فیشینگ کارت بانکی چیست و چگونه از آن در امان بمانیم؟

خرید آنلاین و استفاده از کارت بانکی در جوامع امروزی یک اصل زندگی روزمره است. اما فیشینگ کارت بانکی چیست؟ و چگونه میتوان در قبال ان ایمن بود؟

از مدتها پیش که بحث رمز دوم پویا، بحث داغ روز شد تا به امروز همواره یک موضوع جانبی نیز در کنار آن مطرح میشود. اساسا فرایند تبدیل رمزهای ایستا به رمزهای پویا یا یکبار مصرف، فرایندی در مقابله با دزدی های اینترنتی یا اصطلاحا فیشینگ کارت بانکی محسوب میشود.

اما فیشینگ کارت بانکی چیست؟ از چه طرقی انجام میشود؟ و راه مقابله با آن چیست؟ با ما باشید تا به این سوالات و پاسخ هایشان بپردازیم.

فیشینگ اصطلاحی است که این روزها زیاد شنیده‌ایم. فیشینگ راهکاری است که کلاهبرداران، اطلاعات کارت بانکی افراد را به دست می‌آورند و پول‌های آنها را سرقت می‌کنند.

فیشرها روش‌های مختلفی را به کار می‌گیرند و دام‌های مختلفی را در دنیای وب می‌گذارند تا بتوانند اطلاعات بانکی را به دام اندازند. مدتی است که بانک مرکزی برای مقابله با این شیوه کلاهبرداری اعلام کرده که رمز دوم پویا را از ابتدای دی ماه اجرا می‌کند. اگر هنوز رمز پویا فعال نکرده اید و نمیدانید چگونه باید اقدام کنید، به نزدیک ترین شعبه بانکی مراجعه کنید.

فیشینگ کارت بانکی چیست و چگونه میتوان از آن در امان ماند؟

فیشینگ Phishing یک روش مخرب برای دسترسی به اطلاعات بانکی افراد و سرقت اموال ایشان است. هکرها درسال‌های اخیر تلاش‌های زیادی برای به سرقت بردن موجودی حساب‌های کاربران اینترنت کرده‌اند.

امروزه استفاده از اینترنت در زندگی همه ما به امری رایج تبدیل شده و بسیاری از کارهای دشوار گذشته را ساده کرده است. استفاده از اینترنت به همان میزان که از منزل خارج می‌شویم و به شعب بانک مراجعه می‌کنیم، ممکن است خطر آفرین باشد. بنابراین با رعایت نکات ایمنی می‌توانید خطرات احتمالی حمله‌های فیشینگی را کاهش دهید.

در این گزارش سعی می‌کنیم به این سوال که فیشینگ چیست پاسخ دهیم و راه‌های مقابله با آن را آموزش دهیم.

علائم فیشینگ کارت بانکی

–  آدرسی که در قسمت مربوط به فرستنده یا فرم وجود دارد ظاهرا از طرف شرکتی قانونی است.

–  این پیام‌ها معمولا شامل علامت یا تصاویری هستند که از وب سایت شرکت اصلی برداشته شده‌اند.

–  پیام دارای یک لینک است که به همراه توضیح فرستاده شده است. در صورتی که روی مرورگر کامپیوتر، نشانگر را روی لینک قرار دهید، در گوشه چپ و پایین صفحه آدرسی را مشاهده کنید که در اصل آدرس واقعی وب سایتی است که در صورت کلیک کردن به آن خواهید رفت. توجه کنید که این لینک به آدرس قانونی ای که شما انتظار دارید منتهی نخواهد شد.

مختصری در تاریخچه فیشینگ

در سال ۱۹۹۰ ارائه دهنده خدمات آنلاین آمریکا (AOL) مفهوم فیشینگ را معرفی کرد. نام این کلاهبرداری روی هکرهایی که اطلاعات حساب‌ها را می‌ربودند نام‌گذاری شد.

