28 مهر 1398 - 08:43
در میزگرد باشگاه دیجیتال بررسی شد/ بخش دوم

کاهش کلاهبرداری‌های فیشینگ با رمز دوم یکبار مصرف

مدیران بخش امنیت شبکه بانکی در خصوص راهکار کاهش فیشینگ در کشور معتقدند که اجرایی شدن رمز دوم یکبار مصرف و تسویه ۴۸ ساعته پرداخت‌های غیر حضوری می‌تواند کلاهبرداری‌های فیشینگ را به صورت گسترده کاهش دهد.
کد خبر : ۱۰۷۰۹۹
میزگرد فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری

به گزارش ایبِنا، بر اساس آمار اعلام شده از سوی پلیس فتا، کلاهبرداری فیشینگ (Phishing) و سرقت اطلاعات کارت بانکی برای برداشت غیر مجاز بخش مهمی از کلاهبرداری‌های سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداری‌ها در حال افزایش است؛ این در حالی است که کلاهبرداری فیشینگ در تمام نقاط جهان وجود دارد و همواره درصد آن به صفر نرسیده اما رگولاتورها با همکاری بازیگران صنعت بانکی و پرداخت برای ایجاد زیرساخت   و در عین حال با افزایش آگاهی شهروندان تواسنته‌اند تا میزان این کلاهبرداری را کاهش و کنترل کنند؛ با توجه به این که میزان کلاهبرداری‌های آنلاین از جمله فیشینگ در کشور به مرز هشدار رسیده، این موضوع اهمیت بسیاری پیدا کرده است؛ در همین راستا اشگاه دیجیتال ایبِنا میزگرد "فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری" با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاست‌گذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد که بخش اول آن منتشر شد و در ادامه به بخش دوم این میزگرد و راهکارهای کارشناسان برای شناسایی و کنترل کلاهبرداری‌های آنلاین و فیشینگ می‌پردازیم:


ایرانی: بانک‌ها می‌توانند با بهره‌گیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخش‌هایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابل‌کنترل است؟


آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه می‌شود از بررسی حملات، ارائه آموزش و پیاده‌سازی الزامات امنیتی در درگاه‌های پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاه‌ترین زمان ممکن است. به عنوان نمونه گوگل سرویسی با عنوان مرور امن ( Safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود می‌شود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت می‌شود از این طریق شناسایی و محدود می‌شود. ازاین‌رو باید یک نگاه همه‌جانبه به این موضوع داشت و تنها فعالیت‌ها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیت‌های جدی بر روی شناسایی سایت‌های جعلی، تجهیز درگاه‌های بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن داده‌های مختص به حملات و سایت‌های جعلی انجام‌نشده است. برخی از حملات فیشینگ به قدری پیچیده‌اند که تکیه بر آموزش کاربر به عنوان تنها راه‌کار راه‌گشا نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیت‌های مرورگزدر اندروید ارائه شده است که آدرسی که مرورگر به کاربر نشان می‌داد با آدرس سایتی که کاربر به آن وارد می‌شد، متفاوت بود. بدین معنا یک‌ صفحه‌ای در وب طراحی‌شده بود که به کاربر یک لینک دیگر نشان داده می‌شد؛ درصورتی‌که پس‌زمینه آن سایت جعلی بود، بنابراین موارد این‌چنینی با آموزش قابل‌شناسایی نخواهند بود. افزون بر این در خصوص شناسایی سایت‌های جعلی که دامنه‌ی آن‌ها شباهت زیادی به دامنه‌ی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش می‌تواند این سایت‌ها را شناسایی کند. مجموعه‌ای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب  مدیریت حمله‌ی فیشینگ است، درست است که OTP به‌صورت کامل نمی‌تواند فیشینگ را به دلیل موارد مربوط به حمله‌ی مرد میانی (MITM[۱] ) کنترل کند؛ اما این الزام منجر به کاهش چشمگیر سوءاستفاده‌ها در این بخش خواهد شد زیرا حملات را به ۶۰ ثانیه و تنها یک‌بار محدود می‌کند. بحث ۳D Secure هم در ایران به نوعی اجرایی شده است در ۳D Secure یک زنجیره‌ی اعتمادی بین کاربر، فروشنده و بانک برقرار می‌شود که به واسطه‌ی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمی‌کند، همچنین بانک از جزئیات خرید کاربر مطلع نمی‌شود و بنابراین حریم شخصی کاربر در این خصوص حفظ می‌شود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور می‌کند بعد توسط بانک صادر کننده این اطلاعات احراز می‌شود، در موضوع فیشینگ نیز برای کاربر سهل‌تر است که به‌جای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانک‌ها  ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تمای زیر دامنه شاپرک هستند را در خاطر داشته باشد.


ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟


پور طاهری: تمام موارد مذکور در کنترل فیشینگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجام‌نشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقه‌بندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهره‌برداری قرارگرفته است که بعضی از آن‌ها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکت‌های PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایت‌های جعلی به‌راحتی شناسایی می‌شوند و اگر این کار از سوی بانک مرکزی و شاپرک به‌عنوان رگولاتور با پیاده‌سازی ابزاری برای شناسایی دامین های مشابه بانک‌ها و شرکت‌های PSP به‌صورت شبانه‌روزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاع‌رسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری می‌شود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکس‌العمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتی‌ویروس‌ها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتی‌ویروس برای شخص فراهم کرده این پروسه با امنیت انجام می‌شود.


یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و ویکی از راهکارهای ساده چاپ CVV۲ در پشت کارت‌بانکی  است می توان با آن از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث فراد تعریف‌شده که شامل انگیزه، توجیه و دسترسی می‌شود که دو ضلع اول خیلی قابل کنترل نیست؛ ولی دسترسی به اطلاعات کارت بانکی را می شود با راهکارهای ساده کنترل و از وقوع فراد جلوگیری کرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آن‌ها و بدون دسترسی به اطلاعات کارت‌بانکی انجام می‌شود و این امر هم یک راهکار ساده به‌منظور کنترل حجم فیشینگ است.


ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام می‌دهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیش‌بینی‌نشده است؛ شما به‌عنوان صادرکننده کارت فارغ از این‌که شاپرک چنین قابلیتی ندارد آیا امکاناتی ازاین‌دست را در اختیار مشتری قرار داده‌اید یا برنامه‌ریزی در این خصوص انجام داده‌اید؟


مستأجری: برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود؛ زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهی‌رسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمی رساند. باید مجموعه‌ای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحث‌هایی در خصوص سامانه‌های کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفا تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است. به عنوان نمونه، تراکنش‌های با مبالغ بالا تائید نمی‌شود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین مواردی مستلزم تجهیز یکسری زیرساخت‌های نرم افزاری و سخت افزاری می‌باشد. حمله فیشینگ عموما در بستر پذیرندگی رخ می‌دهد و این امر تنها محدود به وب سایت و مرورگر نمی شود؛ زیرا الآن بحث‌های بانکداری باز، فین تکها و پرداخت‌های درون برنامه‌ای مطرح است که در این فضا URL وجود ندارد و صرفا بحث وب در آن مطرح نیست و راهکارهایی مثل ۳D Secure ممکن است عملیاتی نباشد. ازاین‌رو نمی‌توان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانکها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند بانک‌ها آمادگی این را دارند که زیرساخت‌های فنی خود را بر اساس مدلی که رگولاتور تعریف می‌کند پیاده‌سازی کنند.


ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟


مستأجری: رگولاتور با ابلاغ الزام بکارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیش‌گرفته است، قطعا راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث رمز پویا یا OTP مطرح‌شده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت می‌گردد. همچنین با توجه به این‌که مدت اعتبار رمز پویا تنها ۶۰ ثانیه در نظر گرفته‌شده، امکان سوء استفاده و تقلب را به حداقل می رساند. البته عملیاتی شدن این موضوع نیز می بایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند ۳D SECURE، باید دغدغه کارایی سیستم ها و حجم باری سمت سرور و زیرساخت های ارتباطی نیز به عنوان یک پارامتر تاثیر گذار لحاظ گردد.


به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیت‌های بانک‌ها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل آگاهی رسانی و کنترل‌های اپلیکیشنی می‌تواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.


ایرانی: یک مثلث در خصوص فراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام می‌دهند چگونه این مبالغ را نقد می‌کنند و همچنین با توجه به این‌که گفته می‌شود؛ شرکت‌های PSP در این روند خیلی درگیر نشده چه‌کاری می‌تواند در این بخش انجام شو؟


سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پول‌شویی در حال حاضر اجرایی می‌شود و نیاز هم به تخصص‌های ویژه ندارد زیرا بسیاری از مجرم‌های ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیم‌کارت‌های اعتبار و کارت به کارت‌های متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابل‌پیگیری است اما کار با این ترفندها خیلی پیچیده می‌شود. البته اگر در این روند وجوه به سمت بیت کوین و ارز رمزها بروند دیگر قابل‌ردیابی نیست.


ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص رمزها ارزها نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.


سرلک: در این روند ما به‌نقد کش هم رسیده‌ایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و به‌وسیله این کارت کالاهای مثل طلا خریداری‌شده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کرده‌اند و باکارت جعلی خرید انجام داده‌اند.


ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت می‌رود را می‌توان با تسویه ۴۸ ساعته پرداخت‌های غیرحضوری کنترل کرد.


مستأجری: نقد شوندگی وجوه حاصل از حملات فیشینگ به دلیل محدودیت‌های ارتباطی شبکه پرداخت کشور با سیستم‌های پرداخت بین‌المللی کمی سخت است. البته اغلب حملات فیشینگ هم در کسب و کارهایی صورت می‌گیرد که فاقد مشروعیت قانونی هستند، به همین دلیل افرادی که اطلاعات کارت خود را در چنین شرایطی وارد می‌کنند،  اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن می‌روند.


ایرانی: بین صادرکننده کارت، رگولاتور و شرکت‌های پرداخت در بحث فیشینگ کدام‌یک بیشتری کم‌کاری کرده‌اند؟


سرلک: به عقیده من شرکت‌های پرداخت چون هیچ‌وقت این موضوع برای آن‌ها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمی‌کنند و به همین دلیل مشخص شرکت‌های PSP در این موضوع خود را کمتر درگیر کرده‌اند.


مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری می‌تواند ایفا کند.


ایرانی: آیا شاپرک و شرکت‌های PSP مسئول بوده‌اند و در این حوزه کاری نکرده‌اند؟


سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام داده‌اند؛ اما شرکت‌های PSP به دلیل این‌که این موضوع کمتر دغدغه آن ها بوده سهم کمتری را تقبل کرده اند.


ایرانی: در خارج از کشور افراد بدون دغدغه‌های امنیتی پرداخت‌های غیرحضوری خود را انجام می‌دهند حال سؤال این است که در این کشورها چه‌کارهایی از سوی بازیگران انجام‌شده که این اطمینان حاصل‌شده است؟


آیت: عکس گلدانی که شما اشاره فرمودید که به عنوان یک راز بین بانک و کاربر به اشتراک گذاشته می‌شود و موقع انجام تراکنش با نمایش این راز به کاربر، او مطمئمن می‌شود، که درگاه جعلی نیست، این گلدان معادل همان کلید رمزنگاری تولید  OTP است که بانک مرکزی و رگولاتور با ابلاغ الزمات رمزهای پویا به این سمت حرکت کرده‌اند،   که البته این موضوع با بحث ۳D SECURE متفاوت است. دوستان اتفاق‌نظر دارند تمام مشکلات سمت قانون‌گذار است؛ اما قانون‌گذار نمی‌تواند بدون توجه به محدودیت‌های موجود در سمت بانک‌ها و شرکت‌های پرداخت الزامات مرتبط را ابلاغ کند و از طرفی درنظر گرفتن این محدودیت‌ها و متناسب‌سازی الزامات منجر به ریسک‌های جدی‌تری نشود؛ به عنوان نمونه الزامات اولیه‌ی رمزهای پویا باآنکه سخت‌گیرانه هم نبود، در تعامل صورت پذیرفته با بانک‌ها مشخص شد اغلب بانک‌ها به صورت کامل و امن نمی‌تواند آن را پیاده‌سازی کنند، برخی از از بانک‌ها به درستی اشاره کردند secure element در سمت موبایل برای ذخیره کلید تولید OTP در دسترس نیست، و یکسری از بانک‌ها به دلیل این‌که بسیاری از مردم از گوش‌های هوشمند برخوردار نیستند به سمت استفاده از راهکار پیامک و USSD رفتند؛ کانال‌هایی که به دلیل ریسک‌های جدی امنیتی بانک مرکزی سال‌ها است به دنبال محدود کردن انجام تراکنش از طریق این کانال ها است، از طرفی هزینه این کانال‌ها بالا بوده و  تفاوت SLA بانکی و اپراتور باعث کاهش سطح SLA تراکنش‌های بانکی خواهد شد، ولی مجدداً به دلیل محدودیت‌ها  سرویس OTP باز به بستر ناامن کدهای دستوری باز خواهد گشت. موارد فوق‌الذکر بیان‌گر این موضوع است که قانون‌گذار به سهولت نمی‌تواند به بانک‌ها ابلاغ کند، مثلاً  کشف تقلب را پیاده‌سازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت و پیش‌نیاز است و نهاد ناظر در این بخش بیشتر در حال درک محدودیت بانک‌ها و PSP ها است.


