سرکوب هکر ها توسط واحد های امنیت سایبری بانک ها

شگفتی کارشناسان غربی از امنیت سایبری ایران

مرتضی ابراهیمی/در چند روز گذشته اخباری در حوزه حمله هکرها به حساب های بانکی و سرقت مبالغی از حساب‌های یاد شده در فضای رسانه‌ای کشور مطرح گردید. در میان مال باختگان، نام یک مجری تلویزیونی نیز به چشم می خورد که اعلام نموده بود مبلغی از حساب او برداشت شده است.

در همین راستا، سرپرست دادسرای جرایم رایانه‌ای در مورد هک شدن حساب مجری معروف و ۷۰۰ نفر دیگر گفت: «چنین موضوعی به آن صورتی که در فضای مجازی منتشر شده است، صحت ندارد. ممکن است تعداد کمی حدود ۲۰ تا ۳۰ نفر مقابل دادسرا تجمع کرده باشند که البته تجمع این تعداد مقابل دادسرا موضوعی عادی است. اکنون در حال رسیدگی به موضوع هستیم و اعلام می‌کنیم که تجمع چند صد نفره مقابل دادسرا کذب است.»

همچنین  ایشان اعلام نمودند «بحث هک حساب‌های بانکی و نفوذ در سیستم بانکی در میان نیست، موضوع فیشینگ و کلاهبرداری از حساب‌های هموطنان مدت‌هاست که از طریق درگاه‌های جعلی بانکی توسط مجرمان در حال انجام و شهروندان را مورد تهدید و آسیب قرار داده است.»

فعالان حوزه فناوری اطلاعات وارتباطات نظام بانکی، روزانه با اخباری از این دست، درست یا نادرست، مواجه می‌باشند چراکه به هر میزان که سیستم‌های بانکی از دانش و تکنولوژی روز جهت ارتقاء سطح خدمات خود بهره می‌برند، در آن سوی اخلاق، پیدا می‌شوند افرادی که دانش و فناوری را برای دستیابی به نتیجه دسترنج و ماحصل کار دیگران مورد سوء استفاده قرار می‌دهند. ازاین رو اتفاقاتی از این دست برای این دسته از کارشناسان و فعالان امر تازه ای نمی‌باشد. با توجه به اهمیت این موضوع با کارشناس فناوری اطلاعات حوزه بانک به گفتگو نشسته ایم.

 آقای اکبری هکر ها چوگونه حساب های بانکی قربانیان خود را هک می کنند؟

تنوع و شگردهای این دسته افراد بسیار گسترده بوده و برای دسترسی به حساب های بانکی دیگران، راه ها و روش‌های حتی بعضاً نوآورانه مورد استفاده قرار می گیرد. لیکن شاه بیت تلاش ها برای رسیدن به حسابها، بدست آوردن اطلاعات بانکی از جمله نام کاربری و رمز بانکی می‌باشد.

برای بدست آوردن اطلاعات بانکی بطور کلی دو شگرد مورد استفاده قرار می گیرد، اول، کمک گرفتن از خود دارنده حساب به صورت مستقیم و غیر مستقیم برای افشاء اطلاعات خود به روش های مختلف دوم، تلاش برای دسترسی مستقیم به حساب از روش‌های نرم افزاری و سخت افزاری جهت کشف اطلاعات.

برای دسته اول می توان به تهدیدی که برای همه شهروندان کشور وجود دارد، اشاره نمود. اینکه هرکدام از ما کارت بانکی خود را به بقال و یا در میدان تره بار محله مان می‌دهیم و بلند رمز خود را اعلام می‌کنیم در واقع حکایت از این تهدید دارد. به عبارت دیگر، در اختیار قراردادن کارت و اعلام شماره رمز، اشتباه هولناکی است که به صورت یک فرهنگ نادرست در جامعه شکل گرفته است.

