معضلی به نام فیشینگ در شبکه پرداخت ایران
کلاهبرداری فیشینگ در طول سالهای اخیر افزایش بسیار زیادی داشته تا جایی که آمارها نشان از وضعیت نگرانکننده دارد و این دسته از حملات به معضلی بزرگ برای شبکه پرداخت ایران تبدیل شده است.
به گزارش ارزدیجیتال و به نقل از خبرنگار ایبِنا، فیشینگ (Phishing) روشی برای نفوذ به اطلاعات افراد و سرقت داراییهای الکترونیک آنها توسط کلاهبرداران است. متداولترین روشهای فیشینگ در حال حاضر ارسال ایمیلهای فریبنده، فیشینگ تلفنی، درگاه تقلبی مشابه دروازه پرداخت بانکها، دستگاههای کارتخوان و خودپرداز تقلبی و رباتهای تلگرامی ویژه فیشینگ است.
آمار دقیقی از تعداد پروندههای فیشینگ و کلاهبرداری اینترنتی در دسترس نیست، اما متأسفانه تعداد آنها هرروز بیشتر میشود و طبق اعلام کارشناسان به مرز هشدار رسیده است. ازاینرو با توجه به ضرورت این موضوع و باهدف بررسی ابعاد آن و ارائه راهکارهای عملی بهمنظور کاهش حجم جرائم در این بخش باشگاه دیجیتال ایبِنا میزگرد “فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری” با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاستگذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد.
عماد ایرانی: فیشینگ معضلی است که در تمام دنیا رواج دارد و هنوز هیچ کشوری نتوانسته آن را به صفر برساند؛ با توجه به اینکه شرکت خدمات انفورماتیک نگاه فرا بانکی دارد؛ وضعیت فیشینگ در کشور را چگونه ارزیابی میکنید و آیا در حال حاضر فیشینگ در کشور به سطحی رسیده که نگرانکننده باشد و یا همانند سایر کشورها در سطح استاندارد صنعت بانکی قرار دارد؟
آیت: آمار رسمی در این بخش وجود ندارد و شرکت خدمات انفورماتیک به دلیل اینکه تنها زیرساخت بینبانکی را فراهم میکند به آمار این مهم دسترسی ندارد. زمانی که فیشینگ رخ میدهد بهطورمعمول مردم به بانکهای صادرکننده مراجعه و تقاضای مسدودی کارت میکنند. البته پروندههایی که سمت پلیس فتا برای معضل فیشینگ شکلگرفته که مرجع خوبی برای به دست آوردن حجم فیشینگ در کشور است. پرتال تعاملی کاشف نیز اخیراً برای شناسایی و فیلتر سایتهای فیشینگ و رسیدگی به پروندهها در این حوزه در زمان کمتر به نسبت گذشته راهاندازی شده است. برای بررسی وضعیت فیشینگ در کشور باید گفت فیشینگ در ایران با راهکارهای ساده انجام میشود ولی حجم پروندهها در این بخش روبه افزایش است.
ایرانی: منظور از پیچیده نبودن این است که از Attack و سیستمها برای فیشینگ در کشور استفاده نمیشود؟
آیت: بهمنظور مقایسه فیشینگ در ایران با کشورهای دیگر باید گفت؛ در سایر کشورها این مهم با یک ایمیل شروع میشود که در آن یک لینک یا فایل پیوست وجود دارد که درصورتیکه لینک باز شود افراد با ورود به یک سایت با بهرهگیری از افزونهایی که در مرورگر سیستم وجود دارد؛ سوءاستفاده و سیستم فرد را آلوده میکند و هنگامیکه فرد برای پرداخت وجوه بهصورت اینترنتی وارد سایت یک بانک میشود، اطلاعات حساس کارت وی سرقت و حساب شخص را از این طریق مورد دستبرد قرار میدهند. در ایران روش کار بسیار ساده است و فیشینگ از طریق یک سایت جعلی، ارسال ایمیلها و پیامکهای جعلی صورت میگیرد و کاربر بهوسیله این ابزارها مجاب میشود که سایتی که به آن واردشده واقعی است.
