فیشینگ کارت بانکی؛ چگونه از فیشینگ جلوگیری کنیم؟

فیشینگ چیست؟

فیشینگ (Phishing) به معنی تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آن‌ها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آن‌ها است.

فیشینگ گاهی از طریق تماس تلفنی سارق و کشاندن شما به پای عابربانک به بهانه‌ی برنده شدن در قرعه‌کشی و یا خرید و انتقال پول توسط شما از درگاه‌های ناامن اینترنتی اتفاق می‌افتد.

فیشینگ کارت بانکی چیست؟

در روش اول، سارق شما را به بهانه‌ی جایزه‌ی قرعه‌کشی به نزدیک‌ترین عابربانک می‌کشاند. در آنجا شما کارت را فعال می‌کنید و او می‌تواند از اطلاعاتی که از قبل هک کرده و یا شما به او می‌دهید حساب شما را خالی کند.

بنابراین براساس تماس هیچ فرد ناشناس کارت خود را در عابربانک فعال نکنید و یا هیچ اطلاعاتی حتی «شماره پیگیری» رسید مانده حساب خود را به او ندهید.

در روش دوم، کار بسیار راحت‌تر و اخیرا بسیار متداول‌تر است. سارق با اطلاعاتی که از شبکه‌ی بانکی یا پایگاه داده‌ای درگاه‌های پرداخت متفرقه هک کرده منتظر می‌ماند تا شما خرید اینترنتی انجام دهید و رمز دوم خود را برای او آشکار کنید؛ همچنین ممکن است یک درگاه پرداخت اینترنتی مشابه آنچه شما با آن عملیات بانکی را انجام می‌دهید طراحی کرده و اطلاعات کارت شما را در اختیار گیرد.

اگر روزانه سری به دادسرای رسانه و یا پلیس فتا بزنید تعداد زیادی از مالباختگان را مشاهده می‌کنید که با یک پیامک بانکی متوجه خالی شدن حساب خود شده‌اند؛ بدون اینکه هیچ خطا و بی‌احتیاطی در عملیات بانکی اینترنتی انجام داده باشند.

بسیاری از این مالباختگان فقط با نرم‌افزارهایی مثل «پیام‌رسان بله» برای فرد دیگری کارت به کارت کرده‌اند، یا از سایت «دیوار» و «دیجی‌کالا» خرید کرده‌اند. برخی هم به واسطه‌ی هک شدن حساب کاربریشان در شبکه‌های مجازی مانند «توییتر» و «اینستاگرام» و درخواست کمک مالی فوری سارق در صفحه‌ی شخصی مالباخته، مورد سوءظن و اتهام کلاهبرداری قرار گرفته‌اند.

ممکن است گفته شود که سواد اینترنتی ناکافی و عدم آشنایی با فضای مجازی به این اتفاق می‌انجامد. اما باید گفت که از بین ۲۰۰ تا ۲۵۰ مالباخته‌ای که روزانه در تهران مورد فیشینگ واقع می‌شوند از همه‌ی اقشار و هر سطح اقتصادی و تحصیلاتی وجود دارد.

علت اصلی این سرقت‌های گسترده‌ی مجازی، امن نبودن شبکه‌ی اینترنتی بانکی در کشور و استفاده از روش‌های قدیمی و ناامن مانند رمز دوم ایستا در مبادلات بانکی اینترنتی است.

یک راهکار بسیار ساده برای کاهش یا جلوگیری از فیشینگ، استفاده از رمز دوم پویا یا یک بار مصرف یا همان رمز ۶۰ ثانیه‌ای (One Time Password) است. این رمزها فقط برای یک دقیقه معتبر است و با الگوریتم پیچیده‌ای تولید می‌شود که دسترسی به آن برای هکر بسیار مشکل یا حتی غیر ممکن می‌شود.

اما متولی اصلاح کار کیست؟

چنانچه در این بخش از مجله چی اشاره کرده ایم، رمزهای یک بار مصرف (OTP) از حدود ۱۰ سال پیش مطرح هستند و تقریبا از ۳ سال قبل در کشور به‌صورت محدود اجرا شد. این رمز باید توسط هر بانک به زیرساخت خدمات بانکداری الکترونیک خود افزوده شود تا مشتری بتواند از امکانات ایمن مجازی برای تبادلات بانکی استفاده کند.

بانک مرکزی باهدف افزایش امنیت تراکنش‌های بانکی “سند الزامات رمزهای یک‌بارمصرف ” را در ابتدای شهریورماه سال ۱۳۹۷ به شبکه بانکی ابلاغ کرد.

طبق این سند بانک‌ها ملزم شده‌اند که از ابتدای آذرماه سال ۱۳۹۷ تا انتهای اردیبهشت سال ۱۳۹۸ به ایجاد زیرساخت ارایه‌ی رمز دوم پویا و ارایه‌ی همزمان رمز ایستا و پویا به مشتریان خود اقدام نمایند. همچنین بانک مرکزی، ابتدای خردادماه ۱۳۹۸ را زمان انقضای رمز دوم ایستا در شبکه‌ی بانکی و حذف این رمز از حساب مشتریان اعلام کرد. اتفاقی که هیچگاه رخ نداد! همچنین طبق این سند از آذرماه سال ۱۳۹۷ مسئولیت جبران خسارت مالباختگان فیشینگ برعهده‌ی موسسه‌ی اعتباری مبدا حساب است! که این اتفاق هم هیچگاه رخ نداد و هنوز مالباختگان در پله‌های دادسرای جرایم رایانه و مرکز پلیس فتا باید به دنبال پول از دست رفته‌ی خود بدوند.

یعنی در حال حاضر خسارت کم‌کاری و تنبلی نظام بانکی در به‌روز کردن زیرساخت فضای مجازی و به‌کارگیری روش‌های به‌روز برای ارتقای امنیت و حفاظت از پول مردم را مردم، سیستم قضایی و پلیس می‌پردازد.

اگر دست کم روزانه ۲۰۰ نفر در تهران فیشینگ شوند و حداقل از هرکدام ۱ میلیون تومان سرقت شود؛ دست کم ماهانه ۶ میلیارد تومان فقط از تهرانی‌ها فیشینگ می‌شود!

آیا این رقم کلان تا به حال ارزش این را نداشته که بانک‌ها با روشی کاملا الزام‌آور به اصلاح زیرساخت‌های فرسوده‌ی خود ملزم شوند؟

آیا بهتر نبود هزینه‌ی کلان تبلیغات و آموزش‌های مربوط به استفاده از رمز پویا در جامعه، صرف کدنویسی تولید رمز پویا برای بانک‌ها و از این همه خسارت مادی و روحی به مردم و استهلاک خدمات پلیس و دادسرا جلوگیری می‌شد؟

قبل از حمله فیشینگ کارت بانکی چه کنیم؟

سریعا به دریافت رمز دوم پویای کارت بانکی خود اقدام نمایید.

فعالیت بانکی اینترنتی خود با کارت‌های بانکی که رمز دوم پویا ندارند را متوقف کنید.

اگر مجبور به استفاده از رمز دوم ایستا هستید نسبت به تغییر مداوم آن اقدام نمایید.

نحوه‌ی دریافت رمز پویا:

بارگیری و نصب اپلیکیشن‌های رمز ۶۰ ثانیه‌ای بر روی گوشی‌های هوشمند

دریافت رمز پویا از مسیر کد USSD تعریف شده توسط بانک‌ها