چه کسی بر امنیت اپلیکیشنهای پرداختی نظارت میکند؟
با گسترش اینترنت و افزایش تمایل مردم به استفاده از خدمات غیرحضوری مالی، رغبت کلاهبرداران به ساخت اپهای جعلی یا بدافزارهای پرداختی و بانکی افزایش یافت و به تبع آمار خسارتدیدگان این اپلیکیشنها زیاد شد. رئیس پلیس فتای تهران بارها در این خصوص هشدار داده و اعلام کرده که شهروندان حتماً باید نرمافزارهای خود را از منابع معتبر دریافت کنند. اما منابع معتبر به چه معناست و چه کسی بر امنیت اپلیکیشنهای پرداختی نظارت دارد؟ آیا این نظارت برعهده کاشف است یا اصلاً نظارتی وجود ندارد؟ سیاستهای کلان تا چه اندازه در چند سال گذشته روی امنیت این فضا نقش داشتهاند؟ پلتفرمهای انتشار اپلیکیشن تا چه اندازه مانع انتشار بدافزارها و اپهای جعلی مالی شدهاند؟
پویا پوراعظم، متخصص و مشاور فناوری در صنعت بانکداری و پرداخت معتقد است که نظارت بر اپلیکیشنهای پرداختی و بانکی در ابعاد مختلفی باید اتفاق بیفتد، اما یکی از راهکار فعلی با توجه به شرایط حاکم بر کشور افزایش آگاهی کاربران است. در ادامه این گزارش عوامل گسترش این فضا، روشهای کلاهبرداری اینترنتی و راهکارهای تشخیص اپهای جعلی از اصلی را بررسی کردهایم.
بررسی انواع روشهای کلاهبرداری اینترنتی
به تمامی اعمالی که خلاف قانون بوده و در بستر اینترنت یا با استفاده از ابزارهایی که از اینترنت استفاده میکنند سبب ایجاد ضرر مادی یا معنوی برای افراد شود، کلاهبرداری اینترنتی گفته میشود که انواع مختلفی دارد.
فیشینگ (درگاه پرداخت اینترنتی جعلی)
فیشینگ یا درگاه پرداخت اینترنتی جعلی حدود ۵۰ درصد کلاهبرداریهای اینترنتی را تشکیل میدهد. در این روش کلاهبرداران صفحه درگاهی کاملاً مشابه درگاه پرداختهای واقعی میسازند و اطلاعات حساب یعنی شماره کارت، رمز دوم و… را ذخیره کرده و در فرصت مناسب حساب بانکی افراد را خالی میکنند.
کلاهبرداران در این روش برای جلوگیری از ایجاد شک در ذهن کاربران پس از دریافت تمامی اطلاعات کارت ازجمله رمز کارت، پیغام خطا در اتصال به بانک یا عدم انجام تراکنش را نشان میدهند.
سرقت اطلاعات با ویروسها و آگهی تبلیغات
در این روش کلاهبرداران با قرار دادن تبلیغات و بنرهای جذاب در سایتها توجه مشتریان را جلب میکنند و با کلیک روی بنرها ویروس یا برنامهای روی سیستم کاربران نصب میشود که میتواند اطلاعات موجود در سیستم را ذخیره کند یا گاهی اوقات با باز کردن صفحه و لینکی در اینترنت، صفحات دیگری نیز برخلاف میل افراد باز میشوند.
به این ترتیب کلاهبرداران به اطلاعات خصوصی و جزئیات حسابهای شما دسترسی پیدا میکنند.
در برخی موارد این اتفاق به صورت پنهانی رخ نمیدهد! برخی از برنامههای رایگان نیز قابلیت ذخیره اطلاعات کاربران را دارند.
برای جلوگیری از این موارد حتماً روی سیستم خود نرمافزارهای ضد ویروس و تروجان و برنامههای امنیتی نصب کنید.
سرقت اطلاعات هویتی (ایمیل یا پیامک جعلی)
در این روش کلاهبرداران اساماس یا ایمیل حاوی لینک پرداخت برای پرداخت قبض و… را برای افراد ارسال میکنند و کاربران با کلیک روی این لینکها به درگاههای جعلی (فیشینگ) منتقل میشوند و اطلاعات آنها به سرقت میرود.
