معضلی به نام فیشینگ در شبکه پرداخت ایران

کلاهبرداری فیشینگ در طول سال‌های اخیر افزایش بسیار زیادی داشته تا جایی که آمارها نشان از وضعیت نگران‌کننده دارد و این دسته از حملات به معضلی بزرگ برای شبکه پرداخت ایران تبدیل شده است.

به گزارش ارزدیجیتال و به نقل از خبرنگار ایبِنا، فیشینگ (Phishing) روشی برای نفوذ به اطلاعات افراد و سرقت دارایی‌های الکترونیک آن‌ها توسط کلاهبرداران است. متداول‌ترین روش‌های فیشینگ در حال حاضر ارسال ایمیل‌های فریبنده، فیشینگ تلفنی، درگاه تقلبی مشابه دروازه پرداخت بانک‌ها، دستگاه‌های کارت‌خوان و خودپرداز تقلبی و ربات‌های تلگرامی ویژه فیشینگ است.

آمار دقیقی از تعداد پرونده‌های فیشینگ و کلاهبرداری اینترنتی در دسترس نیست، اما متأسفانه تعداد آن‌ها هرروز بیشتر می‌شود و طبق اعلام کارشناسان به مرز هشدار رسیده است. ازاین‌رو با توجه به‌ ضرورت این موضوع و باهدف بررسی ابعاد آن و ارائه راهکارهای عملی به‌منظور کاهش حجم جرائم در این بخش باشگاه دیجیتال ایبِنا میزگرد “فیشینگ و نقش متقابل مشتری، بانک و رگولاتوری” با حضور آیت، مدیر کنترل و ارزیابی امنیت اطلاعات شرکت خدمات انفورماتیک، حسین پور طاهری کارشناس امنیت بانک ملی، مستأجری معاونت سیاست‌گذاری اداره کل امنیت بانک ملت، مرتضی سرلک، مدیر امنیت شرکت داتین و عماد ایرانی، مدیر فنی شرکت فاش برگزار کرد.

عماد ایرانی: فیشینگ معضلی است که در تمام دنیا رواج دارد و هنوز هیچ کشوری نتوانسته آن را به صفر برساند؛ با توجه به این‌که شرکت خدمات انفورماتیک نگاه فرا بانکی دارد؛ وضعیت فیشینگ در کشور را چگونه ارزیابی می‌کنید و آیا در حال حاضر فیشینگ در کشور به سطحی رسیده که نگران‌کننده باشد و یا همانند سایر کشورها در سطح استاندارد صنعت بانکی قرار دارد؟

آیت: آمار رسمی در این بخش وجود ندارد و شرکت خدمات انفورماتیک به دلیل این‌که تنها زیرساخت بین‌بانکی را فراهم می‌کند به آمار این مهم دسترسی ندارد. زمانی که فیشینگ رخ می‌دهد به‌طورمعمول مردم به بانک‌های صادرکننده مراجعه و تقاضای مسدودی کارت می‌کنند. البته پرونده‌هایی که سمت پلیس فتا برای معضل فیشینگ شکل‌گرفته که مرجع خوبی برای به دست آوردن حجم فیشینگ در کشور است. پرتال تعاملی کاشف نیز اخیراً برای شناسایی و فیلتر سایت‌های فیشینگ و رسیدگی به پرونده‌ها در این حوزه در زمان کمتر به نسبت گذشته راه‌اندازی شده است. برای بررسی وضعیت فیشینگ در کشور باید گفت فیشینگ در ایران با راهکارهای ساده انجام می‌شود ولی حجم پرونده‌ها در این بخش روبه افزایش است.

ایرانی: منظور از پیچیده نبودن این است که از Attack و سیستم‌ها برای فیشینگ در کشور استفاده نمی‌شود؟

آیت: به‌منظور مقایسه فیشینگ در ایران با کشورهای دیگر باید گفت؛ در سایر کشورها این مهم با یک ایمیل شروع می‌شود که در آن‌ یک لینک یا فایل پیوست وجود دارد که درصورتی‌که لینک باز شود افراد با ورود به یک سایت با بهره‌گیری از افزون‌هایی که در مرورگر سیستم وجود دارد؛ سوءاستفاده و سیستم فرد را آلوده می‌کند و هنگامی‌که فرد برای پرداخت وجوه به‌صورت اینترنتی وارد سایت یک بانک می‌شود، اطلاعات حساس کارت وی سرقت و حساب شخص را از این طریق مورد دستبرد قرار می‌دهند. در ایران روش کار بسیار ساده است و فیشینگ از طریق یک سایت جعلی، ارسال ایمیل‌ها و پیامک‌های جعلی صورت می‌گیرد و کاربر به‌وسیله این ابزارها مجاب می‌شود که سایتی که به آن واردشده واقعی است.