بد نیست به یک مورد از این سوء استفاده اشاره شود. چند وقت پیش اعلام شد خانمی با حضور در آرایشگاه های زنانه، در صف پرداخت هزینه های آرایشگاه کنار سایر خانم ها قرار گرفته و هنگام اعلام رمز توسط دارنده کارت بانکی، رمز اعلامی را حفظ می نموده است و زمانیکه آن فرد در حال دریافت خدمات خود بوده است با مراجعه به کیف فرد مذکور و برداشتن کارت بانکی او، هنگامه ای بپا می کرده است که بیا و ببین.

به سایر روش های این دسته می توان اضافه نمود کمی چاشنی طمع کاری و خوش دلی را، که ظاهراً نمی خواهد از جامعه بشری رخت بربندد. این دسته از کلاهبرداری ها، با اعلام تلفنی، پیامکی و… به فرد مبنی بر برنده خوش شناس فلان قرعه کشی، شروع شده و با دریافت اطلاعات بانکی فرد از جمله رمز کارت ها به سرانجام می‌رسد.

مسئله فقط به دو مورد یاد شده در دسته اول ختم نمی شود و الی ماشاالله، این قصه تنوع دارد، لیکن شاه کلید این دست سناریوها، همان دریافت اطلاعات از مالباخته است.

دسته دوم کلاهبرداری ها، بدست آوردن اطلاعات از سایر افراد و از راه های مختلف است. این روش نیز از تنوع بسیار زیادی برخوردار است. برای مثال، کلاهبردان با هدایت افراد به صفحات بسیار شبیه اما غیر اصل از یک سرویس اینترنتی اقدام به دریافت اطلاعات از فرد نموده و سپس دنبال کلاهبرداری خود می روند. برای روشن شدن این موضوع، مثال ساده ای ارایه می شود. فرض کنید به شما پیامی برسد که اعلام کند، شما می تواند فلان خدمات الکترونیکی را از طریق فلان آدرس اینترنتی دریافت کنید. و شما به آن سرویس نیاز داشته باشید. برای مثال قبض تلفن شما پرداخت نشده و در آن پیام به شما اعلام می شود که چنانچه به نشانی اینترنتی فلان بروید قادر خواهید بود قبض خود را پرداخت نمایید. نکته این است که نشانی اعلامی غیر واقعی بوده لیکن از نظر ظاهری با نشانی اصلی و واقعی ارایه دهنده آن خدمات، تفاوت بسیار کم و غیر محسوسی دارد. کافیست به این نشانی جعلی رفته و اطلاعات خود را با دست خود تقدیم به کلاهبردان نمایید.

در واقع تمامی کلاهبرداران نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. گاهی پیام‌هایی به شما می رسد که ادعا می‌کند از طرف بانک شما بوده و اعلام می کند با توجه به مشکلی که برای حساب های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض این که مشتری با این شماره تلفن که در واقع تلفن کلاهبردان است، تماس بگیرد، دستوراتی به مشتری داده می شود که هدف غایی آن بدست آوردن شماره حساب و رمز بانکی است. در واقع در اینجا طرف شما، با افرادی پشت خط تلفن است و ادامه قصه دیگر مشخص است. البته برای اینکه فرد تا قبل از ارایه اطلاعات و حتی بعد از آن به کار کلاهبردان مسیرهای مختلفی پیموده می شود.

اما قضیه تنها به این موارد نیز ختم نمی شود. در بعضی موارد کلاهبردان اینترنتی اصولاً با مشتریان فرضاً بانک کاری ندارند و مسقیماً تلاش می کنند که سراغ حساب های بانکی بروند. برای اینکار اقدام به تولید سامانه های نرم افزاری می نمایند که تلاش می کند که رمز مشتری را از طریق تلاش های متعدد شناسایی نماید. در این دسته از کلاهبرداری ها، طرف مقابل بانک یا مجموعه مالی است. بنابراین بنا فرض اگر کشف رمزی صورت پذیرد، مشتری بانک حتی از این موضوع تا بعد از کلاهبرداری و احتمالاً برداشت از حساب و دریافت پیامک برداشت اطلاع پیدا نمی کند.

