چه کسی بر امنیت اپلیکیشن‌های پرداختی نظارت می‌کند؟ / اهمیت نقش منابع معتبر در دانلود اپ‌های مالی

با گسترش اینترنت و افزایش تمایل مردم به استفاده از خدمات غیرحضوری مالی، رغبت کلاهبرداران به ساخت اپ‌های جعلی یا بدافزارهای پرداختی و بانکی افزایش یافت و به تبع آمار قربانیان این اپلیکیشن‌ها زیاد شد. رئیس پلیس فتا تهران بارها دراین‌خصوص هشدار داده و اعلام کرده که شهروندان حتماً باید نرم‌افزارهای خود را از منابع معتبر دریافت کنند. اما منابع معتبر به چه معناست و چه کسی بر امنیت اپلیکیشن‌های پرداختی نظارت دارد؟ آیا این نظارت برعهده کاشف است یا اصلا نظارتی وجود ندارد؟ سیاست‌های کلان تا چه اندازه در چند سال گذشته روی امنیت این فضا نقش داشته‌اند؟ پلتفرم‌های انتشار اپلیکیشن تا چه اندازه مانع انتشار بدافزارها و اپ‌های جعلی مالی شده‌اند؟

پویا پوراعظم معتقد است که نظارت بر اپلیکیشن‌های پرداختی و بانکی در ابعاد مختلفی باید اتفاق بیفتد اما راهکار فعلی با توجه به شرایط حاکم برکشور افزایش آگاهی کاربران است. در ادامه این گزارش عوامل گسترش این فضا، روش‌های کلاهبرداری اینترنتی و راهکارهای تشخیص اپ‌های جعلی از اصلی را بررسی کردیم.

به تمامی اعمالی که خلاف قانون بوده و در بستر اینترنت و یا با استفاده از ابزارهایی که از اینترنت استفاده می‌کنند سبب ایجاد ضرر مادی یا معنوی برای افراد شود کلاهبرداری اینترنتی گفته می‌شود که انواع مختلفی دارد.

فیشینگ یا درگاه پرداخت اینترنتی جعلی حدود ۵۰ درصد کلاهبرداری‌های اینترنتی را تشکیل می‌دهد. در این روش کلاهبرداران صفحه درگاهی کاملاً مشابه درگاه پرداخت‌های واقعی می‌سازند و اطلاعات حساب یعنی شماره کارت، رمز دوم و … را ذخیره می‌کنند و در فرصت مناسب حساب بانکی افراد را خالی می‌کنند.

کلاهبرداران در این روش برای جلوگیری از ایجاد شک در ذهن کاربران پس از دریافت تمامی اطلاعات کارت از جمله رمز کارت پیغام خطا در اتصال به بانک یا عدم انجام تراکنش را نشان می‌دهند.

در این روش کلاهبرداران با قراردادن تبلیغات و بنرهای جذاب در سایت‌ها توجه مشتریان را جلب می‌کنند و با کلیک بر روی بنرها ویروس یا برنامه‌ای بر روی سیستم کاربران نصب می‌شود که می‌تواند اطلاعات موجود بر روی سیستم را ذخیره کند و یا گاهی اوقات با بازکردن صفحه و لینکی در اینترنت صفحات دیگری نیز برخلاف میل افراد باز می‌شوند.

به‌این‌ترتیب کلاهبرداران به اطلاعات خصوصی و جزئیات حساب‌های شما دسترسی پیدا می‌کنند.

در برخی موارد این اتفاق به صورت پنهانی رخ نمی‌دهد! برخی از برنامه‌های رایگان نیز قابلیت ذخیره اطلاعات کاربران را دارند.

برای جلوگیری از این موارد حتماً بر روی سیستم خود نرم‌افزارهای ضد ویروس و تروجان و برنامه‌های امنیتی نصب کنید.

در این روش کلاهبرداران اس‌ام‌اس یا ایمیل حاوی لینک پرداخت برای پرداخت قبض و … را برای افراد ارسال می‌کنند و کاربران با کلیک بر روی این لینک‌ها به درگاه‌های جعلی (فیشینگ) منتقل و اطلاعات آنها سرقت می‌شود.

برای جلوگیری از این روش هرگز لینک‌های ناشناس را باز نکنید.