ایرانی: با توجه به این‌که بر اساس آمار بانکی ملی بیشترین میزان کارت صادرشده در کشور را دارد و به‌ تبع باید حجم مشکلات در این بخش بیشتر باشد؛ تا چه میزان بانک ملی موضوع فیشینگ را جدی گرفته و چه اقداماتی انجام داده است؟

پور طاهر: با توجه به این‌که آمار فیشینگ در ایران نگران‌کننده است؛ اما روش‌های اجرای آن ابتدایی و تنها با فریب کاربر با یک پیشنهاد جذاب رخ می‌دهد. تعداد کارت‌های صادرشده از سمت بانک ملی بیشتر از سایر بانک‌ها است و به‌طوری فیشینگ برای بانک دغدغه بوده است. مسئله اساسی این است که راهکار واحدی برای مقابله با فیشینگ از سمت صادرکننده کارت وجود ندارد. همچنین فیشینگ فرآیندی است که مشتری بیشترین نقش را در آن بازی می‌کند. ازاین‌رو شاید نشود خیلی به بانک‌ها و رگولاتور در این بخش خرده گرفت؛ زیرا کماکان مشتری هدف فیشینگ قرار می‌گیرد البته این موضوع نافع مسئولیت بانک‌ها و رگولاتور در این بخش نیست. برفرض مثال فون فیشینگ یکی از روش‌ها در این بخش است که نمونه مشخص آن فردی است که تنها با تلفن عمومی از داخل زندان میلیون‌ها تومان کلاه‌برداری کرد.

ایرانی: بانک ملت همواره در صنعت بانکی آموزش‌های متعددی به مشتریان خود ارائه داده است و من می‌خواهم بدانم این بانک تاکنون ریسک بهره‌گیری از رمز دوم در پرداخت‌های غیرحضوری را به مشتریان خود منتقل کرده است و فعالیت بانک ملت برای کاهش فیشینگ به چه صورت بوده است.

مستأجری: بانک ملت در اوایل دهه ۹۰ درگیر داستان فیشینگ بود و آن زمان هنوز وضعیت درگاه‌های پرداخت همانند امروز پررنگ نشده بود؛ این بانک به دلیل سهم بالا از خدمات غیرحضوری به‌شدت درگیر موضوع فیشینگ بود. بانک ملت از سال ۹۲ کمپینی که شامل اقدامات فنی و اجرایی و همچنین آگاهی‌رسانی بود در این بخش راه‌اندازی کرد و بانک ملت در بانکداری الکترونیکی اولین بانکی بود که از OTP روی حواله‌های بانک ملت استفاده کرد.

در گام اول استفاده از OTP برای سقف بالای یک‌میلیون تومان اجباری و در گام دوم این مهم برای تمام مبالغ اجباری شد. البته حرکت‌های واحد در شبکه بانکی و پرداخت اثرگذارتر خواهد بود؛ چون اقداماتی که در هر بانکی به‌صورت مجزا انجام می‌شود منجر به ایجاد دغدغه‌های بیزنسی می‌شود. بانک ملت به‌منظور کاهش فیشینگ با توجه به این امر از خطای کاربری نشات می‌گیرد خود را مقید می‌دانست تا جایی که امکان دارد کاربر را محدود کند تا از ریل خارج نشده و دچار خطا نشود. افزون بر این بانک ملت در بحث آگاهی بخشی نیز با آموزش‌های بیلبوردی و پوستر تمام تلاش خود در این بخش را انجام داده است.

من عقیده دارم روش‌های متکی به یک بانک و سازمان برای مدیریت فیشینگ در کشور جوابگو نیست و اقدام رگولاتور در بهره‌گیری از رمزهای پویا در کارت‌های بانکی راهکار مناسبی است؛ ولی تا زمانی که همه ملزم به استفاده از آن نشوند مؤثر واقع نمی‌شود. به اعتقاد من مردم ایران ظرفیت پذیرش این موضوع را دارند شاید در ابتدا منجر به ریزش مشتری شود و اما در بلندمدت به دلیل افزایش امنیت از آن استقبال می‌شود. همچنین به دلیل تقویت زیرساخت‌ها با الزامات امنیتی مثل OTP کار مشتری سخت نمی‌شود و باید در این روند سهولت انجام کار برای مشتریان بانکی تحت تأثیر قرار نگیرد. البته با به‌کارگیری از هر روشی هکرها به راهکارهای جدیدی برای فیشینگ دست می‌یابند و این موضوع پایانی ندارد و تنها از یک مدل به مدل دیگر تغییر رویه می‌دهد. بانک‌ها و شرکت‌های حوزه پیمنت باید بتوانند در این شرایط در سریع‌ترین زمان ممکن راهکارهای جایگزین سریع را برای مقابله با شیوه‌های جدید فیشینگ ارائه دهند.

ایرانی: داتین یک تولیدکننده در حوزه نرم‌افزارهای بانکی و پرداخت است به نظر شما در حوزه صادرکنندگی کارت فناوری می‌تواند در شناسایی و کنترل فیشینگ مؤثر باشد و در کل موضوع فیشینگ باید در سطح پرداخت یا صادرکننده کارت مدیریت شود؟

سرلک: بخش عمده فیشینگ به مشتری برمی‌گردد، البته یکسری از اقدامات به‌صورت فنی برای احراز هویت می‌تواند از سمت صادرکننده کارت انجام شود؛ اما به‌طورقطع پاسخگو نخواهد بود. شواهد موجود بیانگر این است که تیپ آدم‌هایی که هدف فیشینگ قرارگرفته‌اند از چند سال گذشته تاکنون تغییری نکرده است که نشانگر این است که حرکت مؤثری در این بخش صورت نگرفته است. قشر تحصیل‌کرده جامعه در بخش فناوری هم دچار فیشینگ شده‌اند که این امر به دلیل نبود آموزش و آگاهی‌دهی در این حوزه است که باید با فرهنگ سازی آن را در سطح کشور رواج داد. روش‌های فیشینگ در کشور بسیار ابتدایی؛ ولی حجم پرونده در حال افزایش است که می‌توان این امر را از طریق آموزش و آگاهی دهی کاهش داد. این آموزش باید در سطح مدرسه و عموم مردم باشد و از سوی صادرکننده کارت و توسعه‌دهنده سیستم‌ها انجام شود.

