شبکه بانکی و پرداخت کشور چقدر امن است؟
انتشار اخباری درباره دستبرد یک سارق اینترنتی به اطلاعات بانکی برخی شهروندان، بهانهای شد برای زیر سؤال بردن شاخصهای امنیت سایبری سایتهای بانکی و درگاهها و اپلیکیشنهای پرداخت الکترونیک توسط برخی؛ موضوعی که نه تنها صحیح نیست بلکه در صورت تکرار به سلب آرامش مشتریان بانکها هم میانجامد.
هفته گذشته یک سارق اینترنتی از طریق کانالهای تلگرامی اقدام به افشای اطلاعات کارت بانکی تعدادی از شهروندان کرد. بررسیهای فنی نشان میدهد این سارق با ایجاد صفحه جعلی پرداخت اینترنتی و فریب قربانیان، آنان را به استفاده از این صفحه جعلی و وارد کردن اطلاعات کارت بانکی ترغیب کرده است. این نوع کلاهبرداری که در اصطلاح فنی،"فیشینگ" نام دارد، یکی از رایجترین روشهای سرقت اطلاعات در اینترنت بشمار میآید و نمونههای فراوانی در داخل و خارج از کشور دارد.
فیشینگ مبتنی بر جعل و فریب است. جعل به این معنا که سارق، ابتدا صفحهای را که هیچ ارتباطی با درگاههای رسمی پرداخت قانونی ندارد، ایجاد و در اینترنت منتشر میکند. سپس با فریب و اغوای قربانیان، آنها را به این صفحه جعلی هدایت کرده تا فرد قربانی اطلاعات کارت بانکی خود را در آن وارد کند. نکته مهم برای مقابله با این شیوه دستبرد به اطلاعات بانکی مردم، آگاهی کاربران از شیوههای امن و درست استفاده از ابزارهای پرداخت الکترونیک است. به همین خاطر در کشور ما نیز مانند همه کشورهای جهان، تلاشهای فراوانی از سوی نهادهای مسئول برای آموزش مردم و ارتقای سواد دیجیتالی جامعه در این حوزه صورت گرفته و میگیرد.
متأسفانه با وجود اقدامات گسترده شبکه پرداخت کشور در حوزه فنی و استانداردها و ممیزی های سختگیرانه آن و نیز فرهنگسازی و اطلاعرسانی نهادهای قانونی از جمله پلیس فتا، هنوز برخی از شهروندان در مواجهه با این صفحات جعلی براحتی فریب میخورند که بخشی از آن معضلی جهانی است؛ طبق آمارهای رسمی سالانه میلیون ها کاربر بزرگترین وبسایتهای جهان و سامانههای مالی نیز قربانی حملات فیشینگ میشوند. این آمار در حوزههای مالی جهانی به علت جذابیت بیشتر آن برای مجرمان، بسیار بالا است.
شیوع بروز چنین رخدادهایی، بسیاری از نهادهای مسئول را به تدوین دستورالعملهای اجرایی برای مواقع کشف فیشینگ واداشته است. این دستورالعملها شامل مراحل انجام اقدامات لازم برای جلوگیری از گسترش دامنه سرقت اطلاعات، از ابطال اطلاعات به سرقت رفته در صفحات جعلی اینترنتی تا اطلاع رسانی و کشف و پیگیری مسدودی این صفحات جعلی است. هر یک از دستگاههای مرتبط بر اساس این دستورالعملها موظفند هنگام بروز فیشینگ، اقدامات لازم را انجام دهند. از جمله نهادهایی که در این مواقع باید به کمک فریبخوردگان و دستگاههای مسئول بیایند، رسانهها هستند. رسانهها باید با اطلاعرسانی بهموقع و دقیق بدون ایجاد هراس در شهروندان به کمک عملیات خنثیسازی بیایند.
در کشور ما متأسفانه هنوز چنین دستورالعملهایی در برخی سطوح تدوین یا ابلاغ نشدهاست بنابراین خیلی جای تعجب نیست که در مواقع بروز اتفاقاتی از قبیل فیشینگ دچار ناهماهنگی میشویم که بعضا به سارقان کمک میکند.
گذشته از این با کمال تأسف مشاهده میکنیم که در برخی مواقع از جمله در مورد اخیر، وقوع یک فقره فیشینگ دستمایه تسویه حسابهای تجاری با شبکه بانکی و پرداخت شده و از آن بدتر امنیت سایبری کشور ضعیف نشان داده میشود.
نمونه برخی از اینگونه اظهارنظرها را میتوان هنگامی مشاهده کرد که وقوع یک رخداد فیشینگ نشانهای بر ابطال نظریه قدرت سایبری کشور دانسته شدهاست!
این قبیل تحلیلها در حالی است که به عنوان نمونه در فیشینگ اخیر، بانک مرکزی و نهادهای زیرمجموعه آن در عمل به وظایف خود در صیانت از حقوق مردم از اولین لحظات دریافت گزارش کلاهبرداری، ضمن همکاری نزدیک با دیگر نهادهای قانونی، اقدامات لازم را در راستای محدود کردن ابعاد رخداد، پیشگیری سوءاستفاده های احتمالی دیگر افراد کلاهبردار، اطلاعرسانی و آموزش مجدد به شهروندان و دیگر اقدامات موثر انجام دادهاند.
با این حال اما برخی با قلب واقعیت، سعی میکنند از آب گلآلود ماهی بگیرند و در روزهای پایان سال موجبات نگرانی و تشویش اذهان شهروندان را فراهم آورند. ادعاهایی از قبیل وجود فیشینگ گسترده روی درگاههای شاپرک، یا تکرار ادعای کذب مجرم فیشینگ اخیر در خصوص یکی از شرکت های پرداخت از یک طرف و مرتبط کردن این ادعاهای کذب با بحث امنیت بسترUSSD از طرف دیگر در این مقطع زمانی، شگفتی هر کارشناس منصف و مطلعی را بر میانگیزد، چرا که سرقت یاد شده اساساً خارج از سامانههای شبکه پرداخت کشور انجام شده و هرگونه ادعایی در خصوص سوءاستفاده از درگاههای مجاز و رسمی پرداخت کشور، نشاندهنده عدم اطلاع مدعی از جزئیات این رخداد و نیز ویژگیهای فنی حملات فیشینگ است.