در مواردی نیز پیامک و یا ایمیل همراه با اطلاعات حساب برای کاربران ارسال می‌شود و به‌اشتباه برای کلاهبرداران مبالغی را واریز می‌کنند و یا از افراد اطلاعات هویتی آنها درخواست می‌شود.

در این روش کلاهبرداران شماره تماس مشتریان را در سایت‌ها به بهانه قرعه‌کشی جمع‌آوری می‌کنند و با آنها تماس می‌گیرند یا پیامک‌هایی تحت عنوان «شما برنده شدید» ارسال می‌کنند و از کاربران می‌خواهند تا مبلغی را برای ارسال جایزه واریز کنند.

این دسته از کلاهبرداری‌ها در مواردی فقط واریز هزینه ارسال هستند؛ اما در مواردی نیز حاوی لینک درگاه جعلی هستند.

این روش از انواع روش‌های کلاهبرداری اینترنتی با وجود قدیمی بودن و اطلاع‌رسانی‌های بسیار همچنان افراد زیادی را در دام می‌اندازد.

اپلیکیشن‌های جعلی برنامه‌هایی هستند که بعد از نصب، فرصت نفوذ افراد بزهکار را به اطلاعات محرمانه شما می‌دهند. البته همیشه اپلیکیشن‌های جعلی الزاماً دارای بدافزار نیستند و گاهی این برنامه‌ها با استفاده از شیوه‌های دیگری کاربران را به دام می‌اندازند. به عنوان مثال اپلیکیشن‌های جعلی شامل پلتفرم‌هایی که با وعده سودهای نجومی از کاربران کلاهبرداری می‌کنند، نیز هستند.

سرهنگ داود معظمی گودرزی، رئیس پلیس فتا تهران بارها در خصوص اپ‌های جعلی پرداختی هشدار داده است. او اخیراً اظهارکرد: «امروزه عمده‌ترین روش کلاهبرداری در سطح اینترنت، ایجاد نرم‌افزارهای جعلی مشابه نرم‌افزارهای همراه بانک‌هاست.»

او توضیح داد کرد: «اخیراً پرونده هایی به پلیس فتا واصل شده که در آن شکات پرونده ها اپلیکیشن همراه بانک خود را از منابع نامعتبر دانلود و نصب‌کرده و بعد از آن مورد کلاهبرداری قرار گرفته بودند. در این پرونده‌ها  ماموران پلیس فتا با اقدامات فنی متوجه شدند که مجرمان با طراحی همراه بانک های جعلی که در واقع بدافزار هستند و قراردادن این نرم افزارها در منابع نامعتبر،  اقدام به ایجاد دسترسی غیر مجاز به گوشی تلفن همراه کاربر برای خود کرده و از این طریق از حساب شهروندان برداشت کرده‌اند.»

رئیس پلیس فتا تهران بزرگ با بیان اینکه شهروندان حتماً باید نرم‌افزارهای خود را از منابع معتبر دریافت کنند، گفت: «از این رو به شهروندان توصیه می‌کنم که برای دانلود و نصب نرم‌افزارهای موبایل همراه از جستجو کردن آن در مرورگرها خودداری کرده و حتماً به پلتفرم‌های معتبر ارائه‌دهنده نرم‌افزار یا سایت رسمی بانک مراجعه کنند.»

اپلیکیشن‌های جعلی دو نوع متفاوت دارند که هر کدام از آنها با روش خاصی به کلاهبرداری از کاربران می‌پردازند. کلاهبرداران بسته به این که از چه نوع اپلیکیشنی استفاده کنند قربانیان خاص خود را پیدا خواهند کرد. در ادامه به معرفی دو مدل مختلف اپلیکیشن‌های جعلی می‌پردازیم:

مبدل‌ها

این برنامه‌ها با ظاهر و نامی شبیه به برنامه‌های معروف و پر مخاطب بوجود می‌آیند و در اپ‌استورها قرار می‌گیرند. معمولاً اپ‌استورهای محبوب اپلیکیشن‌های جعلی را زود شناسایی می‌کنند ولی در همان فرصت کم هم ممکن است هزاران نفر فریب بخورند و این برنامه‌ها را دانلود کنند. این برنامه‌ها ظاهر و نام خود را دقیقاً مشابه برنامه‌های اصلی می‌کنند. تنها راه تشخیص این است که زیر نام و لوگو، نام منتشر‌کننده آن را ببینید و تشخیص دهید که آیا برنامه اصلی هست یا خیر.