ایرانی: شرکت‌های پرداخت می‌توانند با شناسایی و طبقه‌بندی مشتریان سطوح امنیتی برای آن‌ها در نظر بگیرند؟

سرلک: شرکت‌های پرداخت می‌توانند محدودیت‌های زیادی را برای افزایش امنیت ایجاد کنند و با طبقه‌بندی بخشی از کاربران را قبل از انجام هر تراکنش احراز هویت کنند؛ اما این روند منجر به‌کندی و نارضایتی کاربران می‌شود. حدود ۷۰ الی ۸۰ درصد کنترل فیشینگ باید با آموزش و آگاهی حل شود و به عقیده من تنها ۱۵ الی ۲۰ درصد پرونده‌های حملات فیشینگ با اجبار مشتری به انجام یکسری الزامات خاص که با نارضایتی همراه است، کنترل می‌شود.

ایرانی: بانک‌ها می‌توانند با بهره‌گیری از فناوری و تحلیل رفتار مشتری با محدود کردن بخش‌هایی که کاربر به سراغ آن نرفته به کنترل فیشینگ کمک کنند و یا به عبارتی فیشینگ با ابزاری مثل OTP یا ۳D Secure قابل‌کنترل است؟

آیت: طیف راهکارهای که برای کنترل فیشینگ ارائه می‌شود از بررسی حملات، ارائه آموزش و پیاده‌سازی الزامات امنیتی در درگاه‌های پرداخت متفاوت است. در کشورهای دیگر برای کنترل این معضل تمرکز بیشتر به سمت شناسایی حملات و شناسایی صفحات جعلی در کوتاه‌ترین زمان ممکن است.

به عنوان نمونه گوگل سرویسی با عنوان مرور امن (Safe Browsing) ارائه داده است که صفحات جعلی از طریق این سرویس شناسایی و محدود می‌شود و بر اساس اعلام گوگل بالای ۸۰ درصد صفحات جعلی که از طریق جستجو در گوگل، کاربر به آن هدایت می‌شود از این طریق شناسایی و محدود می‌شود. ازاین‌رو باید یک نگاه همه‌جانبه به این موضوع داشت و تنها فعالیت‌ها به آموزش و یا رعایت ملاحظات امنیتی از سوی مشتریان بانکی محدود نشود. در کشور فعالیت‌های جدی بر روی شناسایی سایت‌های جعلی، تجهیز درگاه‌های بانکی به قابلیت شناسایی رفتار کاربر، شناسایی حملات و همچنین به اشتراک گذاشتن داده‌های مختص به حملات و سایت‌های جعلی انجام‌ نشده است.

برخی از حملات فیشینگ به قدری پیچیده‌اند که تکیه بر آموزش کاربر به عنوان تنها راه‌کار راه‌گشا نیست، به عنوان نمونه اخیراً روش فیشینگی با استفاده از قابلیت‌های مرورگر در اندروید ارائه شده است که آدرسی که مرورگر به کاربر نشان می‌داد با آدرس سایتی که کاربر به آن وارد می‌شد، متفاوت بود. بدین معنا یک‌ صفحه‌ای در وب طراحی‌شده بود که به کاربر یک لینک دیگر نشان داده می‌شد؛ درصورتی‌که پس‌زمینه آن سایت جعلی بود، بنابراین موارد این‌چنینی با آموزش قابل‌شناسایی نخواهند بود.

افزون بر این در خصوص شناسایی سایت‌های جعلی که دامنه‌ی آن‌ها شباهت زیادی به دامنه‌ی بانک مرکزی و شاپرک دارد؛ کاربر تا کجا از طریق آموزش می‌تواند این سایت‌ها را شناسایی کند. مجموعه‌ای از عوامل در کنار یکدیگر برای کنترل فیشینگ باید مدنظر قرار گیرد. ابلاغ الزامات رمزهای پویا توسط بانک مرکزی یکی از رویکردهای مناسب مدیریت حمله‌ی فیشینگ است، درست است که OTP به‌صورت کامل نمی‌تواند فیشینگ را به دلیل موارد مربوط به حمله‌ی مرد میانی کنترل کند؛ اما این الزام منجر به کاهش چشمگیر سوءاستفاده‌ها در این بخش خواهد شد زیرا حملات را به ۶۰ ثانیه و تنها یک‌بار محدود می‌کند.

بحث ۳D Secure هم در ایران به نوعی اجرایی شده است در ۳D Secure یک زنجیره‌ی اعتمادی بین کاربر، فروشنده و بانک برقرار می‌شود که به واسطه‌ی این پروتکل اطلاعات کارت از سایت فروشنده عبور نمی‌کند، همچنین بانک از جزئیات خرید کاربر مطلع نمی‌شود و بنابراین حریم شخصی کاربر در این خصوص حفظ می‌شود. در ایران به جای بانک PSP نشسته است و از این جهت اطلاعات کارت ابتدا از PSP عبور می‌کند بعد توسط بانک صادر کننده این اطلاعات احراز می‌شود، در موضوع فیشینگ نیز برای کاربر سهل‌تر است که به‌جای شناخت ۳۵ آدرس درگاه پرداخت مرتبط به بانک‌ها ۱۲ درگاه پرداخت الکترونیکی مرتبط به PSP ها که تماما زیر دامنه شاپرک هستند را در خاطر داشته باشد.