برای جلوگیری از این روش هرگز لینکهای ناشناس را باز نکنید.
در مواردی نیز پیامک یا ایمیل همراه با اطلاعات حساب برای کاربران ارسال میشود و به اشتباه برای کلاهبرداران مبالغی را واریز میکنند یا از افراد اطلاعات هویتی آنها درخواست میشود.
در این روش کلاهبرداران شماره تماس مشتریان را در سایتها به بهانه قرعهکشی جمعآوری میکنند و با آنها تماس میگیرند یا پیامکهایی تحت عنوان «شما برنده شدید!» ارسال میکنند و از کاربران میخواهند تا مبلغی را برای ارسال جایزه واریز کنند.
این دسته از کلاهبرداریها در مواردی فقط واریز هزینه ارسال هستند، اما در مواردی نیز لینک درگاه جعلی دارند.
این روش از انواع روشهای کلاهبرداری اینترنتی با وجود قدیمی بودن و اطلاعرسانیهای بسیار همچنان افراد زیادی را در دام میاندازد.
اپلیکیشنهای جعلی
اپلیکیشنهای جعلی برنامههایی هستند که بعد از نصب، فرصت نفوذ افراد بزهکار را به اطلاعات محرمانه شما میدهند. البته همیشه اپلیکیشنهای جعلی الزاماً دارای بدافزار نیستند و گاهی این برنامهها با استفاده از شیوههای دیگری کاربران را به دام میاندازند. بهعنوان مثال اپلیکیشنهای جعلی شامل پلتفرمهایی نیز هستند که با وعده سودهای نجومی از کاربران کلاهبرداری میکنند.
سرهنگ داوود معظمی گودرزی، رئیس پلیس فتای تهران بارها در خصوص اپهای جعلی پرداختی هشدار داده است. او اخیراً اظهار کرد: «امروزه عمدهترین روش کلاهبرداری در سطح اینترنت، ایجاد نرمافزارهای جعلی مشابه نرمافزارهای همراهبانکهاست.»
او توضیح داد: «اخیراً پروندههایی به پلیس فتا واصل شده که در آن شکات پروندهها اپلیکیشن همراهبانک خود را از منابع نامعتبر دانلود و نصب کرده و بعد از آن مورد کلاهبرداری قرار گرفته بودند. در این پروندهها مأموران پلیس فتا با اقدامات فنی متوجه شدند که مجرمان با طراحی همراهبانکهای جعلی که در واقع بدافزار هستند و قرار دادن این نرمافزارها در منابع نامعتبر، اقدام به ایجاد دسترسی غیرمجاز به گوشی تلفن همراه کاربر برای خود کرده و از این طریق از حساب شهروندان برداشت کردهاند.»
رئیس پلیس فتای تهران بزرگ با بیان اینکه شهروندان حتماً باید نرمافزارهای خود را از منابع معتبر دریافت کنند، گفت: «از این رو به شهروندان توصیه میکنم که برای دانلود و نصب نرمافزارهای موبایل همراه از جستوجو کردن آن در مرورگرها خودداری کرده و حتماً به پلتفرمهای معتبر ارائهدهنده نرمافزار یا سایت رسمی بانک مراجعه کنند.»
انواع اپلیکیشنهای جعلی کداماند؟
اپلیکیشنهای جعلی دو نوع متفاوت دارند که هر کدام از آنها با روش خاصی به کلاهبرداری از کاربران میپردازند. کلاهبرداران بسته به اینکه از چه نوع اپلیکیشنی استفاده کنند قربانیان خاص خود را پیدا خواهند کرد. در ادامه به معرفی دو مدل مختلف اپلیکیشنهای جعلی میپردازیم:
مبدلها
این برنامهها با ظاهر و نامی شبیه به برنامههای معروف و پرمخاطب به وجود میآیند و در اپاستورها قرار میگیرند. معمولاً اپاستورهای محبوب اپلیکیشنهای جعلی را زود شناسایی میکنند، ولی در همان فرصت کم هم ممکن است هزاران نفر فریب بخورند و این برنامهها را دانلود کنند. این برنامهها ظاهر و نام خود را دقیقاً مشابه برنامههای اصلی میکنند. تنها راه تشخیص این است که زیر نام و لوگو، نام منتشرکننده آن را ببینید و تشخیص دهید که آیا برنامه اصلی هست یا خیر.