ایرانی: با توجه به اینکه بر اساس آمار بانکی ملی بیشترین میزان کارت صادرشده در کشور را دارد و به تبع باید حجم مشکلات در این بخش بیشتر باشد؛ تا چه میزان بانک ملی موضوع فیشینگ را جدی گرفته و چه اقداماتی انجام داده است؟
پور طاهر: با توجه به اینکه آمار فیشینگ در ایران نگرانکننده است؛ اما روشهای اجرای آن ابتدایی و تنها با فریب کاربر با یک پیشنهاد جذاب رخ میدهد. تعداد کارتهای صادرشده از سمت بانک ملی بیشتر از سایر بانکها است و بهطوری فیشینگ برای بانک دغدغه بوده است. مسئله اساسی این است که راهکار واحدی برای مقابله با فیشینگ از سمت صادرکننده کارت وجود ندارد. همچنین فیشینگ فرآیندی است که مشتری بیشترین نقش را در آن بازی میکند. ازاینرو شاید نشود خیلی به بانکها و رگولاتور در این بخش خرده گرفت؛ زیرا کماکان مشتری هدف فیشینگ قرار میگیرد البته این موضوع نافع مسئولیت بانکها و رگولاتور در این بخش نیست. برفرض مثال فون فیشینگ یکی از روشها در این بخش است که نمونه مشخص آن فردی است که تنها با تلفن عمومی از داخل زندان میلیونها تومان کلاهبرداری کرد.
ایرانی: بانک ملت همواره در صنعت بانکی آموزشهای متعددی به مشتریان خود ارائه داده است و من میخواهم بدانم این بانک تاکنون ریسک بهرهگیری از رمز دوم در پرداختهای غیرحضوری را به مشتریان خود منتقل کرده است و فعالیت بانک ملت برای کاهش فیشینگ به چه صورت بوده است.
مستأجری: بانک ملت در اوایل دهه ۹۰ درگیر داستان فیشینگ بود و آن زمان هنوز وضعیت درگاههای پرداخت همانند امروز پررنگ نشده بود؛ این بانک به دلیل سهم بالا از خدمات غیرحضوری بهشدت درگیر موضوع فیشینگ بود. بانک ملت از سال ۹۲ کمپینی که شامل اقدامات فنی و اجرایی و همچنین آگاهیرسانی بود در این بخش راهاندازی کرد و بانک ملت در بانکداری الکترونیکی اولین بانکی بود که از OTP روی حوالههای بانک ملت استفاده کرد.
در گام اول استفاده از OTP برای سقف بالای یکمیلیون تومان اجباری و در گام دوم این مهم برای تمام مبالغ اجباری شد. البته حرکتهای واحد در شبکه بانکی و پرداخت اثرگذارتر خواهد بود؛ چون اقداماتی که در هر بانکی بهصورت مجزا انجام میشود منجر به ایجاد دغدغههای بیزنسی میشود. بانک ملت بهمنظور کاهش فیشینگ با توجه به این امر از خطای کاربری نشات میگیرد خود را مقید میدانست تا جایی که امکان دارد کاربر را محدود کند تا از ریل خارج نشده و دچار خطا نشود. افزون بر این بانک ملت در بحث آگاهی بخشی نیز با آموزشهای بیلبوردی و پوستر تمام تلاش خود در این بخش را انجام داده است.
من عقیده دارم روشهای متکی به یک بانک و سازمان برای مدیریت فیشینگ در کشور جوابگو نیست و اقدام رگولاتور در بهرهگیری از رمزهای پویا در کارتهای بانکی راهکار مناسبی است؛ ولی تا زمانی که همه ملزم به استفاده از آن نشوند مؤثر واقع نمیشود. به اعتقاد من مردم ایران ظرفیت پذیرش این موضوع را دارند شاید در ابتدا منجر به ریزش مشتری شود و اما در بلندمدت به دلیل افزایش امنیت از آن استقبال میشود. همچنین به دلیل تقویت زیرساختها با الزامات امنیتی مثل OTP کار مشتری سخت نمیشود و باید در این روند سهولت انجام کار برای مشتریان بانکی تحت تأثیر قرار نگیرد. البته با بهکارگیری از هر روشی هکرها به راهکارهای جدیدی برای فیشینگ دست مییابند و این موضوع پایانی ندارد و تنها از یک مدل به مدل دیگر تغییر رویه میدهد. بانکها و شرکتهای حوزه پیمنت باید بتوانند در این شرایط در سریعترین زمان ممکن راهکارهای جایگزین سریع را برای مقابله با شیوههای جدید فیشینگ ارائه دهند.