ایرانی: مشکل کار در کنترل فیشینگ به نظر شما در کدام بخش قرار دارد که با حجم بالایی از فیشینگ در کشور مواجه هستیم؟

پور طاهری: تمام موارد مذکور در کنترل فیشینگ مؤثر است؛ اما مشکل این است که هنوز کاری در این حوزه انجام‌نشده است و اگر راهکار برای امن سازی در مقابل فیشینگ را بخواهیم طبقه‌بندی کنیم، یکی بخش امن سازی تکنولوژیکی و بخش دیگر امن سازی فرآیندی است. در بخش تکنولوژی خیلی ابزار و راهکار در دنیا مورد بهره‌برداری قرارگرفته است که بعضی از آن‌ها هم به سطح بلوغ رسیده است. برفرض مثال اگر هر بانک و شرکت‌های PSP تمام دامین های مشابه خود را چک و شناسایی کند بسیاری از سایت‌های جعلی به‌راحتی شناسایی می‌شوند و اگر این کار از سوی بانک مرکزی و شاپرک به‌عنوان رگولاتور با پیاده‌سازی ابزاری برای شناسایی دامین های مشابه بانک‌ها و شرکت‌های PSP به‌صورت شبانه‌روزی انجام شود و این دامین های مشابه در سطح گسترده در کشور اطلاع‌رسانی شوند از بروز بسیاری از فیشینگ ها جلوگیری می‌شود. مشکل در این است که در کشور هم در شناسایی موارد فیشینگ و هم بعد از وقوع فیشینگ در قبال شناسایی و عکس‌العمل به آن ضعیف هستیم. افزون بر این، راهکارهای نصب اپلیکیشنی هم وجود دارد؛ زیرا بسیاری از آنتی‌ویروس‌ها safe browsing دارند که در صورت انجام پرداخت بانکی با آن browser که آنتی‌ویروس برای شخص فراهم کرده این پروسه با امنیت انجام می‌شود.

یک بحث هم مختص به امن سازی فرایندی است که راهکار آن خیلی ساده است. خیلی افراد هنگامی که می خواهند شماره کارت خود را برای شخصی ارسال کنند، یک عکس از کارت بانکی انداخته و این تصویر را برای دیگران می فرستند که از این مسیر ۸۰ درصد اطلاعات کارت بانکی در اختیار دیگران قرار می گیرد و یکی از راهکارهای ساده چاپ CVV2 در پشت کارت‌بانکی است می توان با آن از انتقال این حجم از اطلاعات جلوگیری کرد. یک مثلث افراد تعریف‌شده که شامل انگیزه، توجیه و دسترسی می‌شود که دو ضلع اول خیلی قابل کنترل نیست؛ ولی دسترسی به اطلاعات کارت بانکی را می شود با راهکارهای ساده کنترل و از وقوع فراد جلوگیری کرد. یکی از راهکارهای خوبی که در اپلیکیشن بله اجرایی شده این است که واریز وجوه برای افراد مختلف تنها از طریق کانتکت آن‌ها و بدون دسترسی به اطلاعات کارت‌بانکی انجام می‌شود و این امر هم یک راهکار ساده به‌منظور کنترل حجم فیشینگ است.

ایرانی: من یک گلدانی دارم و دوست دارم عکس این گلدان را به بانک بدهم تا زمانی که من پرداخت غیرحضوری را انجام می‌دهم شرکت پرداخت کدی را به شاپرک برگرداند و خود من در عملیات authorization شرکت و بعد از دیدن تصویر گلدان خود رمز کارتم را برای خرید غیرحضوری وارد کنم که این روند ۳D SECURE است. در شاپرک و شتاب این اتفاق پیش‌بینی‌نشده است؛ شما به‌عنوان صادرکننده کارت فارغ از این‌که شاپرک چنین قابلیتی ندارد آیا امکاناتی ازاین‌دست را در اختیار مشتری قرار داده‌اید یا برنامه‌ریزی در این خصوص انجام داده‌اید؟

مستأجری: برای کنترل حملات فیشینگ ضروری است که یک راهکار جامع دیده شود؛ زیرا توجه صرف به یکی از سه بعد اقدامات فنی، فرایندی یا آگاهی‌رسانی به مردم جوابگو نبوده و ما را به نتیجه مطلوب نمی‌رساند. باید مجموعه‌ای از تمام این موارد کنار هم تعریف شود تا حملات فیشینگ در شبکه پرداخت به حداقل برسد. بحث‌هایی در خصوص سامانه‌های کشف تقلب یا FRAUD DETECTION نیز مطرح شد که ماهیت آن صرفاً تکنیکال نیست و نیازمند اصلاح برخی فرآیندهاست. این موضوع در کشورهای دیگر نیز به عنوان یک تجربه موفق مطرح است.