ایرانی: بانک‌ها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کرده‌اند؟


آیت: من نماینده شرکت خدمات انفورماتیک هستم و تنها از دیدگاه بانک مرکزی صحبت کردم، نمی‌توان انتظار داشت که مدیریت یک تهدید پیچیده نظیر فیشینگ که مطابق آمار جهانی در سال گذشته رشد داشته است  در کشور تنها از طریق نهاد قانون‌گذار و با ابلاغ الزامات انجام شود، همچنین پیاده‌سازی الزامات توسط بانک‌ها در مقوله‌ی فیشینگ به صورت مقطعی موثر است، اما در این مقوله باتوجه به تنوع و پیچیده‌گی‌های موجود، این حمله متناسب با الزامات دچار دگردیسی شده و حمله‌ی فیشینگ از یک نوع به نوعی دیگر جهت بی اثر ساختن الزامات تغییر می‌کند، بنابراین استفاده از ترکیبی از راه‌کارها   با توجه به مثلث راه‌کارها (آموزش، شناسایی تهدید و مقاوم‌سازی درگاه‌ها و برنامه‌های کاربردی پرداخت) و تعادل برقرار کردن بین آن‌ها اثربخش‌ترین رویکرد است، همچنین راه‌حلی که در کشور مغفول مانده است، تمرکز بر شناسایی تهدید یعنی شناسایی سایت‌ها و App های جعلی است. در این خصوص باید نهادهای دیگر که ابزار لازم جهت پایش و نظارت بر فضای مجازی را دارند در این موضوع ورود کنند، و این رویکرد تنها در توان قانون‌گذار و شبکه‌ی پرداخت نیست.


مستأجری: البته به واسطه محدودیتهای ایجاد شده ناشی از تحریمها، بانکها هم با چالشهایی در خصوص امکان بهره گیری از قابلیتهای امنیتی تلفنهای همراه و همچنین ارائه نرم افزارهای تولید رمز پویا روبرو شده اند. مثلا در حال حاضر در دنیا از المان‌های امنیتی در تلفنهای همراه نسل جدید برای ارتقا خدمات پرداخت استفاده می‌گردد؛ که متاسفانه برخی از این امکانات در ایران به دلایل تحریم قابل بهره برداری نیست.


آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PSD۲ الزام شده که احراز هویت سمت صادرکننده کارت باشد.


ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.


آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغه‌های امنیتی در سایت‌های مختلف اطلاعات کارت‌بانکی خود را وارد می‌کنند؛ باید بگویم مطابق با آمار موجود در سایر کشورها آمار فیشینگ همچنان روبه رشد است، اما در کنار دلایلی نظیر تفاوت در سیستم‌های پرداخت کشورهای دیگر با ایران که تسویه با فاصله‌ی زمانی صورت می‌پذیرد و در این صورت امکان کنترل‌های بیشتر و جبران خسارت در صورت شناسایی تراکنش تقلبی وجود دارد و همچنین بیمه، نظارتی است که در آن کشورها  از طریق الزمات سخت‌گیرانه‌ای نظیر PCI و  و PSD۲ انجام می‌شود، به عنوان نمونه در صورت عبور، پردازش و ذخیره‌ی اطلاعات کارت توسط هر عاملی،   الزامات PCI لازم‌الاجرا شده و در صورت تخطی جریمه‌های سنگین پرداخت می‌شود در ایران در بحث‌های PCI و نظارت‌ها اقدامات کافی به نظر نمی‌رسند، به عنوان مثال من هنگامی‌که سراغ یکی از اپلیکیشن های حوزه پرداخت می‌روم مشاهده می‌کنم  تاریخ انقضاء کارت من را درگذشته ذخیره کرده و تمام کارت‌های که در این اپ ها درگذشته استفاده کرده‌ام در هر پرداخت نشان داده می‌شود و باید دید با چه مجوزی اطلاعات کارت‌های کاربران از طریق برخی اپلیکیشن های پرداخت ذخیره می‌شود.


ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشن های پرداخت نمایش داده می‌شود.