از دهه ۱۹۹۰ کلاهبرداری فیشینگ صورت گرفت و رفته رفته توسعه پیدا کرد و به روش‌های گوناگون انجام شد. فیشرهای اولیه در در سال ۱۹۹۰ الگوریتمی ایجاد می‌کردند که شماره‌های کارت اعتباری گوناگون را با آنها بسازند تا شماره‌هایی مطابق با حساب‌های AOL ایجاد کنند. زمانی که این شماره‌ها مطابقت پیدا می‌کرد، فیشر می‌توانست اطلاعات کارت اصلی را به دست آورد و از آن دزدی کند.

از زمانی که این سرویس خدمات مالی، از راهکار کلاهبرداران اطلاع پیدا کرد و هشدار دارد، فیشرها به سمت روش‌ها و تکنولوژی‌های جدیدتر برای سرقت اطلاعات رفتند.

نسل بعدی فیشرها در سال‌های اولیه دهه ۲۰۰۰ پیشرفته‌تر شد و آنها از ایمیل برای سرقت اطلاعات استفاده می‌کردند.

فیشرها از سال ۲۰۰۳ شروع به خرید دامنه‌هایی کردند که تا حدودی شبیه دامنه‌های شناخته شده مانند yahoo-info.com و manager-apple.com بودند. آنها با استفاده از این دامنه‌ها، ایمیل‌های جعلی و پیچیده‌تری ارسال کردند.

در همان سال فیشرها به مشتریان پی‌پال، ایمیل‌های فیشینگ با عنوان تأیید اعتبار ارسال کردند تا بتوانند حساب‌های آنها را به خطر بیندازند. این کلاهبرداری ضررهای زیادی به این شرکت اعتباری وارد کرد.

پس از آن، فیشرها بانکداری و مشتریان بانک‌ها و خدمات پرداخت آنلاین را مورد هدف قرار دادند. آنها از ایمیلی که ظاهراً از سازمان‌هایی مانند سرویس درآمد داخلی ارسال شده استفاده کردند تا داده‌های مهم را از افراد جمع‌آوری کنند.

به طور کلی در سال‌های اخیر، بیشتر فیشینگ‌ها از طریق ارسال ایمیل انجام شده است. در ادامه نگاهی انداختیم به انواع فیشینگ‌ها و راهکارهای مقابله با آنها.

بیشتر بخوانید:

هک بانک صادرات ؛ آیا اطلاعات 63 میلیون حساب مشتریان به سرقت رفته است؟

فیشینگ انواع مختلفی دارد که به روش های مختلف تلاش می‌کنند به اطلاعات بانکی شما از طریق روش های متنوع مهندسی اجتماعی (Social Engineering) که در حوزه فیشینگ مانند ایمیل، تماس تلفنی، صفحات جعلی پرداخت، پیامک، انواع مدل های ربات های تلگرام و انواع روش های جدیدی که انتظار آن نمی رود، دست یابد. برخی از معروف‌ترین روش‌های فیشینگ عبارت اند از:

فیشینگ کارت بانکی با ایمیل‌های فریبنده

در این روش از حمله‌های فیشینگ، شخص کلاهبردار با ارسال ایمیل‌های فریبنده به قربانیانش می‌کوشد با بیان دلایل مجاب کننده مخاطبان را به وارد کردن اطلاعات بانکی خود وادار کند.

ممکن است ایمیل به ظاهر از طرف بانک شما، یک شرکت معتبر فین‌تک و یا حتی بانک مرکزی ارسال شود و از شما درخواست کند ظرف زمان معینی اطلاعات بانکی خود را ارسال کنید. متاسفانه بارها افرادی فریب این حملات فیشینگ را خورده‌اند.

این نمونه‌ای از فیشینگ است که در آن فیشر از کاربر می‌خواهد بر لینک کلیک کند. افرادی هستند که با دیدن امضای پایین نامه و نام شرکت، بی‌درنگ بر لینک کلیک می‌کنند. ایمیل‌های فیشینگ که حاوی لینک هستند و از کاربر می‌خواهند بر لینک کلیک کند را کلون فیشینگ (Clone phishing) می‌گویند.

