نیز گفته میشود، ارائه میگردد. در این حالت شما قبل از ورود به صفحه پرداخت که با دامنه شاپرک میباشد وارد فرم پرداخت شرکت واسط شده و اطلاعاتی مانند مبلغ،نام و شماره تماس را قرار میدهید و به هیچ عنوان از شما اطلاعات حساب و شماره کارت گرفته نمیشود.
مسئولیت و وظیفهی جبران خسارت فیشینگ بر عهدهی کیست؟
اکنون آمار پروندههای فیشینگ در ایران به مرز هشدار رسیده است، اما همچنان به طور شفاف و واضح مرجعی قانونی که مسئولیت مستقیم جبران خسارات فرد زیان دیده از حملهی فیشینگ را بر عهده بگیرد معین و مشخص نشده است. آیا سیستم شاپرک مسئول وقوع این جرائم است یا بانکها و یا حتی صاحبان کسب و کارها؟
به طور کلی حدود این مسئولیت باید در همان حوزهی قانونی تعریف شود که حدود اختیارات نهادها تعریف شده است. در واقع هر نهادی که در مسیر پرداختها وجود دارد، بسته به میزان اختیاراتش، مسئولیت نیز بر عهده خواهد داشته داشت. اما متاسفانه اکنون قانون مدونی در اینباره وجود ندارد.
بنابراین صاحبان کسب و کارها و سازمانهای وابسته به فرآیندهای خرید اینترنتی نیز باید تا حد ممکن و بر اساس نیازی ضروری، در بالا بردن سطح آموزش راهکارهای مقابله با فیشینگ نهایت تلاش خود را بکنند.
صاحبان کسب و کارها و مقابله با فیشینگ
فیشینگ نه تنها برای کاربران سایتها و فروشگاههای مجازی خطری جدی محسوب میشود، بلکه کاملا متوجه صاحبان کسب و کارهایی است که از درگاه پرداخت استفاده میکنند نیز خواهد بود. بنابراین بهتر است به راههای گوناگون تامین امنیت وبسایتها نیز اشارهای داشته باشیم.
اولین توصیه در زمینهی تامین امنیت وبسایتها برای صاحبان کسب و کارها، داشتن یک بکآپ همیشگی از اطلاعات است. از طرف دیگر شما به عنوان مدیر مجموعه باید همواره با آموزش کارکنان بخشهای مختلف کسب و کار خود، مانع کلیک کردن آنها بر روی هر لینکی بشوید و از این طریق از فیشینگ به کمک لینکهای مخرب و ایمیلفیشینگ جلوگیری نمایید.
اما اینها اقدامات مقدماتی در این زمینه به شمار میرود برای تامین سطح بالاتری از امنیت در وبسایتها، باید پروتکلها و روشهای ایمنسازی فضای دادهها نیز بر روی وبسایت پیاده شود.
توصیه بعدی ما برای صاحبان مشاغل گوناگون در مسیر ایجاد امنیت بیشتر، توجه ویژه به مجوزهای لازم است. علاوهبر اینکه اخذ مجوزهای لازم سبب جذب اعتماد بیشتر مشتریان خواهد شد، در برقراری پروتکلهای امنیتی نیز موثر است.
برای نمونه نماد اعتماد الکترونیکی که توسط مرکز توسعهی تجارت الکترونیکی وزرات نفت، صنعت، معدن و تجارت به صاحبان کسب و کارها تعلق میگیرد، اصولا کارکرد و هدفش ایجاد یک بستر امن در عرصهی تجارت الکترونیک است. اکنون با توجه به کلیاتی که در اینباره مطرح کردیم به بیان چند راهکار که میتوان به کمک آنها از دادههای کسب و کارهای مختلف محافظت کرد خواهیم پرداخت.
راهکارهایی برای مقابله با فیشینگ در در کسب و کارها
سیستمها و نرمافزارهای موجود در مجموعه را مرتباً را بهروز کنید
از دادههای ضروری بکآپ تهیه کنید
کارکنان مجموعهی خودتان را در مورد فیشینگ آموزش بدهید
از رمزگذاری و سیستم امنیت ایمیل استفاده کنید
تا پیش از انجام تراکنش اطلاعات مشتریان را ذخیره نکنید
در دورههای منظم، آزمونهای امنیتی را در وبسایت خود اجرا کنید
آخرین نسخههای نرمافزارهای امنیتی را در کامپیوتر خود نصب کنید
از پروتکلهای Http همراه با SSL استفاده کنید
در صورت امکان در مجموعهی خود از یک کارشناس امنیت شبکه بهره ببرید
مقابله با فیشینگ در شبکههای اجتماعی
برخی از کسب و کارهای اینترنتی که سروکارشان با درگاه پرداخت است، در شبکههای اجتماعی فعالیت میکنند. این کسب و کارها نیز از حملههای فیشینگ در امان نیستند، بنابراین فعالان در این حوزه نیز باید راهکارهای ایمنسازی حسابهای کاربردی خود را بیاموزند. برای این منظور به فهرست اجمالی زیر توجه کنید:
ایجاد یک رمز عبور قوی
تغییر دورهای رمزهای عبور
استفاده از احراز هویت دو عاملی
بررسی افرادی که به حسابها دسترسی دارند
آفلاین نگه داشتن اطلاعات شخصی
ایجاد آدرس ایمیلی اختصاصی برای کسب و کار در شبکههای اجتماعی
پرهیز از اتصال به منابع عمومی اینترنت
ایجاد یک خط مشی شرکتی برای هر حساب
توجه داشته باشید که رعایت موارد یاد شده تا حد بسیار زیادی در ایجاد تراکنشهایی امن اثرگذار خواهد بود. اما به طور کلی استفاده از درگاه پرداخت (IPG) معتبر که از پشتیبانی امنیتی بالایی برخوردار است و توسط سیستمهای نرمافزاری و پیشرفتهی امنیتی از تراکنشها حمایت میکند نیز در روند مقابله با پدیدهی فیشینگ بسیار با اهمیت است.