چه کسی بر امنیت اپلیکیشنهای پرداختی نظارت میکند؟ / اهمیت نقش منابع معتبر در دانلود اپهای مالی
با گسترش اینترنت و افزایش تمایل مردم به استفاده از خدمات غیرحضوری مالی، رغبت کلاهبرداران به ساخت اپهای جعلی یا بدافزارهای پرداختی و بانکی افزایش یافت و به تبع آمار قربانیان این اپلیکیشنها زیاد شد. رئیس پلیس فتا تهران بارها دراینخصوص هشدار داده و اعلام کرده که شهروندان حتماً باید نرمافزارهای خود را از منابع معتبر دریافت کنند. اما منابع معتبر به چه معناست و چه کسی بر امنیت اپلیکیشنهای پرداختی نظارت دارد؟ آیا این نظارت برعهده کاشف است یا اصلا نظارتی وجود ندارد؟ سیاستهای کلان تا چه اندازه در چند سال گذشته روی امنیت این فضا نقش داشتهاند؟ پلتفرمهای انتشار اپلیکیشن تا چه اندازه مانع انتشار بدافزارها و اپهای جعلی مالی شدهاند؟
پویا پوراعظم معتقد است که نظارت بر اپلیکیشنهای پرداختی و بانکی در ابعاد مختلفی باید اتفاق بیفتد اما راهکار فعلی با توجه به شرایط حاکم برکشور افزایش آگاهی کاربران است. در ادامه این گزارش عوامل گسترش این فضا، روشهای کلاهبرداری اینترنتی و راهکارهای تشخیص اپهای جعلی از اصلی را بررسی کردیم.
به تمامی اعمالی که خلاف قانون بوده و در بستر اینترنت و یا با استفاده از ابزارهایی که از اینترنت استفاده میکنند سبب ایجاد ضرر مادی یا معنوی برای افراد شود کلاهبرداری اینترنتی گفته میشود که انواع مختلفی دارد.
فیشینگ یا درگاه پرداخت اینترنتی جعلی حدود ۵۰ درصد کلاهبرداریهای اینترنتی را تشکیل میدهد. در این روش کلاهبرداران صفحه درگاهی کاملاً مشابه درگاه پرداختهای واقعی میسازند و اطلاعات حساب یعنی شماره کارت، رمز دوم و … را ذخیره میکنند و در فرصت مناسب حساب بانکی افراد را خالی میکنند.
کلاهبرداران در این روش برای جلوگیری از ایجاد شک در ذهن کاربران پس از دریافت تمامی اطلاعات کارت از جمله رمز کارت پیغام خطا در اتصال به بانک یا عدم انجام تراکنش را نشان میدهند.
در این روش کلاهبرداران با قراردادن تبلیغات و بنرهای جذاب در سایتها توجه مشتریان را جلب میکنند و با کلیک بر روی بنرها ویروس یا برنامهای بر روی سیستم کاربران نصب میشود که میتواند اطلاعات موجود بر روی سیستم را ذخیره کند و یا گاهی اوقات با بازکردن صفحه و لینکی در اینترنت صفحات دیگری نیز برخلاف میل افراد باز میشوند.
بهاینترتیب کلاهبرداران به اطلاعات خصوصی و جزئیات حسابهای شما دسترسی پیدا میکنند.
در برخی موارد این اتفاق به صورت پنهانی رخ نمیدهد! برخی از برنامههای رایگان نیز قابلیت ذخیره اطلاعات کاربران را دارند.
برای جلوگیری از این موارد حتماً بر روی سیستم خود نرمافزارهای ضد ویروس و تروجان و برنامههای امنیتی نصب کنید.
در این روش کلاهبرداران اساماس یا ایمیل حاوی لینک پرداخت برای پرداخت قبض و … را برای افراد ارسال میکنند و کاربران با کلیک بر روی این لینکها به درگاههای جعلی (فیشینگ) منتقل و اطلاعات آنها سرقت میشود.
برای جلوگیری از این روش هرگز لینکهای ناشناس را باز نکنید.
