به گزارش استیناف– از روزی که رمز پویا برای جلوگیری از برداشت‌های غیرمجاز و به اصطلاح فیشینگ اجباری شد، حدود هشت ماه می‌گذرد. هرچند هدف اصلی این کار کم کردن حجم کلاهبرداری‌های اینترنتی بود و طبق آمار در ماه‌های اول بسیار هم موفق عمل کرد، اما گزارش‌ها نشان می‌دهد که این کار هم نتوانسته به‌صورت کامل جلوی سارقان و کلاهبرداران را بگیرد و آ‌ن‌ها حتی با وجود فعال شدن رمز پویا دست به سرقت از حساب مردم می‌زنند.

شاید در نگاه اول این مسئله عجیب به‌نظر برسد، اما با دقت نکردن در خرید‌ها حتی با وجود رمز پویا بازهم شاهد کلاهبرداری‌ها هستیم. امروز ضمن بررسی چند روش فیشینگ که ممکن است حساب شما را خالی کند به آمار‌های منتشر شده از میزان فیشینگ در قبل و بعد از اجرای رمز پویا پرداخته ایم که خبر از بازگشت کلاهبرداری‌ها می‌دهد.

فیشینگ چیست؟

حتما تا به حال کلمه «فیشینگ» را زیاد شنیده اید. به هر تلاشی برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه و اطلاعات حساب بانکی دیگران از طریق جعل یک وبگاه، آدرس ایمیل و… فیشینگ یا همان رمزگیری و تله گذاری گفته می‌شود. کلاهبرداری فیشینگ از طریق ایمیل‌ها و پیام‌ها صورت می‌گیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایت‌های جعلی که در ظاهر کاملا شبیه وب سایت‌های سالم و قانونی است، وارد می‌کنند. حقه فیشینگ یکی از تکنیک‌های مهندسی اجتماعی برای فریب کاربران است که به طور معمول از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می‌کنند.

روش‌های کلاهبرداری با رمز پویا

با توجه به این که آمار‌ها با وجود رمز پویا خبر از زیاد شدن فیشینگ و کلاهبرداری می‌دهند، بهتر است با شگرد کلاهبرداران آشنا شوید تا خدای نکرده در دام آن‌ها نیفتید.

شبیه سازی سایت پرداخت

برخی در خرید‌های اینترنتی وقتی وارد صفحه‌ای می‌شوند و با کلیک کردن روی دکمه ارسال رمز پویا، پیامک بانک را دریافت می‌کنند، خیال‌شان راحت می‌شود که خبری از کلاهبرداری نیست؛ این در حالی است که هکر‌ها روی یک سرور، سامانه فیشینگ نصب می‌کنند. این سامانه یک صفحه جعلی را به کاربر نشان می‌دهد و اطلاعات وارد شده توسط او از جمله شماره کارت، کد CVV۲ و تاریخ انقضا را به بانک می‌فرستد.

در همان لحظه هم بانک به خاطر ورود اطلاعات از طریق سامانه فیشینگ، رمز پویا را برای شماره تلفن کاربر ارسال می‌کند و فرد قربانی آن را وارد صفحه جعلی می‌کند. از این زمان تا پایان اعتبار رمز پویا حدود دو دقیقه وقت برای سرقت و خالی کردن حساب فرد وجود دارد.

چگونه در دام نیفتیم: مهم‌ترین راه برای این که در دام این هکر‌ها نیفتید، دانستن این نکته است که هیچ ارزانی بی دلیل نیست. حتما برای خرید از سایت‌های معتبر استفاده کنید و آدرس درگاه بانکی را ببینید که حتما وارد درگاه www.shaparak.ir بدون حتی یک حرف کم یا زیاد شده باشید و تا حد امکان در ثانیه‌های پایانی رمز پویا را وارد کنید.

بانک مرکزی باید چه کند: به نظر می‌رسد بانک مرکزی به جز رمز باید نام فروشگاه و مبلغ خرید را هم هربار برای درخواست کننده رمز پویا ارسال کند تا قبل از وارد کردن رمز در درگاه خرید، در اختیار خریدار قرار بگیرد تا در حد امکان جلوی سوءاستفاده‌های احتمالی گرفته شود.