به عنوان نمونه، تراکنش‌های با مبالغ بالا تائید نمی‌شود تا با صاحب کارت تماس گرفته شود و وی این تراکنش را تائید کند؛ البته چنین مواردی مستلزم تجهیز یکسری زیرساخت‌های نرم افزاری و سخت افزاری می‌باشد. حمله فیشینگ عموماً در بستر پذیرندگی رخ می‌دهد و این امر تنها محدود به وب سایت و مرورگر نمی‌شود؛ زیرا الآن بحث‌های بانکداری باز، فین تک‌ها و پرداخت‌های درون برنامه‌ای مطرح است که در این فضا URL وجود ندارد و صرفاً بحث وب در آن مطرح نیست و راهکارهایی مثل ۳D Secure ممکن است عملیاتی نباشد. ازاین‌رو نمی‌توان انتظار داشت که همه اقدامات مقابله با فیشینگ در سمت بانک‌ها به عنوان صادرکننده کارت صورت پذیرد. به عقیده من در این فرایند بانک‌ها آمادگی این را دارند که زیرساخت‌های فنی خود را بر اساس مدلی که رگولاتور تعریف می‌کند پیاده‌سازی کنند.

ایرانی: اگر از این به بعد بانک ملت رگولاتور باشد برای کنترل فیشینگ چه پیشنهادی دارید؟

مستأجری: رگولاتور با ابلاغ الزام به‌کارگیری رمز پویا راهکار خوبی را در حوزه ارتقا امنیت کارت در پیش‌گرفته است، قطعاً راهکارهای تک عاملی در احراز هویت، هرچند که قوی باشند باز قابلیت دور زدن دارد. الآن بحث رمز پویا یا OTP مطرح‌شده که باعث اطمینان نسبی از صحت انجام تراکنش توسط صاحب کارت می‌گردد. همچنین با توجه به این‌که مدت اعتبار رمز پویا تنها ۶۰ ثانیه در نظر گرفته‌شده، امکان سوءاستفاده و تقلب را به حداقل می‌رساند. البته عملیاتی شدن این موضوع نیز می‌بایست با دقت نظر زیاد و در هماهنگی کامل بین نقش آفرینان این حوزه صورت پذیرد. در بحث استفاده از راهکارهایی مانند ۳D SECURE، باید دغدغه کارایی سیستم‌ها و حجم باری سمت سرور و زیرساخت‌های ارتباطی نیز به عنوان یک پارامتر تأثیر گذار لحاظ گردد.

به اعتقاد من بر اساس ابلاغیه الزام استفاده از رمز پویا، ضروری است که تمامی نقشها و مسئولیت‌های بانک‌ها، پذیرندگان و سایر نقش آفرینان شفاف گردد. من معتقدم راهکارهایی مثل آگاهی رسانی و کنترل‌های اپلیکیشنی می‌تواند با مشارکت تمامی این نقش آفرینان و در یک مدل از پیش تعریف شده انجام گیرد.

ایرانی: یک مثلث در خصوص افراد مطرح شد که شامل انگیزه، توجیه و دسترسی است حال باید پرسید افرادی که فیشینگ انجام می‌دهند چگونه این مبالغ را نقد می‌کنند و همچنین با توجه به این‌که گفته می‌شود؛ شرکت‌های PSP در این روند خیلی درگیر نشده چه‌کاری می‌تواند در این بخش انجام شو؟

سرلک: در مورد نقد کردن راهکارهای زیادی وجود دارد که طرح آن برای پول‌شویی در حال حاضر اجرایی می‌شود و نیاز هم به تخصص‌های ویژه ندارد زیرا بسیاری از مجرم‌های ما در مقوله فیشینگ زیر ۱۵ سال هستند. یک راهکار این است که خدماتی با این وجوه خریداری شود که فیزیکی نیستند؛ البته نقد شوندگی بالایی ندارند و یکی از راهکارهای متداول خرید شارژ سیم‌کارت‌های اعتبار و کارت به کارت‌های متعدد برای گم کردن رد این وجوه است؛ البته درصد بالایی از این موارد قابل‌پیگیری است اما کار با این ترفندها خیلی پیچیده می‌شود. البته اگر در این روند وجوه به سمت بیت کوین و ارزهای دیجیتال بروند دیگر قابل‌ردیابی نیست.

ایرانی: علت اعتراض بانک مرکزی به تبادلات اینترنتی در خصوص ارزهای دیجیتال نیز همین موضوع بود؛ زیرا خرید پول با پول برای اقتصاد کشور خطرناک است.

سرلک: در این روند ما به‌نقد کش هم رسیده‌ایم که فرد فیشینگ کننده این پول را به یک کارت جعلی انتقال داده و به‌وسیله این کارت کالاهای مثل طلا خریداری‌شده است؛ یعنی با ابزاری مثل اسکیمر یک کارت را جعل و وجوهی را به آن واریز کرده‌اند و باکارت جعلی خرید انجام داده‌اند.

ایرانی: نقدپذیری وجوهی که از طریق فیشینگ از مردم به سرقت می‌رود را می‌توان با تسویه ۴۸ ساعته پرداخت‌های غیرحضوری کنترل کرد.

مستأجری: نقد شوندگی وجوه حاصل از حملات فیشینگ به دلیل محدودیت‌های ارتباطی شبکه پرداخت کشور با سیستم‌های پرداخت بین‌المللی کمی سخت است. البته اغلب حملات فیشینگ هم در کسب و کارهایی صورت می‌گیرد که فاقد مشروعیت قانونی هستند، به همین دلیل افرادی که اطلاعات کارت خود را در چنین شرایطی وارد می‌کنند، اگر هم از این مسیر مشکلی برایشان رخ بدهد به دلیل عدم مشروعیت فعالیت کمتر به دنبال شکایت کردن می‌روند.