ایرانی: داتین یک تولیدکننده در حوزه نرمافزارهای بانکی و پرداخت است به نظر شما در حوزه صادرکنندگی کارت فناوری میتواند در شناسایی و کنترل فیشینگ مؤثر باشد و در کل موضوع فیشینگ باید در سطح پرداخت یا صادرکننده کارت مدیریت شود؟
سرلک: بخش عمده فیشینگ به مشتری برمیگردد، البته یکسری از اقدامات بهصورت فنی برای احراز هویت میتواند از سمت صادرکننده کارت انجام شود؛ اما بهطورقطع پاسخگو نخواهد بود. شواهد موجود بیانگر این است که تیپ آدمهایی که هدف فیشینگ قرارگرفتهاند از چند سال گذشته تاکنون تغییری نکرده است که نشانگر این است که حرکت مؤثری در این بخش صورت نگرفته است. قشر تحصیلکرده جامعه در بخش فناوری هم دچار فیشینگ شدهاند که این امر به دلیل نبود آموزش و آگاهیدهی در این حوزه است که باید با فرهنگ سازی آن را در سطح کشور رواج داد. روشهای فیشینگ در کشور بسیار ابتدایی؛ ولی حجم پرونده در حال افزایش است که میتوان این امر را از طریق آموزش و آگاهی دهی کاهش داد. این آموزش باید در سطح مدرسه و عموم مردم باشد و از سوی صادرکننده کارت و توسعهدهنده سیستمها انجام شود.
ایرانی: شرکتهای پرداخت میتوانند با شناسایی و طبقهبندی مشتریان سطوح امنیتی برای آنها در نظر بگیرند؟
سرلک: شرکتهای پرداخت میتوانند محدودیتهای زیادی را برای افزایش امنیت ایجاد کنند و با طبقهبندی بخشی از کاربران را قبل از انجام هر تراکنش احراز هویت کنند؛ اما این روند منجر بهکندی و نارضایتی کاربران میشود. حدود ۷۰ الی ۸۰ درصد کنترل فیشینگ باید با آموزش و آگاهی حل شود و به عقیده من تنها ۱۵ الی ۲۰ درصد پروندههای حملات فیشینگ با اجبار مشتری به انجام یکسری الزامات خاص که با نارضایتی همراه است، کنترل میشود.
ایرانی: بانکها میتوانند با بهرهگیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخشهایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابلکنترل است؟
آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه میشود از بررسی حملات، ارائه آموزش و پیادهسازی الزامات امنیتی در درگاههای پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاهترین زمان ممکن است.
به عنوان نمونه گوگل سرویسی با عنوان مرور امن (Safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود میشود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت میشود از این طریق شناسایی و محدود میشود. ازاینرو باید یک نگاه همهجانبه به این موضوع داشت و تنها فعالیتها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیتهای جدی بر روی شناسایی سایتهای جعلی، تجهیز درگاههای بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن دادههای مختص به حملات و سایتهای جعلی انجام نشده است.
برخی از حملات فیشینگ به قدری پیچیدهاند که تکیه بر آموزش کاربر به عنوان تنها راهکار راهگشا نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیتهای مرورگر در اندروید ارائه شده است که آدرسی که مرورگر به کاربر نشان میداد با آدرس سایتی که کاربر به آن وارد میشد، متفاوت بود. بدین معنا یک صفحهای در وب طراحیشده بود که به کاربر یک لینک دیگر نشان داده میشد؛ درصورتیکه پسزمینه آن سایت جعلی بود، بنابراین موارد اینچنینی با آموزش قابلشناسایی نخواهند بود.
افزون بر این در خصوص شناسایی سایتهای جعلی که دامنهی آنها شباهت زیادی به دامنهی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش میتواند این سایتها را شناسایی کند. مجموعهای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب مدیریت حملهی فیشینگ است، درست است که OTP بهصورت کامل نمیتواند فیشینگ را به دلیل موارد مربوط به حملهی مرد میانی کنترل کند؛ اما این الزام منجر به کاهش چشمگیر سوءاستفادهها در این بخش خواهد شد زیرا حملات را به ۶۰ ثانیه و تنها یکبار محدود میکند.