از نادرست بودن جملات و دستور گرامر ضعیف می‌توان به جعلی بودن آن پی برد. اگر ایمیل غیر منتظره دریافت کردید که در آن از کلمه‌های «فوری» یا «منتظر پاسخ شما هستیم» استفاده شده بود، به آنها پاسخ ندهید.

نکته: سیستم مالی و بانکی هیچگاه از طریق ایمیل از شما درخواست نمی‌کند اطلاعات بانکی‌تان را برای آن‌ها ارسال کنید، شما حتی مجاز به اعلام رمز بانکی خود به کارکنان بانک هم نیستید

فیشینگ کارت بانکی به صورت تلفنی

هکرها در این روش از طریق تلفن با طعمه های خود ارتباط برقرار می‌کنند و ضمن اینکه خود را نماینده بانک، شرکت معتبر و یا سازمانی که شما می‌شناسید معرفی می‌کنند از شما می خواهند جهت دریافت جایزه خود اطلاعات بانکی خود را در اختیار ایشان قرار دهید.

به محض اینکه مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می‌شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می‌کنند، گاهی اوقات از داده‌های جعلی برای آی دی کالر استفاده می‌کنند تا برای مشتریان این گونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می‌شود.

در برخی از تماس‌هایی که با افراد گرفته می‌شود، دارای پیام ضبط شده هستند و به گونه‌ای نشان می‌دهند که از طرف سازمان دولتی هستند و از افراد می‌خواهند اطلاعات شخصی خود را در اختیارشان قرار دهند. این تماس‌ها نمونه‌ای از فیشینگ هستند پس به آنها اعتماد نکنید.

برا مثال نمونه ای از اینگونه تماس ها را خود نگارنده تجربه کرده است. ابتدا پیامی با یک کد فرستاده شد. وعده جایزه بدون قرعه کشی و ضرورت تماس سریع برای دریافت جایزه در پیامک گوشزد شده بود.

چندبار اول که تماس گرفتم پاسخ مشخصی ندادند و به بهانه کار زیاد تماس را به ساعات دیگری موکول کردند. هر دفعه هم یک خانم جواب میداد.

در نهایت خود را نمایندگی یک برند معروف امریکایی در شهرستان معرفی کردند و گفتند که بدون قرعه کشی 206 برده ام. اما اول باید یک خرید داشته باشم. محصولاتی بالای یک میلیون تومان. همانجا تماس را قطع کردم.

همچنین در روشی دیگر، با ارسال پیامک به شماره همراه شما، اعلام می کنند که حساب بانکی شما دچار مشکل شده است و شما را به زنگ زدن به شماره تماسی جعلی (سرویس تلفن اینترنتی) سوق می دهند و در ادامه از شما شماره حساب و رمز کارت و یا حتی رمز دوم را می خواهند.

نکته: برای واریز هر گونه وجه به حساب شما اعم از جایزه، پاداش و مزایا نیازی به اعلام رمز بانکی شما نخواهد بود. برای مقابله با هکرها و حملات فیشینگ این نکته را فراموش نکنید.

بیشتر بخوانید:

جهرمی سرقت اطلاعات کارت بانکی مردم را تکذیب کرد؛ موضوع باج‌خواهی است

فیشینگ نیزه ای

فیشینگ نیزه‌ای (Spear Phishing) تلاش‌های فیشینگ برای افراد یا شرکت‌های خاص، «فیشینگ نیزه‌ای» (یا «هدفمند») نامیده می‌شود. مهاجمان فیشینگ نیزه‌ای بیشتر برای افزایش احتمال موفقیت، از هدف خود، اطلاعات شخصی، گردآوری کرده و از آن استفاده می‌کنند.