ایرانی: بین صادرکننده کارت، رگولاتور و شرکت‌های پرداخت در بحث فیشینگ کدام‌یک بیشتری کم‌کاری کرده‌اند؟

سرلک: به عقیده من شرکت‌های پرداخت چون هیچ‌وقت این موضوع برای آن‌ها دغدغه نبوده است. بحث امنیت جزو آن دسته از مباحث است که تا به آن مبتلا نشوند برای آن هزینه نمی‌کنند و به همین دلیل مشخص شرکت‌های PSP در این موضوع خود را کمتر درگیر کرده‌اند.

مستأجری: به عقیده من خود شاپرک در این بخش ایفای نقش بیشتری می‌تواند ایفا کند.

ایرانی: آیا شاپرک و شرکت‌های PSP مسئول بوده‌اند و در این حوزه کاری نکرده‌اند؟

سرلک: این پرسش جواب مشخصی ندارد. در سیکلی که با آن مواجه هستیم هر یک از بازیگران کارهای انجام داده‌اند؛ اما شرکت‌های PSP به دلیل این‌که این موضوع کمتر دغدغه آن‌ها بوده سهم کمتری را تقبل کرده‌اند.

ایرانی: در خارج از کشور افراد بدون دغدغه‌های امنیتی پرداخت‌های غیرحضوری خود را انجام می‌دهند حال سؤال این است که در این کشورها چه‌کارهایی از سوی بازیگران انجام‌شده که این اطمینان حاصل‌شده است؟

آیت: عکس گلدانی که شما اشاره فرمودید که به عنوان یک راز بین بانک و کاربر به اشتراک گذاشته می‌شود و موقع انجام تراکنش با نمایش این راز به کاربر، او مطمئن می‌شود، که درگاه جعلی نیست، این گلدان معادل همان کلید رمزنگاری تولید OTP است که بانک مرکزی و رگولاتور با ابلاغ الزمات رمزهای پویا به این سمت حرکت کرده‌اند، که البته این موضوع با بحث ۳D SECURE متفاوت است.

دوستان اتفاق‌نظر دارند تمام مشکلات سمت قانون‌گذار است؛ اما قانون‌گذار نمی‌تواند بدون توجه به محدودیت‌های موجود در سمت بانک‌ها و شرکت‌های پرداخت الزامات مرتبط را ابلاغ کند و از طرفی درنظر گرفتن این محدودیت‌ها و متناسب‌سازی الزامات منجر به ریسک‌های جدی‌تری نشود؛ به عنوان نمونه الزامات اولیه‌ی رمزهای پویا باآنکه سخت‌گیرانه هم نبود، در تعامل صورت پذیرفته با بانک‌ها مشخص شد اغلب بانک‌ها به صورت کامل و امن نمی‌تواند آن را پیاده‌سازی کنند، برخی از از بانک‌ها به درستی اشاره کردند secure element در سمت موبایل برای ذخیره کلید تولید OTP در دسترس نیست، و یکسری از بانک‌ها به دلیل این‌که بسیاری از مردم از گوش‌های هوشمند برخوردار نیستند به سمت استفاده از راهکار پیامک و USSD رفتند؛ کانال‌هایی که به دلیل ریسک‌های جدی امنیتی بانک مرکزی سال‌ها است به دنبال محدود کردن انجام تراکنش از طریق این کانال ها است، از طرفی هزینه این کانال‌ها بالا بوده و تفاوت SLA بانکی و اپراتور باعث کاهش سطح SLA تراکنش‌های بانکی خواهد شد، ولی مجدداً به دلیل محدودیت‌ها سرویس OTP باز به بستر ناامن کدهای دستوری باز خواهد گشت. موارد فوق‌الذکر بیان‌گر این موضوع است که قانون‌گذار به سهولت نمی‌تواند به بانک‌ها ابلاغ کند، مثلاً کشف تقلب را پیاده‌سازی کنید؛ زیرا این مهم نیازمند یکسری زیرساخت و پیش‌نیاز است و نهاد ناظر در این بخش بیشتر در حال درک محدودیت بانک‌ها و PSP ها است.

ایرانی: بانک‌ها و یا PSP ها کدام بیشتر مقصر هستند و کمتر الزامات رگولاتور را اجرایی کرده‌اند؟

آیت: من نماینده شرکت خدمات انفورماتیک هستم و تنها از دیدگاه بانک مرکزی صحبت کردم، نمی‌توان انتظار داشت که مدیریت یک تهدید پیچیده نظیر فیشینگ که مطابق آمار جهانی در سال گذشته رشد داشته است در کشور تنها از طریق نهاد قانون‌گذار و با ابلاغ الزامات انجام شود، همچنین پیاده‌سازی الزامات توسط بانک‌ها در مقوله‌ی فیشینگ به صورت مقطعی مؤثر است، اما در این مقوله با توجه به تنوع و پیچیدگی‌های موجود، این حمله متناسب با الزامات دچار دگردیسی شده و حمله‌ی فیشینگ از یک نوع به نوعی دیگر جهت بی اثر ساختن الزامات تغییر می‌کند، بنابراین استفاده از ترکیبی از راه‌کارها با توجه به مثلث راه‌کارها (آموزش، شناسایی تهدید و مقاوم‌سازی درگاه‌ها و برنامه‌های کاربردی پرداخت) و تعادل برقرار کردن بین آن‌ها اثربخش‌ترین رویکرد است، همچنین راه‌حلی که در کشور مغفول مانده است، تمرکز بر شناسایی تهدید یعنی شناسایی سایت‌ها و App های جعلی است. در این خصوص باید نهادهای دیگر که ابزار لازم جهت پایش و نظارت بر فضای مجازی را دارند در این موضوع ورود کنند، و این رویکرد تنها در توان قانون‌گذار و شبکه‌ی پرداخت نیست.

