به گزارش خبرنگار ایبِنا، فیشینگ (Phishing) روشی برای نفوذ به اطلاعات افراد و سرقت داراییهای الکترونیک آنها توسط کلاهبرداران است. متداولترین روشهای فیشینگ در حال حاضر ارسال ایمیلهای فریبنده، فیشینگ تلفنی، درگاه تقلبی مشابه دروازه پرداخت بانکها، دستگاههای کارتخوان و خودپرداز تقلبی و رباتهای تلگرامی ویژه فیشینگ است. آمار دقیقی از تعداد پروندههای فیشینگ و کلاهبرداری اینترنتی در دسترس نیست، اما متأسفانه تعداد آنها هرروز بیشتر میشود و طبق اعلام کارشناسان به مرز هشدار رسیده است. ازاینرو با توجه به ضرورت این موضوع و باهدف بررسی ابعاد آن و ارائه راهکارهای عملی بهمنظور کاهش حجم جرائم در این بخش باشگاه دیجیتال ایبِنا میزگرد "فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری" با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاستگذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد.
عماد ایرانی: فیشینگ معضلی است که در تمام دنیا رواج دارد و هنوز هیچ کشوری نتوانسته آن را به صفر برساند؛ با توجه به اینکه شرکت خدمات انفورماتیک نگاه فرا بانکی دارد؛ وضعیت فیشینگ در کشور را چگونه ارزیابی میکنید و آیا در حال حاضر فیشینگ در کشور به سطحی رسیده که نگرانکننده باشد و یا همانند سایر کشورها در سطح استاندارد صنعت بانکی قرار دارد؟
آیت: آمار رسمی در این بخش وجود ندارد و شرکت خدمات انفورماتیک به دلیل اینکه تنها زیرساخت بینبانکی را فراهم میکند به آمار این مهم دسترسی ندارد. زمانی که فیشینگ رخ میدهد بهطورمعمول مردم به بانکهای صادرکننده مراجعه و تقاضای مسدودی کارت میکنند. البته پروندههایی که سمت پلیس فتا برای معضل فیشینگ شکلگرفته که مرجع خوبی برای به دست آوردن حجم فیشینگ در کشور است. پرتال تعاملی کاشف نیز اخیراً برای شناسایی و فیلتر سایتهای فیشینگ و رسیدگی به پروندهها در این حوزه در زمان کمتر به نسبت گذشته راهاندازی شده است. برای بررسی وضعیت فیشینگ در کشور باید گفت فیشینگ در ایران با راهکارهای ساده انجام میشود ولی حجم پروندهها در این بخش روبه افزایش است.
ایرانی: منظور از پیچیده نبودن این است که از Attack و سیستمها برای فیشینگ در کشور استفاده نمیشود؟
آیت: بهمنظور مقایسه فیشینگ در ایران با کشورهای دیگر باید گفت؛ در سایر کشورها این مهم با یک ایمیل شروع میشود که در آنیک لینک یا فایل پیوست وجود دارد که درصورتیکه لینک باز شود افراد با ورود به یک سایت با بهرهگیری از افزونهایی که در مرورگر سیستم وجود دارد؛ سوءاستفاده و سیستم فرد را آلوده میکند و هنگامیکه فرد برای پرداخت وجوه بهصورت اینترنتی وارد سایت یک بانک میشود، اطلاعات حساس کارت وی سرقت و حساب شخص را از این طریق مورد دستبرد قرار میدهند. در ایران روش کار بسیار ساده است و فیشینگ از طریق یک سایت جعلی، ارسال ایمیلها و پیامکهای جعلی صورت میگیرد و کاربر بهوسیله این ابزارها مجاب میشود که سایتی که به آن واردشده و واقعی است.
ایرانی: با توجه به اینکه بر اساس آمار بانکی ملی بیشترین میزان کارت صادرشده در کشور را دارد و به تبع باید حجم مشکلات در این بخش بیشتر باشد؛ تا چه میزان بانک ملی موضوع فیشینگ را جدی گرفته و چه اقداماتی انجام داده است؟
پور طاهر: با توجه به اینکه آمار فیشینگ در ایران نگرانکننده است؛ اما روشهای اجرای آن ابتدایی و تنها با فریب کاربر با یک پیشنهاد جذاب رخ میدهد. تعداد کارتهای صادرشده از سمت بانک ملی بیشتر از سایر بانکها است و بهطور فیشینگ برای بانک دغدغه بوده است. مسئله اساسی این است که راهکار واحدی برای مقابله با فیشینگ از سمت صادرکننده کارت وجود ندارد. همچنین فیشینگ فرآیندی است که مشتری بیشترین نقش را در آن بازی میکند. ازاینرو شاید نشود خیلی به بانکها و رگولاتور در این بخش خرده گرفت؛ زیرا کماکان مشتری هدف فیشینگ قرار میگیرد البته این موضوع نافع مسئولیت بانکها و رگولاتور در این بخش نیست. برفرض مثال فون فیشینگ یکی از روشها در این بخش است که نمونه مشخص آن فردی است که تنها با تلفن عمومی از داخل زندان میلیونها تومان کلاهبرداری کرد.