چگونه می توان با هکر ها مقابله کرد؟

تنوع راه کارهای مجرمان اینترنتی بسیار زیاد است و شگردهای مختلفی با تکنیک های روانشناسی، جامعه شناسی و… ممزوج می گردد. اما مسئله برای کلاهبرداران به این سادگی هم نیست. چراکه در سمت حافظان منافع مردم، اقدامات پایه ای و اختصاصی انجام شده و می شود. در تولید سامانه های نرم افزاری، رعایت اصول امنیتی در دستور کار برنامه نویسان برنامه های بانکی قرار دارد. از سوی دیگر، نرم افزارهای تولیدی در داخل هسته ای از پوشش های امنیتی به صورت نرم افزاری و سخت افزاری قرار می گیرند  و برای دسترسی به سامانه نرم افزاری پیش از ورود، ابتدا، هویت سنجی توسط سخت افزارها و نرم افزارهای امنیتی می شود. و در واقع بعد از رد شدن از لایه های مختلف امنیتی، امکان استفاده از سامانه نرم افزاری فراهم می شود.

موضوع به این جا هم ختم نمی شود. در داخل مراکز مالی و پر اهمیت واحدهای امنیت سایبری و کنترلی وجود دارد که علاوه بر پوشش های یاد شده، توسط متخصصان این حوزه تمامی سیستم ها به صورت نرم افزاری و سخت افزاری به صورت شبانه روزی کنترل صورت می گیرد. این متخصصان خود نیز سناریوهای ارتقاء امنیت را به صورت دوره ای و مقطعی نیز پیاده سازی و اجرا می نمایند.

به همه اینها سازمانی به نام “مرکز مدیریت راهبردی افتا” را باید اضافه نمود که به منظور ایفای نقشِ حاکمیت در تامین امنیت این حوزه و حفظ زیرساختهای حیاتی کشور در مقابل حملات الکترونیکی تشکیل شده و ماموریت یافته است و در تعامل با دستگاه های مرتبط، نسبت به امن سازی زیرساختهای دستگاه های حیاتی اقدام می نماید.

این مرکز، در حوزه ماموریت‌های راهبردی  از جمله تدوین راهبردها، راهکارها و سیاست‌های اجرایی، نظارتی و عملیاتی و فرهنگ سازی بیش از یک دهه فعالیت دارد. از اینرو، می توان ادعا نمود که در حوزه نظام بانکی، امنیت اطلاعات با جدیت تام دنبال می شود.

**وضعیت فناوری اطلاعات در حوزه بانکی کشورمان را نسبت به سایر کشور های جهان، چگونه ارزیابی می کنید؟

بعد از برجام، کارشناسان مختلف نظام های بانکی سایر کشورها، که برای بازاریابی محصولات بانکی خود به ایران سفر نموده بودند، درجلسات مشترک از وضعیت پایدار امنیت اطلاعات در ایران و آمارهای موجود در این حوزه ابراز شگفتی می نمودند. بنابراین می توان ادعا نمود، حوزه بانکی کشور، به اصل اعتماد به عنوان شاه کلید فعالیت های این نظام همواره توجه داشته و توانسته که این مهم را فراهم آورد.

ضمن این که با وجود موارد ذکر شده، امکان انجام کلاهبرداری در روش دوم، هیچگاه نه در ایران و نه در هیچ کجای جهان صفر نمی شود. اما باید توجه داشت حتی در صورت بروز چنین موردی، سامانه های نرم افزاری کشور به گونه ای طراحی و تولید گردیده اند که امکان ردیابی و پیدا کردن متخلفان و طبیعتاً استیفای حقوق وجود دارد. از اینرو هیچ سیستمی و هیچ سازمانی نمی تواند گارانتی دهد که جلوی این اقدامات را می تواند بگیرد، اما مهم آنستکه در صورت بروز هرگونه اختلالی، بتواند مساله را مدیریت کند.