در مواردی نیز پیامک و یا ایمیل همراه با اطلاعات حساب برای کاربران ارسال میشود و بهاشتباه برای کلاهبرداران مبالغی را واریز میکنند و یا از افراد اطلاعات هویتی آنها درخواست میشود.
در این روش کلاهبرداران شماره تماس مشتریان را در سایتها به بهانه قرعهکشی جمعآوری میکنند و با آنها تماس میگیرند یا پیامکهایی تحت عنوان «شما برنده شدید» ارسال میکنند و از کاربران میخواهند تا مبلغی را برای ارسال جایزه واریز کنند.
این دسته از کلاهبرداریها در مواردی فقط واریز هزینه ارسال هستند؛ اما در مواردی نیز حاوی لینک درگاه جعلی هستند.
این روش از انواع روشهای کلاهبرداری اینترنتی با وجود قدیمی بودن و اطلاعرسانیهای بسیار همچنان افراد زیادی را در دام میاندازد.
اپلیکیشنهای جعلی برنامههایی هستند که بعد از نصب، فرصت نفوذ افراد بزهکار را به اطلاعات محرمانه شما میدهند. البته همیشه اپلیکیشنهای جعلی الزاماً دارای بدافزار نیستند و گاهی این برنامهها با استفاده از شیوههای دیگری کاربران را به دام میاندازند. به عنوان مثال اپلیکیشنهای جعلی شامل پلتفرمهایی که با وعده سودهای نجومی از کاربران کلاهبرداری میکنند، نیز هستند.
سرهنگ داود معظمی گودرزی، رئیس پلیس فتا تهران بارها در خصوص اپهای جعلی پرداختی هشدار داده است. او اخیراً اظهارکرد: «امروزه عمدهترین روش کلاهبرداری در سطح اینترنت، ایجاد نرمافزارهای جعلی مشابه نرمافزارهای همراه بانکهاست.»
او توضیح داد کرد: «اخیراً پرونده هایی به پلیس فتا واصل شده که در آن شکات پرونده ها اپلیکیشن همراه بانک خود را از منابع نامعتبر دانلود و نصبکرده و بعد از آن مورد کلاهبرداری قرار گرفته بودند. در این پروندهها ماموران پلیس فتا با اقدامات فنی متوجه شدند که مجرمان با طراحی همراه بانک های جعلی که در واقع بدافزار هستند و قراردادن این نرم افزارها در منابع نامعتبر، اقدام به ایجاد دسترسی غیر مجاز به گوشی تلفن همراه کاربر برای خود کرده و از این طریق از حساب شهروندان برداشت کردهاند.»
رئیس پلیس فتا تهران بزرگ با بیان اینکه شهروندان حتماً باید نرمافزارهای خود را از منابع معتبر دریافت کنند، گفت: «از این رو به شهروندان توصیه میکنم که برای دانلود و نصب نرمافزارهای موبایل همراه از جستجو کردن آن در مرورگرها خودداری کرده و حتماً به پلتفرمهای معتبر ارائهدهنده نرمافزار یا سایت رسمی بانک مراجعه کنند.»
اپلیکیشنهای جعلی دو نوع متفاوت دارند که هر کدام از آنها با روش خاصی به کلاهبرداری از کاربران میپردازند. کلاهبرداران بسته به این که از چه نوع اپلیکیشنی استفاده کنند قربانیان خاص خود را پیدا خواهند کرد. در ادامه به معرفی دو مدل مختلف اپلیکیشنهای جعلی میپردازیم:
مبدلها
این برنامهها با ظاهر و نامی شبیه به برنامههای معروف و پر مخاطب بوجود میآیند و در اپاستورها قرار میگیرند. معمولاً اپاستورهای محبوب اپلیکیشنهای جعلی را زود شناسایی میکنند ولی در همان فرصت کم هم ممکن است هزاران نفر فریب بخورند و این برنامهها را دانلود کنند. این برنامهها ظاهر و نام خود را دقیقاً مشابه برنامههای اصلی میکنند. تنها راه تشخیص این است که زیر نام و لوگو، نام منتشرکننده آن را ببینید و تشخیص دهید که آیا برنامه اصلی هست یا خیر.