بحث ۳D Secure هم در ایران به نوعی اجرایی شده است در ۳D Secure یک زنجیرهی اعتمادی بین کاربر، فروشنده و بانک برقرار میشود که به واسطهی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمیکند، همچنین بانک از جزئیات خرید کاربر مطلع نمیشود و بنابراین حریم شخصی کاربر در این خصوص حفظ میشود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور میکند بعد توسط بانک صادر کننده این اطلاعات احراز میشود، در موضوع فیشینگ نیز برای کاربر سهلتر است که بهجای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانکها ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تماما زیر دامنه شاپرک هستند را در خاطر داشته باشد.
ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟
پور طاهری: تمام موارد مذکور در کنترل فیشینگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجامنشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقهبندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهرهبرداری قرارگرفته است که بعضی از آنها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکتهای PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایتهای جعلی بهراحتی شناسایی میشوند و اگر این کار از سوی بانک مرکزی و شاپرک بهعنوان رگولاتور با پیادهسازی ابزاری برای شناسایی دامین های مشابه بانکها و شرکتهای PSP بهصورت شبانهروزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاعرسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری میشود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکسالعمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتیویروسها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتیویروس برای شخص فراهم کرده این پروسه با امنیت انجام میشود.
یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و یکی از راهکارهای ساده چاپ CVV2 در پشت کارتبانکی است می توان با آن از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث افراد تعریفشده که شامل انگیزه، توجیه و دسترسی میشود که دو ضلع اول خیلی قابل کنترل نیست؛ ولی دسترسی به اطلاعات کارت بانکی را می شود با راهکارهای ساده کنترل و از وقوع فراد جلوگیری کرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آنها و بدون دسترسی به اطلاعات کارتبانکی انجام میشود و این امر هم یک راهکار ساده بهمنظور کنترل حجم فیشینگ است.
ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام میدهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیشبینینشده است؛ شما بهعنوان صادرکننده کارت فارغ از اینکه شاپرک چنین قابلیتی ندارد آیا امکاناتی ازایندست را در اختیار مشتری قرار دادهاید یا برنامهریزی در این خصوص انجام دادهاید؟
مستأجری: برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود؛ زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهیرسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمیرساند. باید مجموعهای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحثهایی در خصوص سامانههای کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفاً تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است.
به عنوان نمونه، تراکنشهای با مبالغ بالا تائید نمیشود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین مواردی مستلزم تجهیز یکسری زیرساختهای نرم افزاری و سخت افزاری میباشد. حمله فیشینگ عموماً در بستر پذیرندگی رخ میدهد و این امر تنها محدود به وب سایت و مرورگر نمیشود؛ زیرا الآن بحثهای بانکداری باز، فین تکها و پرداختهای درون برنامهای مطرح است که در این فضا URL وجود ندارد و صرفاً بحث وب در آن مطرح نیست و راهکارهایی مثل ۳D Secure ممکن است عملیاتی نباشد. ازاینرو نمیتوان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانکها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند بانکها آمادگی این را دارند که زیرساختهای فنی خود را بر اساس مدلی که رگولاتور تعریف میکند پیادهسازی کنند.
ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟
مستأجری: رگولاتور با ابلاغ الزام بهکارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیشگرفته است، قطعاً راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث رمز پویا یا OTP مطرحشده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت میگردد. همچنین با توجه به اینکه مدت اعتبار رمز پویا تنها ۶۰ ثانیه در نظر گرفتهشده، امکان سوءاستفاده و تقلب را به حداقل میرساند. البته عملیاتی شدن این موضوع نیز میبایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند ۳D SECURE، باید دغدغه کارایی سیستمها و حجم باری سمت سرور و زیرساختهای ارتباطی نیز به عنوان یک پارامتر تأثیر گذار لحاظ گردد.
به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیتهای بانکها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل آگاهی رسانی و کنترلهای اپلیکیشنی میتواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.
ایرانی: یک مثلث در خصوص افراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام میدهند چگونه این مبالغ را نقد میکنند و همچنین با توجه به اینکه گفته میشود؛ شرکتهای PSP در این روند خیلی درگیر نشده چهکاری میتواند در این بخش انجام شو؟
سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پولشویی در حال حاضر اجرایی میشود و نیاز هم به تخصصهای ویژه ندارد زیرا بسیاری از مجرمهای ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیمکارتهای اعتبار و کارت به کارتهای متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابلپیگیری است اما کار با این ترفندها خیلی پیچیده میشود. البته اگر در این روند وجوه به سمت بیت کوین و ارزهای دیجیتال بروند دیگر قابلردیابی نیست.
ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص ارزهای دیجیتال نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.
سرلک: در این روند ما بهنقد کش هم رسیدهایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و بهوسیله این کارت کالاهای مثل طلا خریداریشده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کردهاند و باکارت جعلی خرید انجام دادهاند.
ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت میرود را میتوان با تسویه ۴۸ ساعته پرداختهای غیرحضوری کنترل کرد.
مستأجری: نقد شوندگی وجوه حاصل از حملات فیشینگ به دلیل محدودیتهای ارتباطی شبکه پرداخت کشور با سیستمهای پرداخت بینالمللی کمی سخت است. البته اغلب حملات فیشینگ هم در کسب و کارهایی صورت میگیرد که فاقد مشروعیت قانونی هستند، به همین دلیل افرادی که اطلاعات کارت خود را در چنین شرایطی وارد میکنند، اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن میروند.
ایرانی: بین صادرکننده کارت، رگولاتور و شرکتهای پرداخت در بحث فیشینگ کدامیک بیشتری کمکاری کردهاند؟
سرلک: به عقیده من شرکتهای پرداخت چون هیچوقت این موضوع برای آنها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمیکنند و به همین دلیل مشخص شرکتهای PSP در این موضوع خود را کمتر درگیر کردهاند.
مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری میتواند ایفا کند.
ایرانی: آیا شاپرک و شرکتهای PSP مسئول بودهاند و در این حوزه کاری نکردهاند؟
سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام دادهاند؛ اما شرکتهای PSP به دلیل اینکه این موضوع کمتر دغدغه آنها بوده سهم کمتری را تقبل کردهاند.
ایرانی: در خارج از کشور افراد بدون دغدغههای امنیتی پرداختهای غیرحضوری خود را انجام میدهند حال سؤال این است که در این کشورها چهکارهایی از سوی بازیگران انجامشده که این اطمینان حاصلشده است؟
آیت: عکس گلدانی که شما اشاره فرمودید که به عنوان یک راز بین بانک و کاربر به اشتراک گذاشته میشود و موقع انجام تراکنش با نمایش این راز به کاربر، او مطمئن میشود، که درگاه جعلی نیست، این گلدان معادل همان کلید رمزنگاری تولید OTP است که بانک مرکزی و رگولاتور با ابلاغ الزمات رمزهای پویا به این سمت حرکت کردهاند، که البته این موضوع با بحث ۳D SECURE متفاوت است.
دوستان اتفاقنظر دارند تمام مشکلات سمت قانونگذار است؛ اما قانونگذار نمیتواند بدون توجه به محدودیتهای موجود در سمت بانکها و شرکتهای پرداخت الزامات مرتبط را ابلاغ کند و از طرفی درنظر گرفتن این محدودیتها و متناسبسازی الزامات منجر به ریسکهای جدیتری نشود؛ به عنوان نمونه الزامات اولیهی رمزهای پویا باآنکه سختگیرانه هم نبود، در تعامل صورت پذیرفته با بانکها مشخص شد اغلب بانکها به صورت کامل و امن نمیتواند آن را پیادهسازی کنند، برخی از از بانکها به درستی اشاره کردند secure element در سمت موبایل برای ذخیره کلید تولید OTP در دسترس نیست، و یکسری از بانکها به دلیل اینکه بسیاری از مردم از گوشهای هوشمند برخوردار نیستند به سمت استفاده از راهکار پیامک و USSD رفتند؛ کانالهایی که به دلیل ریسکهای جدی امنیتی بانک مرکزی سالها است به دنبال محدود کردن انجام تراکنش از طریق این کانال ها است، از طرفی هزینه این کانالها بالا بوده و تفاوت SLA بانکی و اپراتور باعث کاهش سطح SLA تراکنشهای بانکی خواهد شد، ولی مجدداً به دلیل محدودیتها سرویس OTP باز به بستر ناامن کدهای دستوری باز خواهد گشت. موارد فوقالذکر بیانگر این موضوع است که قانونگذار به سهولت نمیتواند به بانکها ابلاغ کند، مثلاً کشف تقلب را پیادهسازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت و پیشنیاز است و نهاد ناظر در این بخش بیشتر در حال درک محدودیت بانکها و PSP ها است.