بازسازیشدهها
تشخیص برنامههای بازسازیشده نسبت به برنامههای مبدل سختتر است. این برنامهها علاوه بر اینکه از نام و آیکون برنامههای اصلی استفاده میکنند، دادهها و کدهای سورس این برنامهها را نیز مورد استفاده قرار میدهند. این کار، گاهی به قدری دقیق انجام میشود که تشخیص جعلی بودن آن بسیار سخت میشود.
انواع تهدیدات اپلیکیشنهای جعلی
برنامههای جعلی با توجه به نوع و هدفشان تهدیدات مختلفی را برای کاربران به همراه دارند. هرکدام از این تهدیدها میتواند به طریقی باعث ازدسترفتن سرمایه کاربر شود یا او را مورد سوءاستفاده قرار دهد.
دلیل افزایش آمار اپهای جعلی پرداختی و بانکی چیست؟
پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت در گفتوگو با «راه پرداخت» در خصوص آمار اپهای جعلی پرداختی گفت: «اپهای جعلی و بدافزارها از گذشته بوده و اکنون نیز وجود دارند. در حال حاضر آمار دقیقی از اینکه چه تعداد اپ جعلی وجود دارد در دسترس عموم نیست. اما مشخصاً آمار این اپها در چند سال اخیر رو به افزایش بوده است.»
به گفته پوراعظم، دلیل این افزایش، گسترش استفاده از خدمات مبتنی بر اپلیکیشنهای موبایلی و خدمات الکترونیکی و غیرحضوری است. با افزایش کاربران شاهد افزایش اپهای جعلی بودهایم. این افزایش آمار از دو جنبه قابل بررسی است.
او ادامه داد: «از یک سو افراد سودجو با توجه به افزایش کاربران، رغبت بیشتری برای کلاهبرداری به روش اپلیکیشنهای جعلی مالی پیدا میکنند. از سوی دیگر کاربران به دلیل نداشتن آموزش کافی و نبود آگاهی کافی نسبت به ملاحظات امنیتی به نصب اپها و ابزارهای جعلی اقدام میکنند که در اصل یک بدافزار است.»
پویا پوراعظم معتقد است که نظارت بر اپهای جعلی در ابعاد مختلفی باید اتفاق بیفتد. بانکها یا شرکتهای پرداختی در انتشار اپهای خود باید فرایند امنی را طی کنند؛ به طوری که نسخه اصلی از جعلی قابل تشخیص باشد. داشتن امضای دیجیتال و انتشار در مارکتهای معتبر ازجمله اقداماتی است که بانکها و شرکتهای معتبر منتشرکننده اپ میتوانند برای امنسازی این فرایند انجام دهند.
پوراعظم گفت: «پلتفرمهایی مثل کافهبازار، گوگلپلی و… نیز وظیفه دارند که اپهای جعلی و غیرجعلی را از یکدیگر تشخیص دهند که اکنون تا حدودی این اتفاق میافتد. با این حال در چند سال گذشته گاه شاهد انتشار بدافزار در همراهبانک جعلی در بستر این پلتفرمها بودهایم.»
لزوم آموزش کاربران و اطلاعرسانی مستمر
به گفته پوراعظم، نهادهایی مثل کاشف و ماهر روی این موضوع مانیتورینگ دارند اما به طور کلی این رصد وظیفه کاشف است.
این متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت بیان کرد: «در نهایت باید مشتریان و کاربران آموزش ببینند و به آنها آگاهیرسانی شود.»
او معتقد است با توجه به بزرگ شدن فضای تهدید در کشور، استفاده از فیلترشکنها و ویپیانهای جعلی میتواند یکی از ابزارهای کلاهبرداران باشد. به همین سبب سودجویان به جای جعل اپ پرداختی یک ویپیان را جعل میکنند. پس از نصب بهراحتی دسترسی میگیرند و به موبایلبانک مشتری دسترسی پیدا میکنند. برای کاربر هم قابل تشخیص نیست فیلترشکنی که نصبکرده بدافزار بوده یا خیر.
