گزارش آگهی
گسترش استفاده از درگاههای پرداخت (ipg) در فرآیند خریدهای اینترنتی، در کنار مزایای فراوانی که دارد، سبب شده است بستر انواع سوء استفادهها و کلاهبرداریها نیز برای افراد سودجو فراهم شود. کلاهبرداری اینترنتی، از روشهای متنوع، به ویژه کلاهبرداری از طریق درگاه پرداخت، یکی از متدوالترین روشها در این جریان است.
کلاهبردان و هکر ها اصولا روندی را در پیش میگیرند که تمام شواهد بهصورت طبیعی رخ بدهد. به طور مثال، صفحاتی کاملا شبیه درگاههای پرداخت معتبر ایجاد میکنند، یا با عنوانهای جذاب و فریبدهنده سعی در جذب کاربر دارند. هر گاه شما را به کسب درآمد بیشتر، دریافت جایزه با فعالیتهای کاذب، زیرمجموعه گیری، نمایش اطلاعات حقوقی (ثنا) و … از طریق ایمیل، شبکههای اجتماعی و پیامک دعوت کردند؛ ضرب المثل “هیچ گربهای برای رضای خدا موش نمیگیره” را به یاد آورید، آنگاه با کمی تامل متوجه خواهید شد فریبی در کار است یا خیر!
با این اوصاف در ادامهی این مطلب تلاش میکنیم علاوهبر معرفی راههای کلاهبرداری و فیشینگ از طریق درگاه پرداخت اینترنتی، راهکارهایی نیز برای مقابله و پیشگیری چنین پیشآمدهایی ارائه بدهیم.
هر گاه افراد سودجو قصد به دست آوردن اطلاعاتی از شما مثل گذرواژه، نام کاربری، اطلاعات حساب بانکی و امثال اینها را از راه جعل کردن صفحات اینترنتی و یا آدرس ایمیل و ... داشته باشند، در واقع عمل فیشینگ در حال رخ دادن است. بر اساس آخرین آمارهای پلیس فتا، در میان کلاهبرداریهای اینترنتی فیشینگ رتبهی اول را در کشور ما دارد.
فیشرها یعنی همان کلاهبردارهای اینترنتی که عمل فیشینگ را انجام میدهند، در واقع رابط گرافیکی یک وبگاه معتبر را کپی میکنند و سپس با طراحی صفحات درگاه پرداخت جعلی، عمل فیشینگ را انجام میدهند. هنگامی که فیشرها صفحهی جعلی پرداخت را ساختند، به سادگی به شمارهی کارت، رمز دوم و کد CVV2 کاربران دسترسی پیدا میکنند و از این طریق میتوانند از حساب آنها برداشت انجام دهند.
با توجه به شرح مختصری که از شیوهی کار فیشرها دادیم، اولین نکتهای که باید به آن توجه کنیم، نحوهی تشخیص درگاه جعلی پرداخت است. برای این منظور راهکارهایی وجود دارد؛ مثلا اینکه باید توجه کنیم در حاشیه نوار نشانی اینترنتی صفحهی پرداخت بانک، علامت قفل یا عبارت https:// حتما درج شده باشد. این نکته را در این مورد لحاظ کنید که حضور حرف s در اینجا بسیار اهمیت دارد.
یادتان باشد این تازه گام اول است، و اگر چنین نقصانی در صفحهی پرداخت وجود نداشت، آنگاه باید به مرحلهی بعد بروید. مرحلهی بعدی، دقت کردن در آدرس صفحهی پرداخت است. در واقع باید آدرس URL سایت، عیناً همان آدرس اصلی درگاه پرداخت اینترنتی باشد و مطلقاً حرفی کم و زیاد نداشته باشد.
همچنین استفاده از درگاههای پرداخت معتبری مانند درگاه پرداخت رایان پی میتواند در این زمینه راهکاری اساسی به شمار بیاید، زیرا به طور مثال همین درگاه پرداخت رایان پی به دلیل اینکه از سیستمهای قوی امنیت اطلاعات برخوردار است از وقوع حملهی فیشینگ جلوگیری خواهد نمود.