آیت:  سامانه‌ی پیوند مختص به تراکنش‌هایی که از کانال USSD انجام می‌پذیرفت بود و از طرفی ذخیره‌ی Exp Date در برنامه‌های موبایل ویا درگاه‌های پرداخت که از طریق سامانه پیوند  قابل استعلام نیست، موارد ذکر شده بیانگر این نکته است که ممیزی‌ها در ایران جدی گرفته نمی‌شود؛ از اولین الزامات PCI، محافظت از اطلاعات کارت است، بحث بعدی این است که در کشور سامانه‌های کشف تقلب متناسب با درگاه‌های پرداخت  نداریم، سامانه‌های کشف تقلب می‌توانند براساس پروفایل رفتاری کاربر (به عنوان نمونه مکان و زمان انجام تراکنش و یا دستگاهی که کاربر عموماً در زمان انجام تراکنش استفاده می‌کند)، کاربر واقعی را از جعلی تشخیص داده و جلوی انجام تراکنش‌های جعلی را بگیرد.   در بسیاری از سایت‌ها رفتار افراد بر اساس script و کوکی‌هایی که در آن سایت وجود دارد رهگیری شده و براساس رفتار شناسایی شده به او پیشنهادهای متناسب تبلیغاتی ارائه می‌شود،   یک بازار میلیارد دلاری هم بر این اساس شکل‌گرفته است. در درگاه‌های پرداخت می‌توان با استفاده از این  Script ها و Cookie ها ابتدا ویژگی‌های رفتاری کاربر را استخراج کرد و در زمان انجام تراکنش در صورت مغایرت این ویژگی‌ها از جلوی انجام تراکنش جعلی را گرفت. درصورتی‌که در کشور از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمی‌شود و این مهم به زیرساخت پیچیده‌ای هم نیاز ندارد. می‌توان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بوده‌ایم ازاین‌رو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکرده‌ایم.


ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟


پور طاهری: اگر من صحبت خود را با OTP آغاز کنم به‌هرحال این راهکار یک مرحله شرایط را بهتر می‌کند؛ البته معایبی هم دارد که یکی از مهم‌ترین آن‌ها بحث سخت کردن کار است. اپلیکیشن شصت کامل‌ترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد این‌چنینی در کشور ترند می‌شود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یک‌دفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاه‌مدت هستند. بحث بعدی این‌که نظام بانکی و پرداخت کشور به دلیل این‌که در شرایط تحریم قرار دارد به شبکه بین‌المللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار ساده‌ای که رگولاتور برای کاهش فیشینگ می‌تواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم به‌صورت قانون مصوب شود.


ایرانی: می‌توان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاه‌های پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.


پور طاهری: این موارد راهکارهای ساده‌ای است که اگر اجرایی شود منجربه کاهش حجم گسترده ای از میزان فیشینگ در کشور می شود. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود فیشینگ در کشور را کاهش می دهد.


ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا می‌کند برای مبالغ زیر ۵ هزار تومان سیم‌کارت وی به‌صورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز می‌خواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سال‌ها از این مسیر رخ‌داده از بین می‌رود.


مستأجری: من هنوز معتقد هستم که این قبیل اقدامات باید بصورت همزمان و یکپارچه از سوی تمامی نقش آفرینان شبکه پرداخت کشور پیاده‌سازی و اجرا گردد. با این حال استفاده از رمز پویا به رغم تمامی چالشهای مطرح شده، می تواند در شرایط کنونی راهکاری مناسب جهت ارتقا امنیت تراکنشهای پرداخت در سطح کشور تلقی شود.  


سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش می‌یابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتی‌که بحث بهره‌گیری از OTP در صنعت بانکی و پرداخت شروع‌شده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل این‌که دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهره‌گیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاین‌رو زودتر باید این موضوع به‌صورت کامل اجرایی شود.


مستأجری: قطعا در شرایط کنونی و با این حجم از تراکنشها، ضروری است که به موازات عملیاتی نمودن راهکار رمز پویا، تجهیز زیرساختهای مورد نیاز هم در شبکه بانکی و هم در سطح اپراتورها بیش از پیش مدنظر قرار گیرد.


آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاین‌رو ابعاد این قضیه باید بررسی شود و بر اساس آن گام‌ها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص شناسایی سایت‌ها و برنامه‌های موبایل جعلی، استفاده از سیستم‌های کشف تقلب و آموزش مستمر کاربران باشد. بازهم تأکید می‌کنم با صرف قانون‌گذاری و یا ابلاغ الزامات و همچنین نبود اجماع بین کلیه‌ی نهادهای متولی مهار فیشینگ به سهولت امکان‌پذیر نیست.



 



[۱] Man in the Middle Attack




برای مشاهده بخش اول میزگرد فیشینگ اینجا کلیک کنید.

ارسال‌ نظر
فیلم و پخش زنده
بیشتر