به گزارش ایبِنا، اوایل اردیبهشت‌ماه بود که مرکز ماهر با انتشار خبری نسبت به افزایش حملات فیشینگی در ماه‌های اخیر در کشور هشدار داد و اعلام کرد: بر اساس رصد صورت گرفته حملات فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است و این حملات نیز به‌ طور معمول با محوریت انتشار برنامک‌های اندرویدی مخرب یا جعلی صورت گرفته است. از اینرو به سراغ افشین لامعی، مدیر امنیت شرکت شاپرک رفته‌ایم تا ارزیابی وی را در این خصوص بدانیم و همچنین از اقدامات شرکت شاپرک به‌منظور کاهش فیشینگ در شبکه پرداخت باخبر شویم.

با توجه به افزایش حملات فیشینگی درگاه‌های پرداخت بانکی در کشور شما این رویه را چگونه ارزیابی می‌کنید؟

ببینید در حملات فیشینگ مدنظر شما، دو عنصر بسیار مهم وجود دارد. عنصر اول، جعل است. به این معنا که فرد متقلب، یک صفحه جعلی، با محتوا و آدرس شبیه به صفحه پرداخت واقعی ایجاد و در اینترنت قرار می‌دهد.  اگر به عنصر جعل توجه کنیم، درمی‌یابیم که این موضوع ربطی به قوت و ضعف امنیتی صفحه پرداخت یا شبکه شرکت پرداخت مربوطه ندارد، هرچند برای مشکل‌تر شدن امکان جعل، راه‌حل‌هایی وجود دارد که در ادامه توضیح خواهم داد.

قرار دادن یک صفحه دلخواه در اینترنت هم که باوجود انواع سرویس‌های میزبانی ارزان‌قیمت و حتی رایگان در سطح اینترنت، کار پیچیده‌ای نیست. عنصر دوم، فریب است. یعنی فرد متقلب باید کاربر قربانی را طوری فریب دهد که به بازدید از این صفحه جعلی ترغیب شده و اطلاعات کارت خود را در آن وارد کند. اما بدون ارائه آمارهای جامع نمی‌توان در مورد صحت‌وسقم این موضوع که حملات فیشینگ افزایش‌یافته و به یک‌رویه بدل شده صحبت کرد. طبعاً هرقدر اقبال به استفاده از خدمات پرداخت آنلاین و تنوع کانال‌های ارائه‌دهنده این خدمات بیشتر شود، افراد تبهکار هم توجه بیشتری به این حوزه خواهند کرد و این روند مختص کشور ما هم نیست.

شرکت شاپرک چه ساختاری به‌منظور شناسایی درگاه‌های جعلی که در حوزه پرداخت ساخته می‌شود، دارد؟

قبل از شناسایی، توجه کنید که شاپرک هم در سطح الزامات شرکت‌های پرداخت و هم در سطح  اجرایی، برای پیشگیری از جعل صفحات و کم کردن احتمال فریب کاربران اقدامات مختلفی انجام داده است. اولا محتوای صفحات پرداخت تا حد امکان ساده و اقلام داده موجود در آن‌ها مشخص و ثابت است. همچنین تمام آدرس‌های درگاه‌های اینترنتی، تحت دامنه shaparak.ir تجمیع شده تا به خاطر سپاری و شناسایی آدرس‌های واقعی از جعلی ساده‌تر شود. همچنین برای کلیه درگاه‌ها، گواهی امنیتی از نوع EV تهیه و ارائه‌شده است که این نوع گواهی، نسبت به گواهی‌های عادی، پروسه احراز هویت سخت‌گیرانه‌ای برای سازمان درخواست دهنده دارد. یعنی علاوه بر مالکیت دامنه، هویت سازمان درخواست دهنده هم برای صدور این گواهی، احراز می‌شود و در عوض، هویت صاحب دامنه در مرورگر به کاربر نشان داده می‌شود. تمام این‌ها به این خاطر انجام‌شده که دارنده کارت، فریب نخورد و بتواند درگاه جعلی را تشخیص دهد. بااین‌وجود دیده‌شده که حتی درگاهی جعلی بانام دامنه‌ای که هیچ شباهت املایی و معنایی به آدرس shaparak.ir ندارد هم ساخته‌شده و برخی افراد بازهم فریب می‌خورند. این مختص ایران نیست و در همه جای دنیا، وقتی بخشی از امنیت بر عهده تشخیص کاربر باشد، درصدی از خطا و اشتباه وجود خواهد داشت. مهم این است که تمام امکانات فنی در جهت کم کردن احتمال خطای دارنده کارت به کار گرفته شود. توجه کنید که شاپرک صرفا مالک دامنه shaparak.ir است و محتوای درگاه پرداخت اینترنتی، متعلق به شرکت‌های PSP است. به همین خاطر، این شرکت‌ها موظف هستند در صورت دریافت گزارش یا رصد درگاه اینترنتی جعلی، آن را به شاپرک گزارش دهند. شاپرک از هر طریقی که گزارش درگاه‌های اینترنتی جعلی را دریافت یا رصد کند، درخواست مسدودی درگاه را به سرویس‌دهندگان نام دامنه و میزبانی سایت جعلی ارائه می‌دهد. به‌علاوه، ضمن تعامل با پلیس فتا، درصورتی‌که نیاز به فیلترینگ سایت وجود داشته باشد، یا سایت مربوطه در داخل کشور میزبانی‌شده باشد، اقدامات لازم را انجام می‌دهد. در کنار اقدامات فنی، کار فرهنگ‌سازی و اطلاع‌رسانی هم همواره در دستور کار شاپرک قرار داشته و از طرق مختلف انجام‌شده است. در آینده هم این روند ادامه خواهد داشت.

مرکز ماهر عنوان می‌کند که محوریت اکثر این حملات انتشار اپلیکیشن های اندرویدی مخرب یا جعلی است ازاین‌رو به نظر شما با چه راهکارهایی می‌شود چنین روندهایی را در کشور کاهش داد؟

محبوبیت اپلیکیشن های موبایلی و گسترش استفاده از آن‌ها در سال‌های اخیر، به‌طور طبیعی موجب شده که افراد تبهکار هم به این بستر توجه بیشتری کنند. اما بدون دسترسی به آمارهای دقیق نمی‌توان قضاوت کرد که نسبت اپلیکیشن های موبایلی سارق اطلاعات به سایت‌های فیشینگ چگونه بوده است. ماهیت یک اپلیکیشن جعلی که اطلاعات کارت را سرقت می‌کند، بسیار شبیه به سایتی جعلی است که عمل فیشینگ انجام می‌دهد. اما فرد قربانی در بحث اپلیکیشن ها، به‌جای ترغیب شدن به ورود به سایت فیشینگ، مجاب می‌شود که یک اپلیکیشن را از منبعی نامعتبر دریافت و نصب کند. پس مهم‌ترین راهکار پیشگیری آن است که مردم هرگونه اپلیکیشنی که مستقیماً از منابع نامعتبر و غیررسمی مثل کانال‌ها، گروه‌ها، سایت‌های متفرقه و غیره توزیع می‌شود، دریافت و نصب نکنند. این حداقل کاری است که هر کاربر موبایل باید برای نصب هر نوع اپلیکیشنی مدنظر داشته باشد.