مستأجری: البته به‌واسطه محدودیت‌های ایجاد شده ناشی از تحریم‌ها، بانک‌ها هم با چالش‌هایی در خصوص امکان بهره‌گیری از قابلیت‌های امنیتی تلفن‌های همراه و همچنین ارائه نرم افزارهای تولید رمز پویا روبرو شده‌اند. مثلاً در حال حاضر در دنیا از المان‌های امنیتی در تلفن‌های همراه نسل جدید برای ارتقا خدمات پرداخت استفاده می‌گردد؛ که متأسفانه برخی از این امکانات در ایران به دلایل تحریم قابل بهره‌برداری نیست.

آیت: یک موردی که دوستان اشاره کردند؛ این بود که احراز هویت سمت پذیرنده اتفاق بیفتد که این مسئله با الزامات کل دنیا متفاوت است در دستورالعمل PSD2 الزام شده که احراز هویت سمت صادرکننده کارت باشد.

ایرانی: خوب نیست که پذیرنده به حوزه شناخت مشتری وارد شود.

آیت: همچنین اگر بخواهم پاسخ این پرسش را بدهیم که چرا در خارج از کشور افراد خیلی راحت بدون دغدغه‌های امنیتی در سایت‌های مختلف اطلاعات کارت‌بانکی خود را وارد می‌کنند؛ باید بگویم مطابق با آمار موجود در سایر کشورها آمار فیشینگ همچنان روبه رشد است، اما در کنار دلایلی نظیر تفاوت در سیستم‌های پرداخت کشورهای دیگر با ایران که تسویه با فاصله‌ی زمانی صورت می‌پذیرد و در این صورت امکان کنترل‌های بیشتر و جبران خسارت در صورت شناسایی تراکنش تقلبی وجود دارد و همچنین بیمه، نظارتی است که در آن کشورها از طریق الزمات سخت‌گیرانه‌ای نظیر PCI و و PSD2 انجام می‌شود، به عنوان نمونه در صورت عبور، پردازش و ذخیره‌ی اطلاعات کارت توسط هر عاملی، الزامات PCI لازم‌الاجرا شده و در صورت تخطی جریمه‌های سنگین پرداخت می‌شود در ایران در بحث‌های PCI و نظارت‌ها اقدامات کافی به نظر نمی‌رسند، به عنوان مثال من هنگامی‌که سراغ یکی از اپلیکیشن های حوزه پرداخت می‌روم مشاهده می‌کنم تاریخ انقضاء کارت من را درگذشته ذخیره کرده و تمام کارت‌های که در این اپ ها درگذشته استفاده کرده‌ام در هر پرداخت نشان داده می‌شود و باید دید با چه مجوزی اطلاعات کارت‌های کاربران از طریق برخی اپلیکیشن های پرداخت ذخیره می‌شود.

ایرانی: البته اطلاعات کارت کاربران اپ های پرداخت از پیوند گرفته می شود و در اپلیکیشن‌های پرداخت نمایش داده می‌شود.

آیت: سامانه‌ی پیوند مختص به تراکنش‌هایی که از کانال USSD انجام می‌پذیرفت بود و از طرفی ذخیره‌ی Exp Date در برنامه‌های موبایل ویا درگاه‌های پرداخت که از طریق سامانه پیوند قابل استعلام نیست، موارد ذکر شده بیانگر این نکته است که ممیزی‌ها در ایران جدی گرفته نمی‌شود؛ از اولین الزامات PCI، محافظت از اطلاعات کارت است، بحث بعدی این است که در کشور سامانه‌های کشف تقلب متناسب با درگاه‌های پرداخت نداریم، سامانه‌های کشف تقلب می‌توانند بر اساس پروفایل رفتاری کاربر (به عنوان نمونه مکان و زمان انجام تراکنش و یا دستگاهی که کاربر عموماً در زمان انجام تراکنش استفاده می‌کند)، کاربر واقعی را از جعلی تشخیص داده و جلوی انجام تراکنش‌های جعلی را بگیرد. در بسیاری از سایت‌ها رفتار افراد بر اساس script و کوکی‌هایی که در آن سایت وجود دارد رهگیری شده و بر اساس رفتار شناسایی شده به او پیشنهادهای متناسب تبلیغاتی ارائه می‌شود، یک بازار میلیارد دلاری هم بر این اساس شکل‌گرفته است. در درگاه‌های پرداخت می‌توان با استفاده از این Script ها و Cookie ها ابتدا ویژگی‌های رفتاری کاربر را استخراج کرد و در زمان انجام تراکنش در صورت مغایرت این ویژگی‌ها از جلوی انجام تراکنش جعلی را گرفت. درصورتی‌که در کشور از این قابلیت برای شناسایی رفتار مشتری در صفحات پرداخت اینترنتی استفاده نمی‌شود و این مهم به زیرساخت پیچیده‌ای هم نیاز ندارد. می‌توان گفت در برخی فضاها در کشور به دنبال یک راهکار کامل بوده‌ایم ازاین‌رو به سراغ راهکارهای ساده که تأثیرات بزرگ دارند، حرکت نکرده‌ایم.