اما در مورد شگردهای دسته اول، باید ذکر گردد که به دلیل ماهیت کار، امکان جلوگیری از کلاهبرداری بسیار ضعیف است و در این حوزه لازم است مردم عزیز با دقت و حواس جمع با اطلاعات بانکی خود برخورد نمایند و هیچ ابزرای جای هوش و خرد انسانی را نمی گیرد.

مردم چگونه می توانند امنیت حساب بانکی خود را حفظ کنند

با این همه می توان به مردم عزیز مواردی را برای بالا بردن ضریب امنیت حساب ها  و بدون مطرح نمودن مسایل فنی و پیچیده بیان نمود.

  1. رمز بانکی خود را به هیچ کسی ندهید.
  2. رمز خود را حفظ کنید و بر روی کاغذ ننویسید.
  3. احیاناً اگر رمز را جایی یادداشت نمودید در نزدیکی کارت خود قرار ندهید.
  4. رمز خود را هرچند وقت یکبار عوض نمایند.
  5. اگر چنانچه رمز خود را فراموش کردید به بانک خود مراجعه نمایید و دوباره رمز بگیرید.
  6. از افراد غریبه برای کار با دستگاه های خودپرداز کمک نگیرید.
  7. چنانچه به دلیل کهولت سن قادر به کار با دستگاه های خودپرداز نیستید با مراجعه به شعبه، از کارکنان بانک کمک بگیرید.
  8. هرگونه اعلام برنده شدن در هر قرعه کشی را از بانک یا موسسه مربوطه و حتی المقدور با حضور در شعبه پیگیری نمایید.

همچنین در خصوص کسانیکه با جدیت بیشتری از سامانه های نرم افزاری استفاده می نمایند موارد زیر هم افزون بر موارد بالا توصیه می کنم:

  1. سعی نمایید از اینترنت مکان های عمومی استفاده ننمایید.
  2. هرگونه برنامه کاربردی را سریعاً روی گوشی موبایل خود نصب نکنید.
  3. در صورت انجام انتقال وجه و عملیات اینترنتی برروی حساب خود در مرورگرهای اینترنت گزینه ی به خاطرسپردن رمز را انتخاب نکنید. این گزینه با نام کلی Remember Password شناخته می شود، از این قابلیت استفاده نکنید.
  4. برای ورود رمز خود در صفحات اینترنتی از امکان صفحه کلید روی صفحه نمایش استفاده کنید. چنانچه دقت کنید محل قرار گیری اعداد متفاوت از صفحه کلید فیزیکی می باشد.
  5. همواره از نرم افزارهای آنتی ویروس معتبر و بروزشده استفاده نمایید.
  6. در صورتی که احتمال وجود برنامه های مخرب را بر روی کامپیوتر خود می دهید از انجام هرگونه تراکنش مالی برخط خودداری نمایید.
  7. پس از اتمام کار خود با سامانه نرم افزاری در وب سایتهایی که نیاز به رمز ورود دارند، به طور کامل از برنامه خارج شوید. توجه نمایید بستن صفحه به معنای خارج شدن از برنامه نمی باشد.
  8. ایمیلهای دریافتی از منابع ناشناس را باز نکنید.
  9. به لینکهای ارائه شده در ایمیلها اعتماد نکنید.
  10. از اطلاعات مهم خود نسخه پشتیبان تهیه نموده و در جایی امن نگهداری کنید.

لازم به ذکر است موارد ذکر شده در بالا، تضمین کننده عدم هیچگونه مشکلی نخواهد بود لیکن با درصد قابل قبولی احتمال بروز مشکل را برای مردم کاهش خواهد داد.

 

 

مرتضی ابراهیمی

ایمیل: news.morteza@gmail.com وبلاگ: http://economy-communications.blog.ir

نظرات شما