یک روش ساده برای تست صحت درگاه پرداخت، ارائهی اطلاعات غلط است. هنگامی که در صفحهی پرداخت یک سایت اصلی و معتبر اطلاعات غلط را وارد کنید، با پیغامی از سایت شاپرک مبنی بر نادرست بودن اطلاعاتتان مواجه خواهید شد. در مقابل، اگر کد اخطاری دریافت نکردید، به این معنا خواهد بود که صفحهی پرداخت جعلی است.
اما یک راهکار دیگر نیز در این زمینه وجود دارد و آن استفاده از پلاگین ضد فیشینگ است. در واقع با نصب افزونهی ضدفیشینگ بر روی موتور جستجوگر خود، در لحظهی اتصال به درگاه پرداخت، در هر دو صورت جعلی یا اصلی بودن درگاه، پیامی بر آن مبنا دریافت خواهید نمود.
در سایت رایان پی نیز، بخشی وجود دارد که با قرار دادن، آدرس صفحه پرداخت، میتوان اعتبار درگاه پرداخت را مورد بررسی قرار دهید و درصورت صحت آن با خیال راحت پرداخت خود را انجام دهید.
راهکار سادهی بعدی رفرش کردن صفحهی پرداخت، پیش از اتمام عملیات پرداخت است. پس از رفرش کردن، چنانچه شمارههای صفحه کلید امن صفحهی پرداخت، تغییر نکرد، آن صفحه جعلی خواهد بود. در نهایت باید اشاره کنیم که استفاده از رمز پویا نیز خود میتواند در جلوگیری از فیشینگ اثر مثبتی داشته باشد.
در کنار راهکارهایی که پیشتر توضیح دادیم، چند توصیهی کاربردی نیز در این زمینه مطرح میکنیم که میتواند برای پیشگیری از وقوع فیشینگ بسیار اثرگذار باشد. اولین توصیه این است که با دقتنظر همیشگی، بر روی هر لینکی که پیش روی شما قرار میگیرد کلیک نکنید.
لینکهای زیادی در طول روز برای شما پیامک یا ایمیل میشود، هر چند که عنوان فریبندهای داشته باشد بر روی تمام آنها کلیک نکنید. دومین توصیهی کاربردی ما این است که یک کارت بانکی مجزا با موجودی محدود، مختص به عملیاتهای اینترنتی در صفحات پرداخت داشته باشید. این راهکار میتواند از زیانهای کلان حتی در هنگام وقوع فیشینگ جلوگیری کند.
در نهایت توصیهی ما تمرکز بر روی نشانی سایت شاپرک است؛ فرض کنید بر روی یک لینک کلیک میکنید و به صفحهی درگاه پرداخت منتقل میشوید. در آنجا حتما به دامنهی سایت دقت کنید که لزوما و دقیقا باید shaparak.ir باشد، زیرا آدرسهای مشابه که کلاهبرداران از آن استفاده میکنند، شما را به تلهی فیشینگ خواهد انداخت.
نکته ای دیگری که باید به آن توجه کرد، در حال حاضر درگاههای پرداخت نیز بصورت واسط که به آنها پرداخت یار نیز گفته میشود، ارائه میگردد. از جمله شرکتهای معتبر میتوان به رایان پی اشاره نمود.
در این حالت شما قبل از ورود به صفحه پرداخت که با دامنه شاپرک میباشد وارد فرم پرداخت شرکت واسط شده و اطلاعاتی مانند مبلغ،نام و شماره تماس را قرار میدهید و به هیچ عنوان از شما اطلاعات حساب و شماره کارت گرفته نمیشود.