ایرانی: بانکها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کردهاند؟
آیت: من نماینده شرکت خدمات انفورماتیک هستم و تنها از دیدگاه بانک مرکزی صحبت کردم، نمیتوان انتظار داشت که مدیریت یک تهدید پیچیده نظیر فیشینگ که مطابق آمار جهانی در سال گذشته رشد داشته است در کشور تنها از طریق نهاد قانونگذار و با ابلاغ الزامات انجام شود، همچنین پیادهسازی الزامات توسط بانکها در مقولهی فیشینگ به صورت مقطعی مؤثر است، اما در این مقوله با توجه به تنوع و پیچیدگیهای موجود، این حمله متناسب با الزامات دچار دگردیسی شده و حملهی فیشینگ از یک نوع به نوعی دیگر جهت بی اثر ساختن الزامات تغییر میکند، بنابراین استفاده از ترکیبی از راهکارها با توجه به مثلث راهکارها (آموزش، شناسایی تهدید و مقاومسازی درگاهها و برنامههای کاربردی پرداخت) و تعادل برقرار کردن بین آنها اثربخشترین رویکرد است، همچنین راهحلی که در کشور مغفول مانده است، تمرکز بر شناسایی تهدید یعنی شناسایی سایتها و App های جعلی است. در این خصوص باید نهادهای دیگر که ابزار لازم جهت پایش و نظارت بر فضای مجازی را دارند در این موضوع ورود کنند، و این رویکرد تنها در توان قانونگذار و شبکهی پرداخت نیست.
مستأجری: البته بهواسطه محدودیتهای ایجاد شده ناشی از تحریمها، بانکها هم با چالشهایی در خصوص امکان بهرهگیری از قابلیتهای امنیتی تلفنهای همراه و همچنین ارائه نرم افزارهای تولید رمز پویا روبرو شدهاند. مثلاً در حال حاضر در دنیا از المانهای امنیتی در تلفنهای همراه نسل جدید برای ارتقا خدمات پرداخت استفاده میگردد؛ که متأسفانه برخی از این امکانات در ایران به دلایل تحریم قابل بهرهبرداری نیست.
آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PSD2 الزام شده که احراز هویت سمت صادرکننده کارت باشد.
ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.
آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغههای امنیتی در سایتهای مختلف اطلاعات کارتبانکی خود را وارد میکنند؛ باید بگویم مطابق با آمار موجود در سایر کشورها آمار فیشینگ همچنان روبه رشد است، اما در کنار دلایلی نظیر تفاوت در سیستمهای پرداخت کشورهای دیگر با ایران که تسویه با فاصلهی زمانی صورت میپذیرد و در این صورت امکان کنترلهای بیشتر و جبران خسارت در صورت شناسایی تراکنش تقلبی وجود دارد و همچنین بیمه، نظارتی است که در آن کشورها از طریق الزمات سختگیرانهای نظیر PCI و و PSD2 انجام میشود، به عنوان نمونه در صورت عبور، پردازش و ذخیرهی اطلاعات کارت توسط هر عاملی، الزامات PCI لازمالاجرا شده و در صورت تخطی جریمههای سنگین پرداخت میشود در ایران در بحثهای PCI و نظارتها اقدامات کافی به نظر نمیرسند، به عنوان مثال من هنگامیکه سراغ یکی از اپلیکیشن های حوزه پرداخت میروم مشاهده میکنم تاریخ انقضاء کارت من را درگذشته ذخیره کرده و تمام کارتهای که در این اپ ها درگذشته استفاده کردهام در هر پرداخت نشان داده میشود و باید دید با چه مجوزی اطلاعات کارتهای کاربران از طریق برخی اپلیکیشن های پرداخت ذخیره میشود.
ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشنهای پرداخت نمایش داده میشود.