گروه خرس فانتزی روسیه از روش فیشینگ نیزه‌ای برای هدف گرفتن ایمیل‌های ستاد انتخاباتی هیلاری کلینتون در هنگام انتخابات ریاست‌جمهوری ایالات متحده آمریکا (۲۰۱۶) استفاده کردند. آنها به بیش از ۱۸۰۰ حساب کاربری گوگل حمله کردند و دامنه accounts-google.com را برای تهدید کاربران هدف، به‌کار گرفتند

فیشینگ با نرم افزارهای مخرب و یا تروجان ها

در این روش، فیشرها سعی می‌کنند تا روی دستگاه قربانی، یک برنامه آلوده به بدافزار را اجرا کنند. پس از فعال شدن بدافزار، فیشرها می‌توانند با دسترسی به کامپیوتر یا موبایل قربانی، اطلاعات حساس او را به چنگ آورند. بدافزارها یکی از رایج‌ترین ابزارهای انجام فیشینگ هستند.

فیشینگ کارت بانکی با طراحی صفحات پرداخت جعلی

شخص هکر در این روش صفحه‌ای مشابه درگاه پرداخت آنلاین بانک‌ها طراحی می‌کند و با قرار دادن این صفحه جعلی در فروشگاه‌های صوری و با ارائه پیشنهادهای وسوسه کننده خرید سعی می‌کند شما را وادار کند وارد صفحه پرداخت جعلی که طراحی کرده بشوید و وجه انتقال دهید.

به محض ورود به این صفحه جعلی و ارائه اطلاعات بانکی اطلاعات شما به صورت خودکار برای هکر ارسال می‌شود و او قادر خواهد بود حساب شما را خالی کند.

امن‌ترین درگاه پرداخت، درگاه پرداخت بانک مرکزی به آدرس https://xxx.shaparak.ir است و در کنار آن حتما باید نام یکی از psp‌ها (شرکت های پرداخت الکترونیک) مطرح درج شده باشد .

برخی از شرکت های PSP مجاز و معتبر کشور عبارت اند از:

• آسان پرداخت پرشین http://app.733.ir
• الکترونیک کارت دماوند http://ecd-co.ir
• به پرداخت ملت http://www.behpardakht.com
• پرداخت الکترونیک پاسارگادhttps://www.pep.co.ir
• پرداخت الکترونیک سامان https://www.sep.ir
• پرداخت نوین آرین https://www.pna.co.ir
• تجارت الکترونیک پارسیان http://www.pec.ir
• پرداخت الکترونیک سداد https://sadadpsp.ir
• فن آوا کارت https://www.fanavacard.ir
• کارت اعتباری ایران کیش https://www.irankish.com
• شرکت مبنا کارت آریا http://mca.co.ir

نکته: بهترین روش مقابله با این نوع از حمله‌های فیشینگ دقت به URL درگاه پرداخت است. هر کدام از سایت‌های بانک‌ها از آدرس مشخصی برای درگاه پرداخت خود استفاده می‌کنند هر آدرس دیگری می‌تواند نشانه یک حمله فیشینگ باشد.

درگاه‌های پرداخت بانک‌ها از کدهای امنیتی باضریب اطمینان بالا استفاده می‌کنند و اغلب در آدرس سایت عبارت https:// قابل مشاهده خواهد بود.

بیشتر بخوانید:

ادعای سرقت اطلاعات کارت بانکی ۱۰ میلیون ایرانی؛ کاربران توئیتر چه می‌گویند؟

فیشینگ کارت بانکی با دستگاه‌های POS و ATM تقلبی

برخی کلاهبرداران با استفاده از POS و ATM تقلبی کارت‌های بانکی طعمه های خود را کپی کرده و به بهانه فروش محصول و کالا رمز عبور آن‌ها را می‌پرسند و سپس به راحتی حساب بانکی افراد را خالی می‌کنند.