اکنون آمار پروندههای فیشینگ در ایران به مرز هشدار رسیده است، اما همچنان به طور شفاف و واضح مرجعی قانونی که مسئولیت مستقیم جبران خسارات فرد زیان دیده از حملهی فیشینگ را بر عهده بگیرد معین و مشخص نشده است. آیا سیستم شاپرک مسئول وقوع این جرائم است یا بانکها و یا حتی صاحبان کسب و کارها؟
به طور کلی حدود این مسئولیت باید در همان حوزهی قانونی تعریف شود که حدود اختیارات نهادها تعریف شده است. در واقع هر نهادی که در مسیر پرداختها وجود دارد، بسته به میزان اختیاراتش، مسئولیت نیز بر عهده خواهد داشته داشت. اما متاسفانه اکنون قانون مدونی در اینباره وجود ندارد.
بنابراین صاحبان کسب و کارها و سازمانهای وابسته به فرآیندهای خرید اینترنتی نیز باید تا حد ممکن و بر اساس نیازی ضروری، در بالا بردن سطح آموزش راهکارهای مقابله با فیشینگ نهایت تلاش خود را بکنند.
فیشینگ نه تنها برای کاربران سایتها و فروشگاههای مجازی خطری جدی محسوب میشود، بلکه کاملا متوجه صاحبان کسب و کارهایی است که از درگاه پرداخت استفاده میکنند نیز خواهد بود. بنابراین بهتر است به راههای گوناگون تامین امنیت وبسایتها نیز اشارهای داشته باشیم.
اولین توصیه در زمینهی تامین امنیت وبسایتها برای صاحبان کسب و کارها، داشتن یک بکآپ همیشگی از اطلاعات است. از طرف دیگر شما به عنوان مدیر مجموعه باید همواره با آموزش کارکنان بخشهای مختلف کسب و کار خود، مانع کلیک کردن آنها بر روی هر لینکی بشوید و از این طریق از فیشینگ به کمک لینکهای مخرب و ایمیلفیشینگ جلوگیری نمایید.
اما اینها اقدامات مقدماتی در این زمینه به شمار میرود برای تامین سطح بالاتری از امنیت در وبسایتها، باید پروتکلها و روشهای ایمنسازی فضای دادهها نیز بر روی وبسایت پیاده شود.
توصیه بعدی ما برای صاحبان مشاغل گوناگون در مسیر ایجاد امنیت بیشتر، توجه ویژه به مجوزهای لازم است. علاوهبر اینکه اخذ مجوزهای لازم سبب جذب اعتماد بیشتر مشتریان خواهد شد، در برقراری پروتکلهای امنیتی نیز موثر است.
برای نمونه نماد اعتماد الکترونیکی که توسط مرکز توسعهی تجارت الکترونیکی وزرات نفت، صنعت، معدن و تجارت به صاحبان کسب و کارها تعلق میگیرد، اصولا کارکرد و هدفش ایجاد یک بستر امن در عرصهی تجارت الکترونیک است. اکنون با توجه به کلیاتی که در اینباره مطرح کردیم به بیان چند راهکار که میتوان به کمک آنها از دادههای کسب و کارهای مختلف محافظت کرد خواهیم پرداخت.
برخی از کسب و کارهای اینترنتی که سروکارشان با درگاه پرداخت است، در شبکههای اجتماعی فعالیت میکنند. این کسب و کارها نیز از حملههای فیشینگ در امان نیستند، بنابراین فعالان در این حوزه نیز باید راهکارهای ایمنسازی حسابهای کاربردی خود را بیاموزند. برای این منظور به فهرست اجمالی زیر توجه کنید:
توجه داشته باشید که رعایت موارد یاد شده تا حد بسیار زیادی در ایجاد تراکنشهایی امن اثرگذار خواهد بود. اما به طور کلی استفاده از درگاه پرداخت (IPG) معتبری مانند درگاه پرداخت رایان پی که از پشتیبانی امنیتی بالایی برخوردار است و توسط سیستمهای نرمافزاری و پیشرفتهی امنیتی از تراکنشها حمایت میکند نیز در روند مقابله با پدیدهی فیشینگ بسیار با اهمیت است.