بازسازیشدهها
تشخیص برنامههای بازسازی شده نسبت به برنامههای مبدل سختتر است. این برنامهها علاوه بر اینکه از نام و آیکون برنامههای اصلی استفاده میکنند، دادهها و کدهای سورس این برنامهها را نیز مورداستفاده قرار میدهند. این کار، گاهی بهقدری دقیق انجام میشود که تشخیص جعلی بودن آن بسیار سخت میشود.
برنامههای جعلی با توجه به نوع و هدفشان تهدیدات مختلفی را برای کاربران به همراه دارند. هرکدام از این تهدیدها میتواند به طریقی باعث ازدسترفتن سرمایه کاربر شود یا او را مورد سوءاستفاده قرار دهد.
پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت در گفتوگو با راه پرداخت در خصوص آمار اپهای جعلی پرداختی گفت: «اپهای جعلی و بدافزارها از گذشته بوده و اکنون نیز وجود دارند. در حال حاضر آمار دقیقی از اینکه چه تعداد اپ جعلی وجود دارد در دسترس عموم نیست. اما مشخصاً آمار این اپها در چند سال اخیر رو به افزایش بوده است.»
به گفته پوراعظم دلیل این افزایش، گسترش استفاده از خدمات مبتنی بر اپلیکیشنهای موبایلی و خدمات الکترونیکی و غیرحضوری است. با افزایش کاربران شاهد افزایش اپهای جعلی بودهایم. این افزایش آمار از دو جنبه قابل بررسی است.
او ادامه داد: «از یک سو افراد سودجو با توجه به افزایش کاربران، رغبت بیشتری برای کلاهبرداری به روش اپلیکیشنهای جعلی مالی پیدا میکنند. از سوی دیگر کاربران به دلیل عدم آموزش کافی و عدم آگاهی کافی نسبت به ملاحظات امنیتی به نصب اپها و ابزارهای جعلی اقدام میکنند که در اصل یک بدافزار است.»
پویا پوراعظم معتقد است که نظارت بر اپهای جعلی در ابعاد مختلفی باید اتفاق بیفتد. بانکها یا شرکتهای پرداختی در انتشار اپهای خود باید فرایند امنی را طی کنند. به طوری که نسخه اصلی از جعلی قابل تشخص باشد. داشتن امضای دیجیتال، انتشار در مارکتهای معتبر از جمله اقداماتی است که بانکها و شرکتهای معتبر منتشرکننده اپ، میتوانند برای امنسازی این فرایند انجام دهند.
پوراعظم گفت: «پلتفرمهایی مثل کافه بازار، گوگلپلی و… نیز وظیفه دارند که اپهای جعلی و غیر جعلی را از یکدیگر تشخیص دهند که اکنون تا حدودی این اتفاق میافتد با اینحال در چند سال گذشته گاها شاهد انتشار بدافزار در همراه بانک جعلی در بستر این پلتفرمها بودهایم.»
به گفته پوراعظم نهادهایی مثل کاشف و ماهر روی این موضوع مانیتورینگ دارند اما به طور کلی این رصد وظیفه کاشف است.
این متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت بیان کرد: «در نهایت باید مشتریان و کاربران آموزش ببیند و به آنها آگاهیرسانی شود.»
او معتقد است که باتوجه به بزرگشدن فضای تهدید در کشور استفاده از فیلترشکنها و ویپیانها جعلی میتواند یکی از ابزارهای کلاهبرداران باشد. به همین سبب سودجویان به جای جعل اپ پرداختی یک ویپیان را جعل میکند. پس از نصب بهراحتی دسترسی میگیرند و به موبایل بانک مشتری دسترسی پیدا میکنند. برای کاربر هم قابل تشخیص نیست که آیا فیلترشکنی که نصبکرده بدافزار بوده یا خیر.