نکته:

بهتر است هیچ گاه رمز عبور خود را در اختیار فروشندگان قرار ندهید. با پیشرفت تکنولوژی شیوه‌های پرداخت متنوعی در اختیار شما قرار گرفته که با کمک آن می‌توانید استفاده از POS و ATM را به میزان قابل توجهی کاهش دهید. دریافت دستگاه های POS اختصاصی توسط شرکت‌ها و سازمان‌ها هم می‌تواند به جلب اعتماد بیشتر مشتریان کمک کند.

ربات تلگرام و فیشینگ کارت بانکی

ربات‌های تلگرام این روزها به بسیاری از کارهای ما سرعت بخشیده‌اند، شرکت‌های معتبر فین‌تک هم در این خصوص خدمات خوبی را ارائه می‌دهند که گزارش گیری انتقال وجوه را ساده تر کرده است.

اما به هر روی تلگرام بستر مناسبی برای انتقال وجه نیست و دیده شده به بهانه انتقال وجه و یا حتی دریافت خدمات و یا خرید محصولی و یا حتی با نوشتن پست های وسوسه برانگیز و تحریک افراد برای عضو شدن در کانال و یا گروه هایی، اطلاعات بانکی حساب و یا کارت بانکی شخص را سرقت می کردند.

یکی نمونه از معروفترین موارد این مدل از فیشینگ کارت بانکی که بسیار هم سر و صدا به پا کرد را ذکر میکنیم. الگوهایی به مانند این بسیار اتفاق میفتد.

فیشینگ کارت بانکی با طراحی ربات صیغه‌یاب در تلگرام

رئیس پلیس فتا کهگیلویه و بویراحمد ۲۵ اردیبهشت ۱۳۹۸ از شناسایی مجرمان اینترنتی که از طریق ربات‌های صیغه یاب در تلگرام، کاربران را به درگاه‌های جعلی هدایت می‌کردند، خبر داد.

سرگرد روح‌الله شهبازی‌پور با اعلام خبر بازداشت مجرمان اینترنتی که از طریق ربات‌های صیغه‌یاب در تلگرام، کلاهبرداری می‌کردند، درباره جزئیات این خبر اظهار کرد: فردى با حضور در اداره پلیس اعلام کرد از حساب بانکی‌اش برداشت غیرمجاز صورت گرفته که بررسى این پرونده در دستور کار کارشناسان پلیس قرار گرفت.

رئیس پلیس فتا کهگیلویه و بویراحمد افزود: پس از اخذ اظهارات شاکی و انجام اقدامات و شگرد‌های خاص پلیسی، در نهایت متهمان شناسایی و پس از هماهنگی با مراجع قضایی دستگیر شدند.

وی تصریح کرد: متهمان در ابتدا منکر بزه انتسابی شدند، اما در مواجهه با مستندات جمع‌آوری‌شده، لب به اعتراف گشودند و گفتند که از طریق تبلیغات در کانال‌های تلگرام و استفاده از ربات‌های تلگرامی با عنوان صیغه‌یاب، کاربران را به صفحات درگاه‌های جعلی هدایت می‌کرده و با کلاهبرداری به روش فیشینگ، اقدام به اخذ مشخصات کارت بانکی و خالی کردن حساب آن‌ها در فرصت مناسب می‌کردند.

شهبازی‌پور با تأکید بر هوشیاری هموطنان چه در فضای حقیقی و چه در فضای مجازی خاطرنشان کرد: هموطنان با مطالعه و یادگیری در مورد نحوه پرداخت الکترونیکی در فضای مجازی و آشنایی با چگونگی تشخیص صفحات جعلی در دام کلاهبردان نیفتند و در هنگام ثبت سفارشات اینترنتی از فروشگاه‌های دارای نماد اعتماد الکترونیک خرید کنند و با بررسی پروتکل (https) از صحت سایت‌ها مطمئن شوند.

رئیس پلیس فتا کهگیلویه و بویراحمد متذکر شد: کاربران هرگونه موارد مشکوک در فضای مجازی را از طریق سایت پلیس فتا به آدرس www.cyberpolice.ir بخش مرکز فوریت‌های سایبری، لینک ثبت گزارش‌های مردمی به پلیس فتا اطلاع دهند.

