بحران فیشینگ با رمز پویا

اعتماد مردم به ارسال رمز پویا به وسیله پیامک توسط بانک‌ها باعث شده تا کسب‌وکار کلاهبرداران اینترنتی این روزها داغ‌تر شود.

به گزارش پایگاه خبری بانکداری الکترونیک، این روزها گروه زیادی از کلاهبرداران ازجمله در سایت‌های قمار آنلاین به کاربران اعلام می‌کنند که فیشینگ با رمز پویا ممکن نیست. این در حالی است که هر روز آمار سرقت از حساب کاربران با وجود استفاده از رمز پویا در حال افزایش است.

از چند‌ماه قبل برای مقابله با فیشینگ یا کلاهبرداری از کاربران برای سرقت آنلاین از حساب‌های بانکی‌شان، رمز پویا بعد از مدت‌ها پیگیری بانک مرکزی وارد چرخه زندگی مردم شد. از همان موقع  در چندین گزارش تأکید کرد هرچند استفاده از رمز پویا یا یکبارمصرف کاری قابل تقدیر است اما نمی‌تواند مشکل فیشینگ را به‌طور کامل در کشور حل کند.

طی هفته‌های اخیر بیشتر از هر زمان دیگری رمز پویا مثل شمشیری دولبه عمل کرده است. از یک‌سو استفاده از رمز پویا باعث شده تا امکان سرقت از حساب بانکی درصورت لو رفتن رمز به حدود ۲ دقیقه محدود شود اما از سوی دیگر ارسال رمز پویا از سوی سامانه‌های جعلی یا گسترش بدافزارهای ساخته شده در این رابطه، خود باعث بالا رفتن آمار فیشینگ شده است.

فیشینگ به زبان ساده دزدی و سرقت آنلاین پول مردم با ساخت صفحه‌های جعلی شبیه به صفحه درگاه بانکی است. اکنون کلاهبرداران و سارقان اینترنتی کاری کرده‌اند که در همان مدت کوتاه اعتبار رمز پویا هم حساب فرد را خالی می‌کنند.

 اکثر مردم به‌خاطر مراحل سخت و گاها پیچیده استفاده از اپلیکیشن‌های رمز‌ساز از روش پیامکی ارسال رمز پویا استفاده می‌کنند. به همین‌خاطر بسیاری از کاربران وقتی وارد صفحه‌ای می‌شوند و با کلیک کردن روی دکمه ارسال رمز پویا، پیامک بانک را دریافت می‌کنند خیال‌شان تخت می‌شود که خبری از کلاهبرداری نیست و به سایت اعتماد می‌کنند. یاشار شاهین زاده، کارشناس امنیت اطلاعات در این رابطه می‌گوید: اگر شما پای تلفن مشخصات کارت‌تان را به یک نفر بگویید و بعد از آن هم رمز ارسال شده توسط پیامک را به او اعلام کنید در مدت زمان اعتبار رمز پویا آن فرد می‌تواند اقدام به برداشت از حساب‌تان کند. حالا به جای این فرد پشت تلفن یک سرور را فرض کنید. در واقع مهاجم روی یک سرور سامانه فیشینگ نصب می‌کند و می‌تواند این فرایند را اتوماتیک‌سازی کند. این سامانه یک صفحه جعلی را به کاربر نشان می‌دهد و اطلاعات وارد شده توسط او ازجمله شماره کارت، کد CVV2 و تاریخ انقضا را به بانک می‌فرستد. این کار توسط این سامانه فیشینگ در پشت پرده روی یک درگاه واقعی بانک صورت می‌گیرد. در همان لحظه هم بانک به‌خاطر ورود اطلاعات از طریق این سامانه فیشینگ، رمز پویا را برای شماره تلفن همراه کاربر ارسال و فرد قربانی آن را وارد صفحه جعلی‌ می‌کند. از این زمان تا پایان اعتبار رمز پویا مثلا حدود ۲ دقیقه سرقت و خالی کردن حساب فرد با داشتن همه اطلاعات لازم ممکن می‌شود.

یاشار شاهین‌زاده تأکید می‌کند: طی این فرایند در واقع کاربر هیچ‌وقت احساس جعلی بودن صفحه را نمی‌کند. چون بلافاصله پس از ورود اطلاعات سامانه مهاجم دیتا را به بانک می‌فرستد و بانک رمز را به کاربر می‌‌دهد. در واقع مهاجم بین بانک و کاربرMan in the Middle را انجام می‌دهد.

 

منبع: همشهری

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
ارسال یک پاسخ

47  +    =  54