کنترلها محدود به نظارت یک نهاد بیرونی نیست
به گفته پوراعظم، سیاستهای کلان نادرست از جمله مواردی است که منجر به ایجاد یک فضای تهدید بزرگ در حوزه امنیت شده است. باید توجه داشت که کنترلها و اقدامات در این حوزه محدود به نظارت و مانیتورینگ یک نهاد ناظر بیرونی نیست. نهاد ناظر بیرونی میتواند یکپارچه باشد اما باید از ابعاد مختلف کاربر، سیاست کلان، انتشار اپها و… باید یکسری اقدامات امنیتی انجام شود.
پویا پوراعظم با اشاره به راهکار خارجشدن از این شرایط گفت: «راهکار دادن در این فضا و شرایط فعلی کار سختی است اما کاربران باید اتکای خود را به نظام بانکی و نهاد بیرونی و… کنار بگذارند و خودشان مراقب باشند. در حال حاضر نظارت بر این فضا اتفاق میافتد اما به دلیل برخی سیاستهای کلان درست اتفاق نمیافتد؛ بنابراین با توجه به این شرایط کاربر باید آگاهیاش را افزایش دهد.»
او ادامه داد: «من پیشنهاد میکنم با توجه به فضای فعلی، کاربران اپهای مالی و بانکیشان را حتی از مارکتها هم دانلود نکنند و تنها به سایت بانکها مراجعه کنند.»
چگونه اپهای جعلی را از اصلی تشخیص دهیم؟
برنامههای جعلی گاهی کاملاً شبیه نسخههای واقعی ساخته میشوند و تشخیص آنها دشوار است. با این حال اگر با دقت آنها را بررسی کنید شناخت نسخههای جعلی غیرممکن نیست. در ادامه چند روش برای شناخت برنامههای جعلی بیان کردهایم:
توجه به املای کلمات، آیکونها و توضیحات برنامه
پیش از اینکه یک برنامه را دانلود کنید بهتر است به املای کلمات، آیکونها و توضیحات برنامه دقت کنید. سازندگان برنامههای جعلی سعی میکنند از نامها و آیکونهای مشابه برندهای بزرگ استفاده کنند، ولی خیلی اوقات نام توسعهدهنده و حتی برنامه به اشتباه نوشته میشود تا صرفاً شبیه نسخه اصلی باشد و کاربر را فریب دهد. کافی است اسامی را در اینترنت جستوجو کنید تا ببینید برنامه واقعی است یا خیر.
دسترسیهای اپلیکیشن
در صفحه دانلود هر اپلیکیشنی در استورهای معتبری مثل کافهبازار، دسترسیهایی که اپلیکیشن در گوشی کاربر میخواهد نوشته شده است. با مطالعه این دسترسیها ممکن است متوجه موارد مشکوکی شوید. سعی کنید هنگام نصب و دانلود هر برنامهای به دسترسیهایی که به آن برنامه میدهید، توجه ویژه داشته باشید.
تعداد دانلودهای برنامه
معمولاً نسخههای اصلی هر برنامهای تعداد دانلودهای بیشتری دارد، پس توجه به تعداد دانلودهای یک برنامه پیش از دانلود آن ضروری است. تعداد دانلودهای یک برنامه نشان میدهد چه میزان محبوب است و کاربران تا چه حد از آن راضی هستند. از طرفی هرچه دانلودها بیشتر باشد، فیدبکهای بیشتری هم وجود دارد که میتوانید آنها را بررسی کنید تا به واقعی یا غیرواقعی بودن برنامه پی ببرید.
موارد امنیتی دیگر شامل نکاتی نظیر بررسی نظرات درباره نرمافزار، بررسی توسعهدهندگان برنامه، زمان انتشار برنامه و… میشود.
سعی کنید در دانلود اپلیکیشنها دقت کنید. به طور کلی دانلود برنامهها از سایت خود بانکها و پلتفرمهای معتبر نظیر کافهبازار معتبرتر است؛ پس برای دانلود چنین برنامههای حساسی سراغ شبکههای اجتماعی و پلتفرمهای غیرمعتبر نروید.