بازسازی‌شده‌ها

تشخیص برنامه‌های بازسازی شده نسبت به برنامه‌های مبدل سخت‌تر است. این برنامه‌ها علاوه بر اینکه از نام و آیکون برنامه‌های اصلی استفاده می‌کنند، داده‌ها و کدهای سورس این برنامه‌ها را نیز مورداستفاده قرار می‌دهند. این کار، گاهی به‌قدری دقیق انجام می‌شود که تشخیص جعلی بودن آن بسیار سخت می‌شود.

برنامه‌های جعلی با توجه به نوع و هدفشان تهدیدات مختلفی را برای کاربران به همراه دارند. هرکدام از این تهدیدها می‌تواند به طریقی باعث ازدست‌رفتن سرمایه کاربر شود یا او را مورد سوءاستفاده قرار دهد.

پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت در گفت‌و‌گو با راه پرداخت در خصوص آمار اپ‌های جعلی پرداختی گفت: «اپ‌های جعلی و بدافزارها از گذشته بوده‌ و اکنون نیز وجود دارند. در حال حاضر آمار دقیقی از اینکه چه تعداد اپ جعلی وجود دارد در دسترس عموم نیست. اما مشخصاً آمار این اپ‌ها در چند سال اخیر رو به افزایش بوده است.»

به گفته پوراعظم دلیل این افزایش، گسترش استفاده از خدمات مبتنی بر اپلیکیشن‌های موبایلی و خدمات الکترونیکی و غیرحضوری است. با افزایش کاربران شاهد افزایش اپ‌های جعلی بوده‌ایم. این افزایش آمار از دو جنبه قابل بررسی است.

او ادامه داد: «از یک سو افراد سودجو با توجه به افزایش کاربران، رغبت بیشتری برای کلاهبرداری به روش اپلیکیشن‌های جعلی مالی پیدا می‌کنند. از سوی دیگر کاربران به دلیل عدم آموزش کافی و عدم آگاهی کافی نسبت به ملاحظات امنیتی به نصب اپ‌ها و ابزارهای جعلی اقدام می‌کنند که در اصل یک بدافزار است.»

پویا پوراعظم معتقد است که نظارت بر اپ‌های جعلی در ابعاد مختلفی باید اتفاق بیفتد. بانک‌ها یا شرکت‌های پرداختی در انتشار اپ‌های خود باید فرایند امنی را طی کنند. به طوری که نسخه اصلی از جعلی قابل تشخص باشد. داشتن امضای دیجیتال، انتشار در مارکت‌های معتبر از جمله اقداماتی است که بانک‌ها و شرکت‌های معتبر منتشرکننده اپ، می‌توانند برای امن‌سازی این فرایند انجام دهند.

پوراعظم گفت: «پلتفرم‌هایی مثل کافه بازار، گوگل‌پلی و… نیز وظیفه دارند که اپ‌های جعلی و غیر جعلی را از یکدیگر تشخیص دهند که اکنون تا حدودی این اتفاق می‌افتد با این‌حال در چند سال گذشته گاها شاهد انتشار بدافزار در همراه بانک جعلی در بستر این پلتفرم‌ها بوده‌ایم.»

به گفته پوراعظم نهادهایی مثل کاشف و ماهر روی این موضوع مانیتورینگ دارند اما به طور کلی این رصد وظیفه کاشف است.

این متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت بیان کرد: «در نهایت باید مشتریان و کاربران آموزش ببیند و به آنها آگاهی‌رسانی شود.»

او معتقد است که باتوجه به بزرگ‌شدن فضای تهدید در کشور استفاده از فیلترشکن‌ها و وی‌پی‌ان‌ها جعلی می‌تواند یکی از ابزارهای کلاهبرداران باشد. به همین سبب سودجویان به جای جعل اپ پرداختی یک وی‌پی‌ان را جعل می‌کند. پس از نصب به‌راحتی دسترسی می‌گیرند و به موبایل بانک مشتری دسترسی پیدا می‌کنند. برای کاربر هم قابل تشخیص نیست که آیا فیلترشکنی که نصب‌کرده بدافزار بوده یا خیر.