آیت: سامانهی پیوند مختص به تراکنشهایی که از کانال USSD انجام میپذیرفت بود و از طرفی ذخیرهی Exp Date در برنامههای موبایل ویا درگاههای پرداخت که از طریق سامانه پیوند قابل استعلام نیست، موارد ذکر شده بیانگر این نکته است که ممیزیها در ایران جدی گرفته نمیشود؛ از اولین الزامات PCI، محافظت از اطلاعات کارت است، بحث بعدی این است که در کشور سامانههای کشف تقلب متناسب با درگاههای پرداخت نداریم، سامانههای کشف تقلب میتوانند بر اساس پروفایل رفتاری کاربر (به عنوان نمونه مکان و زمان انجام تراکنش و یا دستگاهی که کاربر عموماً در زمان انجام تراکنش استفاده میکند)، کاربر واقعی را از جعلی تشخیص داده و جلوی انجام تراکنشهای جعلی را بگیرد. در بسیاری از سایتها رفتار افراد بر اساس script و کوکیهایی که در آن سایت وجود دارد رهگیری شده و بر اساس رفتار شناسایی شده به او پیشنهادهای متناسب تبلیغاتی ارائه میشود، یک بازار میلیارد دلاری هم بر این اساس شکلگرفته است. در درگاههای پرداخت میتوان با استفاده از این Script ها و Cookie ها ابتدا ویژگیهای رفتاری کاربر را استخراج کرد و در زمان انجام تراکنش در صورت مغایرت این ویژگیها از جلوی انجام تراکنش جعلی را گرفت. درصورتیکه در کشور از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمیشود و این مهم به زیرساخت پیچیدهای هم نیاز ندارد. میتوان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بودهایم ازاینرو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکردهایم.
ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟
پور طاهری: اگر من صحبت خود را با OTP آغاز کنم بههرحال این راهکار یک مرحله شرایط را بهتر میکند؛ البته معایبی هم دارد که یکی از مهمترین آنها بحث سخت کردن کار است. اپلیکیشن شصت کاملترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد اینچنینی در کشور ترند میشود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یکدفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاهمدت هستند. بحث بعدی اینکه نظام بانکی و پرداخت کشور به دلیل اینکه در شرایط تحریم قرار دارد به شبکه بینالمللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار سادهای که رگولاتور برای کاهش فیشینگ میتواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم بهصورت قانون مصوب شود.
ایرانی: میتوان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاههای پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.
پور طاهری: این موارد راهکارهای سادهای است که اگر اجرایی شود منجر به کاهش حجم گستردهای از میزان فیشینگ در کشور میشود. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود فیشینگ در کشور را کاهش میدهد.
ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا میکند برای مبالغ زیر ۵ هزار تومان سیمکارت وی بهصورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز میخواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سالها از این مسیر رخداده از بین میرود.
مستأجری: من هنوز معتقد هستم که این قبیل اقدامات باید بهصورت همزمان و یکپارچه از سوی تمامی نقشآفرینان شبکه پرداخت کشور پیادهسازی و اجرا گردد. با این حال استفاده از رمز پویا به رغم تمامی چالشهای مطرح شده، میتواند در شرایط کنونی راهکاری مناسب جهت ارتقا امنیت تراکنشهای پرداخت در سطح کشور تلقی شود.
سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش مییابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتیکه بحث بهرهگیری از OTP در صنعت بانکی و پرداخت شروعشده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل اینکه دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهرهگیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاینرو زودتر باید این موضوع بهصورت کامل اجرایی شود.
مستأجری: قطعاً در شرایط کنونی و با این حجم از تراکنشها، ضروری است که به موازات عملیاتی نمودن راهکار رمز پویا، تجهیز زیرساختهای موردنیاز هم در شبکه بانکی و هم در سطح اپراتورها بیش از پیش مدنظر قرار گیرد.
آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاینرو ابعاد این قضیه باید بررسی شود و بر اساس آن گامها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص شناسایی سایتها و برنامههای موبایل جعلی، استفاده از سیستمهای کشف تقلب و آموزش مستمر کاربران باشد. بازهم تأکید میکنم با صرف قانونگذاری و یا ابلاغ الزامات و همچنین نبود اجماع بین کلیهی نهادهای متولی مهار فیشینگ به سهولت امکانپذیر نیست.
افزایش فیشینگ در ایران نمونه بارز دیگری از عدم توانایی مدیریت مسئولان و بی توجهی به مسائل مهم مردم هست. مثلا وقتی میخوان با یه سری افراد ضعیف برخورد قهری بکنن به شدیدترین شکل و بدترین شکل برخورد میکنن . مثل بلایی که سر ماینرها آوردن (البته همه میدونن که هدف این کار ایجاد انحصار ماین در ایران برای یه سری افراد خاص بود).
ولی وقتی پای حقوق ملت در میانه اصلا خیالشون نیست. تمام فیشینگ با یه پیامک حل میشه ولی چرا حاضر نیستن پیامک تایید رو فعال کنن خدا میدونه؟!!!!!!!!!!!!!