اپلیکیشن‌های جعلی رمز ساز

از ابتدای شروع طرح الزام مردم به استفاده از رمز‌های پویای یک بار مصرف، پیش‌بینی می‌شد به‌زودی طیفی از اپلیکیشن‌ها و وب‌سایت‌های جعلی رمز دوم وارد بازار شود. چون هر بانک از یک شیوه برای ارسال رمز دوم پویا به مشتری استفاده می‌کند و اپلیکیشن منحصربه‌فرد خودش را دارد.

کلاهبرداران سایبری به سرعت از این فرصت استفاده و به طراحی اپلیکیشن‌های جعلی رمزساز اقدام و با تبلیغ آن‌ها در اینترنت، اطلاعات کارت بانکی مردم را سرقت کردند تا حساب آن‌ها را خالی کنند. در این نرم‌افزار‌های جعلی، از کاربر اطلاعاتی مانند شمارت کارت، کد CVV۲، رمز اینترنتی ایستا، تاریخ انقضای کارت و چیز‌های دیگر درخواست می‌شود و به‌راحتی به سرقت اطلاعات حساب بانکی کاربران اقدام می‌کنند.

چگونه در دام نیفتیم: این نکته را باید مد نظر داشته باشید که برای دریافت رمزپویا در هیچ نرم افزاری لازم نیست رمزتان را وارد کنید و البته سعی کنید نرم افزار مربوط را از سایت خود بانک تهیه کنید.

بانک مرکزی باید چه کند: بهترین کار برای این که کلاهبرداران نتوانند از تعدد اپلیکیشن‌های رمزساز بانک‌ها سوء استفاده کنند این است که همه بانک‌ها یک اپلیکیشن رمز پویا در اختیار کاربران قرار دهند.

لینک‌های نامعتبر

در موج جدید فیشینگ معمولا پیامک‌های حاوی لینک فیشینگ، از سوی شماره‌های شخصی و عادی به طعمه‌ها ارسال می‌شوند. قبلا این کار معمولا از طریق سامانه‌های ارسال پیامک انجام می‌شد که به دلیل تعلق آن‌ها به شرکت‌های ثبت شده امکان پیگیری بیشتری وجود داشت، اما حالا با شماره‌های عادی شخصی، فیشینگ صورت می‌گیرد و با کلیک روی لینک در وهله اول امکان دارد گوشی تان هک شود و در وهله دوم شما را به همان سایت‌های جعلی هدایت می‌کند که پیش از این روش کار آن‌ها را توضیح داده ایم.

چه باید بکنیم: خب این دیگر خیلی بدیهی است که به لینک‌هایی که از طریق شماره‌های ناشناس برایتان ارسال می‌شود، اهمیت ندهید.

بانک مرکزی باید چه کند: استثنائا این بار کاری از دست بانک مرکزی برنمی آید و باید سازمان تنظیم مقررات، اپراتور‌های همراه را وادار کند که از ارائه سیم کارت‌های بی نام خودداری کنند.

بررسی عملکرد رمز پویا

حالا بعد از حدود هشت ماه باید پرسید که آیا رمز دوم به اهداف اولیه اش رسیده است؟ اهدافی که مهم‌ترین آن کم شدن کلاهبرداری و کم شدن پرونده‌های ارجاعی این حوزه به قوه قضاییه بود. بر اساس آمار و نمودار پلیس فتا از کلاهبرداری‌های صورت گرفته به شکل فیشینگ از دی ماه و با شروع اجباری شدن رمز پویا، در یک بازه دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش خطرات خرید‌های اینترنتی داشته است. نکته نگران‌کننده، اما اوج‌گیری دوباره استعلام کارت‌های مشکوک از خرداد ۹۹ است.

افزایشی که ادامه‌دار بودن آن تا کنون نشان می‌دهد کلاهبرداران ابتکارات تازه‌ای مانند آن چه در بالا به آن اشاره کردیم، برای فیشینگ به کار می‌برند و در نتیجه این احتمال وجود دارد که در ماه‌های آینده هم این روال روند افزایشی پیدا کند و دستاورد‌های این طرح را به خطر بیندازد.