به گفته پوراعظم سیاست‌های کلان نادرست از جمله مواردی است که منجر به ایجاد یک فضای تهدید بزرگ در حوزه امنیت شده است. باید توجه داشت که کنترل‌ها و اقدامات در این حوزه محدود به نظارت و مانیتورینگ یک نهاد ناظر بیرونی نیست. نهاد ناظر بیرونی می‌تواند یکپارچه باشد اما باید از ابعاد مختلف؛ کاربر، سیاست کلان، انتشار اپ‌ها و…. باید یکسری اقدامات امنیتی انجام شود.

پویا پوراعظم با اشاره به راهکار خارج‌شدن از این شرایط گفت: «راهکار دادن در این فضا و شرایط فعلی کار سختی است اما کاربران باید اتکایشان را به نظام بانکی و نهاد بیرونی و.. کنار بگذارند و خودشان مراقب باشند. در حال حاضر نظارت بر این فضا اتفاق می‌افتد اما به دلیل برخی سیاست‌های کلان درست اتفاق نمی‌افتد بنابراین با توجه به این شرایط کاربر باید آگاهی‌اش را افزایش دهد.»

او ادامه داد: «من پیشنهاد می‌کنم با توجه به فضای فعلی، کاربران اپ‌های مالی و بانکی‌شان را حتی از مارکت‌ها هم دانلود نکنند و تنها به سایت بانک‌ها مراجعه کنند.»

برنامه‌های جعلی گاهی کاملاً شبیه به نسخه‌های واقعی ساخته می‌شوند و تشخیص آنها دشوار است. با این حال اگر با دقت آنها را بررسی کنید شناخت نسخه‌های جعلی غیرممکن نیست. در ادامه چند روش برای شناخت برنامه‌های جعلی بیان کردیم:

پیش از آن که یک برنامه را دانلود کنید بهتر است به املای کلمات، آیکون‌ها و توضیحات برنامه دقت کنید. سازندگان برنامه‌های جعلی سعی می‌کنند از نام‌ها و آیکون‌های مشابه برندهای بزرگ استفاده کنند ولی خیلی اوقات نام توسعه‌دهنده و حتی برنامه به‌اشتباه نوشته می‌شود تا صرفاً شبیه به نسخه اصلی باشد و کاربر را فریب دهد. کافی است اسامی را در اینترنت جستجو کنید تا ببینید برنامه واقعی است یا خیر.

در صفحه دانلود هر اپلیکیشنی در استورهای معتبری مثل کافه بازار، دسترسی‌هایی که اپلیکیشن در گوشی کاربر می‌خواهد نوشته شده است. با مطالعه این دسترسی‌ها ممکن است متوجه موارد مشکوکی شوید. سعی کنید هنگام نصب و دانلود هر برنامه‌ای به دسترسی‌هایی که به آن برنامه می‌دهید، توجه ویژه داشته باشید.

معمولاً نسخه‌های اصلی هر برنامه‌ای تعداد دانلودهای بیشتری دارد، پس توجه به تعداد دانلود‌های یک برنامه پیش از دانلودکردن آن ضروری است. تعداد دانلودهای یک برنامه نشان می‌دهد چه میزان محبوب است و کاربران تا چه حد از آن راضی هستند. از طرفی هرچه دانلود‌ها بیشتر باشد، فیدبک‌های بیشتری هم وجود دارد که می‌توانید آنها را بررسی کنید تا به واقعی یا غیرواقعی بودن برنامه پی ببرید.

موارد امنیتی دیگر شامل نکاتی نظیر: بررسی‌  نظرات پیرامون نرم‌افزار، بررسی توسعه‌دهندگان برنامه، زمان انتشار برنامه و… می‌شود.

سعی کنید در دانلود اپلیکیشن‌ها دقت کنید. به طور کلی دانلود برنامه‌ها از سایت خود بانک‌ها و پلتفرم‌های معتبر نظیر کافه بازار معتبر‌تر است، پس برای دانلود چنین برنامه‌های حساسی به سراغ شبکه‌های اجتماعی و پلتفرم‌های غیرمعتبر نروید. علاقه‌مندان می‌توانند فهرست همراه‌بانک‌های رسمی در بازار را از اینجا ببینند و نصب کنند. اگر قبلاً برنامه جعلی دانلود کرده‌اید به‌محض تشخیص جعلی بودن، آن را از گوشی خود حذف کنید تا با مشکل مواجه نشوید.