ایرانی: چه راهی را در پیش بگیریم که از وضعیت فعلی یک مرحله به سمت کاهش فیشینگ حرکت کنیم؟

پور طاهری: اگر من صحبت خود را با OTP آغاز کنم به‌هرحال این راهکار یک مرحله شرایط را بهتر می‌کند؛ البته معایبی هم دارد که یکی از مهم‌ترین آن‌ها بحث سخت کردن کار است. اپلیکیشن شصت کامل‌ترین نوع اپلیکیشن در حوزه تولید رمز پویا است؛ زیرا آفلاین و از سکوریتی بالایی برخوردار است. بحث من این است که موارد این‌چنینی در کشور ترند می‌شود و وقتی OTP اجرایی بشود اگر ارسال آن از طریق پیامک یا ابزار USSD باشد به دلیل این که از امنیت کافی برخوردار نیستند؛ یک‌دفعه با کاهش فیشینگ مواجه خواهیم شد اما هکرها در این شرایط به دنبال راهکارهای دیگری برای فیشینگ و شکستن این سد هستند و به عقیده من این راهکارها کوتاه‌مدت هستند. بحث بعدی این‌که نظام بانکی و پرداخت کشور به دلیل این‌که در شرایط تحریم قرار دارد به شبکه بین‌المللی وصل نیست و زمانی که این اتصال صورت بگیرد تازه مشخص خواهد شد که صنعت پرداخت ایران به چه میزان ایمن است. یک کار ساده‌ای که رگولاتور برای کاهش فیشینگ می‌تواند انجام دهد این است که تسویه آنی را بردارد و اگر قرار است پرداخت غیرحضوری انجام شود تسویه آن ۲۴ یا ۴۸ ساعته انجام شود و این مهم به‌صورت قانون مصوب شود.

ایرانی: می‌توان زمان تسویه به نسبت بزرگی و اعتبار پذیرندگان درگاه‌های پرداخت اینترنتی از ۲۴ تا ۷۲ ساعت متغیر باشد.

پور طاهری: این موارد راهکارهای ساده‌ای است که اگر اجرایی شود منجر به کاهش حجم گسترده‌ای از میزان فیشینگ در کشور می‌شود. اتومیشین در پرداخت نیز از کارهای ساده دیگری است که اگر فراگیر شود فیشینگ در کشور را کاهش می‌دهد.

ایرانی: اتومیشین در پرداخت بدین معنا است که اگر فردی مشتری ایرانسل است با درخواست از این شرکت تقاضا می‌کند برای مبالغ زیر ۵ هزار تومان سیم‌کارت وی به‌صورت مستقیم از حساب بانکی وی شارژ شود و از صادرکننده کارت خود نیز می‌خواهد که اجازه این کار را برای وی صادر کند و با این روند تمام فیشینگ ها و فرادهایی که در این سال‌ها از این مسیر رخ‌داده از بین می‌رود.

مستأجری: من هنوز معتقد هستم که این قبیل اقدامات باید به‌صورت همزمان و یکپارچه از سوی تمامی نقش‌آفرینان شبکه پرداخت کشور پیاده‌سازی و اجرا گردد. با این حال استفاده از رمز پویا به رغم تمامی چالش‌های مطرح شده، می‌تواند در شرایط کنونی راهکاری مناسب جهت ارتقا امنیت تراکنش‌های پرداخت در سطح کشور تلقی شود.

سرلک: به عقیده من ۵۰ درصد حجم مسائل مربوط به فیشینگ در کشور با اصلاح فرآیند و آموزش کاهش می‌یابد که در بخش فرآیندی رگولاتور در آن نقش اساسی دارد. البته از وقتی‌که بحث بهره‌گیری از OTP در صنعت بانکی و پرداخت شروع‌شده میزان فیشیبنگ هم در کشور بالا رفته است به دلیل این‌که دوره گذر این موضوع خیلی زیاد شده است؛ بدین معنا که از زمان ابلاغ تا اجرایی شدن کامل بهره‌گیری از OTP در کشور زمان زیادی گذشته و این طولانی شدن خود منجر به افزایش انگیزه و ازدیاد فیشینگ در کشور شده است؛ ازاین‌رو زودتر باید این موضوع به‌صورت کامل اجرایی شود.

مستأجری: قطعاً در شرایط کنونی و با این حجم از تراکنش‌ها، ضروری است که به موازات عملیاتی نمودن راهکار رمز پویا، تجهیز زیرساخت‌های موردنیاز هم در شبکه بانکی و هم در سطح اپراتورها بیش از پیش مدنظر قرار گیرد.

آیت: در بحث فیشینگ موضوع این است شناخت کاملی از ابعاد آن در کشور وجود ندارد؛ ازاین‌رو ابعاد این قضیه باید بررسی شود و بر اساس آن گام‌ها در این مسیر معین شود که بعد از اجرای OTP، اقدام بعدی باید در خصوص شناسایی سایت‌ها و برنامه‌های موبایل جعلی، استفاده از سیستم‌های کشف تقلب و آموزش مستمر کاربران باشد. بازهم تأکید می‌کنم با صرف قانون‌گذاری و یا ابلاغ الزامات و همچنین نبود اجماع بین کلیه‌ی نهادهای متولی مهار فیشینگ به سهولت امکان‌پذیر نیست.