ایرانی: بانک ملت همواره در صنعت بانکی آموزشهای متعددی به مشتریان خود ارائه داده است و من میخواهم بدانم این بانک تاکنون ریسک بهرهگیری از رمز دوم در پرداختهای غیرحضوری را به مشتریان خود منتقل کرده است و فعالیت بانک ملت برای کاهش فیشینگ به چه صورت بوده است.
مستأجری: بانک ملت در اوایل دهه ۹۰ درگیر داستان فیشینگ بود و آن زمان هنوز وضعیت درگاههای پرداخت همانند امروز پررنگ نشده بود؛ این بانک به دلیل سهم بالا از خدمات غیرحضوری بهشدت درگیر موضوع فیشینگ بود. بانک ملت از سال ۹۲ کمپینی که شامل اقدامات فنی و اجرایی و همچنین آگاهیرسانی بود در این بخش راهاندازی کرد و بانک ملت در بانکداری الکترونیکی اولین بانکی بود که از OTP روی حوالههای بانک ملت استفاده کرد. در گام اول استفاده از OTP برای سقف بالای یکمیلیون تومان اجباری و در گام دوم این مهم برای تمام مبالغ اجباری شد. البته حرکتهای واحد در شبکه بانکی و پرداخت اثرگذارتر خواهد بود؛ چون اقداماتی که در هر بانکی بهصورت مجزا انجام میشود منجر به ایجاد دغدغههای بیزنسی میشود. بانک ملت بهمنظور کاهش فیشینگ با توجه به این امر از خطای کاربری نشات میگیرد خود را مقید میدانست تا جایی که امکان دارد کاربر را محدود کند تا از ریل خارج نشده و دچار خطا نشود. افزون بر این بانک ملت در بحث آگاهی بخشی نیز با آموزشهای بیلبوردی و پوستر تمام تلاش خود در این بخش را انجام داده است.
من عقیده دارم روشهای متکی به یک بانک و سازمان برای مدیریت فیشینگ در کشور جوابگو نیست و اقدام رگولاتور در بهرهگیری از رمزهای پویا در کارتهای بانکی راهکار مناسبی است؛ ولی تا زمانی که همه ملزم به استفاده از آن نشوند مؤثر واقع نمیشود. به اعتقاد من مردم ایران ظرفیت پذیرش این موضوع رادارند شاید در ابتدا منجر به ریزش مشتری شود و اما در بلندمدت به دلیل افزایش امنیت از آن استقبال میشود. همچنین به دلیل تقویت زیرساختها با الزامات امنیتی مثل OTP کار مشتری سخت نمیشود و باید در این روند سهولت انجام کار برای مشتریان بانکی تحت تأثیر قرار نگیرد. البته با بهکارگیری از هر روشی هکرها به راهکارهای جدیدی برای فیشینگ دست مییابند و این موضوع پایانی ندارد و تنها از یک مدل به مدل دیگر تغییر رویه میدهد. بانکها و شرکتهای حوزه پیمت باید بتوانند در این شرایط در سریعترین زمان ممکن راهکارهای جایگزین سریع را برای مقابله با شیوههای جدید فیشینگ ارائه دهند.
ایرانی: داتین یک تولیدکننده در حوزه نرمافزارهای بانکی و پرداخت است به نظر شما در حوزه صادرکنندگی کارت فناوری میتواند در شناسایی و کنترل فیشینگ مؤثر باشد و در کل موضوع فیشینگ باید در سطح پرداخت یا صادرکننده کارت مدیریت شود؟
سرلک: بخش عمده فیشینگ به مشتری برمیگردد، البته یکسری از اقدامات بهصورت فنی برای احراز هویت میتواند از سمت صادرکننده کارت انجام شود؛ اما بهطورقطع پاسخگو نخواهد بود. شواهد موجود بیانگر این است که تیپ آدمهایی که هدف فیشینگ قرارگرفتهاند از چند سال گذشته تاکنون تغییری نکرده است که نشانگر این است که حرکت مؤثری در این بخش صورت نگرفته است. قشر تحصیلکرده جامعه در بخش فناوری هم دچار فیشینگ شدهاند که این امر به دلیل نبود آموزش و آگاهی دهی در این حوزه است که باید بافرهنگ سازی آن را در سطح کشور رواج داد. روشهای فیشینگ در کشور بسیار ابتدایی؛ ولی حجم پرونده در حال افزایش است که میتوان این امر را از طریق آموزش و آگاهی دهی کاهش داد. این آموزش باید در سطح مدرسه و عموم مردم باشد و از سوی صادرکننده کارت و توسعهدهنده سیستمها انجام شود.
ایرانی: شرکتهای پرداخت میتوانند با شناسایی و طبقهبندی مشتریان سطوح امنیتی برای آنها در نظر بگیرند؟
سرلک: شرکتهای پرداخت میتوانند محدودیتهای زیادی را برای افزایش امنیت ایجاد کنند و با طبقهبندی بخشی از کاربران را قبل از انجام هر تراکنش احراز هویت کنند؛ اما این روند منجر بهکندی و نارضایتی کاربران میشود. حدود ۷۰ الی ۸۰ درصد کنترل فیشینگ باید با آموزش و آگاهی حل شود و به عقیده من تنها ۱۵ الی ۲۰ درصد پروندههای حملات فیشینگ با اجبار مشتری به انجام یکسری الزامات خاص که با نارضایتی همراه است، کنترل میشود.
بخش دوم این میزگرد بزودی منتشر می شود...