به گفته پوراعظم سیاستهای کلان نادرست از جمله مواردی است که منجر به ایجاد یک فضای تهدید بزرگ در حوزه امنیت شده است. باید توجه داشت که کنترلها و اقدامات در این حوزه محدود به نظارت و مانیتورینگ یک نهاد ناظر بیرونی نیست. نهاد ناظر بیرونی میتواند یکپارچه باشد اما باید از ابعاد مختلف؛ کاربر، سیاست کلان، انتشار اپها و…. باید یکسری اقدامات امنیتی انجام شود.
پویا پوراعظم با اشاره به راهکار خارجشدن از این شرایط گفت: «راهکار دادن در این فضا و شرایط فعلی کار سختی است اما کاربران باید اتکایشان را به نظام بانکی و نهاد بیرونی و.. کنار بگذارند و خودشان مراقب باشند. در حال حاضر نظارت بر این فضا اتفاق میافتد اما به دلیل برخی سیاستهای کلان درست اتفاق نمیافتد بنابراین با توجه به این شرایط کاربر باید آگاهیاش را افزایش دهد.»
او ادامه داد: «من پیشنهاد میکنم با توجه به فضای فعلی، کاربران اپهای مالی و بانکیشان را حتی از مارکتها هم دانلود نکنند و تنها به سایت بانکها مراجعه کنند.»
برنامههای جعلی گاهی کاملاً شبیه به نسخههای واقعی ساخته میشوند و تشخیص آنها دشوار است. با این حال اگر با دقت آنها را بررسی کنید شناخت نسخههای جعلی غیرممکن نیست. در ادامه چند روش برای شناخت برنامههای جعلی بیان کردیم:
پیش از آن که یک برنامه را دانلود کنید بهتر است به املای کلمات، آیکونها و توضیحات برنامه دقت کنید. سازندگان برنامههای جعلی سعی میکنند از نامها و آیکونهای مشابه برندهای بزرگ استفاده کنند ولی خیلی اوقات نام توسعهدهنده و حتی برنامه بهاشتباه نوشته میشود تا صرفاً شبیه به نسخه اصلی باشد و کاربر را فریب دهد. کافی است اسامی را در اینترنت جستجو کنید تا ببینید برنامه واقعی است یا خیر.
در صفحه دانلود هر اپلیکیشنی در استورهای معتبری مثل کافه بازار، دسترسیهایی که اپلیکیشن در گوشی کاربر میخواهد نوشته شده است. با مطالعه این دسترسیها ممکن است متوجه موارد مشکوکی شوید. سعی کنید هنگام نصب و دانلود هر برنامهای به دسترسیهایی که به آن برنامه میدهید، توجه ویژه داشته باشید.
معمولاً نسخههای اصلی هر برنامهای تعداد دانلودهای بیشتری دارد، پس توجه به تعداد دانلودهای یک برنامه پیش از دانلودکردن آن ضروری است. تعداد دانلودهای یک برنامه نشان میدهد چه میزان محبوب است و کاربران تا چه حد از آن راضی هستند. از طرفی هرچه دانلودها بیشتر باشد، فیدبکهای بیشتری هم وجود دارد که میتوانید آنها را بررسی کنید تا به واقعی یا غیرواقعی بودن برنامه پی ببرید.
موارد امنیتی دیگر شامل نکاتی نظیر: بررسی نظرات پیرامون نرمافزار، بررسی توسعهدهندگان برنامه، زمان انتشار برنامه و… میشود.
سعی کنید در دانلود اپلیکیشنها دقت کنید. به طور کلی دانلود برنامهها از سایت خود بانکها و پلتفرمهای معتبر نظیر کافه بازار معتبرتر است، پس برای دانلود چنین برنامههای حساسی به سراغ شبکههای اجتماعی و پلتفرمهای غیرمعتبر نروید. علاقهمندان میتوانند فهرست همراهبانکهای رسمی در بازار را از اینجا ببینند و نصب کنند. اگر قبلاً برنامه جعلی دانلود کردهاید بهمحض تشخیص جعلی بودن، آن را از گوشی خود حذف کنید تا با مشکل مواجه نشوید.