بیشتر بخوانید:

اجاره کارت بانکی یا اجاره حساب روش جدیدی برای کلاهبرداری

روش های کاربردی در مقابله با فیشینگ کارت بانکی

با توجه به مواردی که مطرح شد، راه هایی در مورد مقابله و جلوگیری از گیر افتادن در دام فیشر ها وجود دارد که از میان آنها می توان به موارد زیر اشاره داشت:

• یکی از بهترین راه ها برای دستیابی به صفحات وب، نوشتن آدرس آن به طور مستقیم در مرورگر است. یک ایمیل یا پیامک کلاهبرداری، این امکان را دارد که ادعا داشتن اعتبار لازم را داشته و از بانک ، شرکت و یا مؤسسه معتبری ارسال شده باشد. هنگامی که شما روی لینکی که برای شما ارسال شده کلیک کنید با سایتی مشابه با سایت واقعی و به ظاهر معتبر مواجه می‌شوید که با پر کردن اطلاعات خود در آن، امکان به سرقت رفتن اطلاعاتتان را فراهم می کنید. برای جلوگیری از این اتفاق همیشه دنبال منابع معتبر بروید و در صورت دریافت ایمیلی با مقدمه های وسوسه بر انگیز، به جای بازگشایی بلافاصله آن به آدرس اصلی سایت مطرح شده را در مرورگر خود وارد کنید. سعی کنید امنیت اکانت ایمیل خود را افزایش دهید.
• استفاده از رمز یکبار مصرف را جدی بگیرید؛ این رمز یکبار مصرف ها با اعتباری که در زمان کم دارند، باعث جلوگیری از به سرقت رفتن اطلاعات شما می شود.
• فرستنده یا فرستاده‌‌ی غیر معمول؛ اگر پیامک یا ایمیلی از شخص ناشناسی که دارای لینکی که برای دریافت جایزه یا قرعه کشی بود و حتی اگر این پیام از طرف شخصی بود که او را می شناختید، به هیچ وجه بر روی آن لینک کلیک نکنید.
• هدایت به دامنه‌ی فیشینگ به جای سایت واقعی؛ همانطور که در قسمت های بالا هم گفته شد، همیشه قبل از انجام تراکنش آدرس URL درگاه پرداخت را حتما بررسی کنید.
• برای اکانت های مالی خود صورت حساب تهیه کنید؛ به طور ماهانه این صورت حساب ها را بررسی کنید تا از صورت گرفتن تمام تراکنش هایتان با آگاهی کامل اطمینان حاصل کنید. حال حاضر با توجه به مشغله های روزمره این کمی ممکن است کمی حوصله بر باشد ولی با استفاده از فاکتور آنلاین می توان به این فرایند سرعت بخشید.

از این رو لازم است تنها به شرکت های معتبر و فعال این عرصه اعتماد کنید و جهت انتقال وجه آنلاین روش‌های مناسب را انتخاب کنید.

استفاده از خدمات بانکداری الکترونیک و شرکت های مجاز حوزه فین‌تک می‌تواند در وقت و پول شما صرفه جویی کرده و هزینه‌های شما را به میزان قابل توجهی کاهش دهد.

فقط کافی است هنگام استفاده از این خدمات نکات امنیتی را رعایت کنید و همواره به سراغ مراکز معتبر و شناخته شده بروید تا عملیات انتقال وجه مطمئن و راحتی را تجربه کنید.

بیشتر بخوانید:

• روش اتصال کارت سوخت به کارت بانکی ؛ چگونه کارت سوخت را به کارت بانکی متصل کنیم؟
• بهترین کتاب های فلسفه جهان ؛ برای شروع فلسفه خوانی چه باید کرد؟
• بیشترین سرعت اینترنت 2020 ؛ رتبه بندی سرعت اینترنت موبایل و ثابت در جهان
• گران قیمت ترین سیگارهای دنیا ؛ سیگارهای محبوب سرمایه داران

منبع : techrato