تبهکاران سایبری و چالشهای فراروی صنعت بانکداری

# ۷۷ - ۱۳۹۵/۰۴/۱۲

پیشرفت و توسعه روز افزون فن آوری اطلاعات و ارتباطات از اوایل دهه 80 میلادی به بعد موجب بروز تحولات شگرفی در حوزه علوم، فنون و صنایع مختلف گردید و صنعت بانکداری نیز از این تحولات بی نصیب نمانده، بطوریکه هم اکنون نقش فن آوری اطلاعات در این صنعت بقدری کلیدی است که ادامه حیات بانکداری بدون وجود این فن آوری عملاً غیر ممکن می نماید.

تبهکاران سایبری و چالشهای فراروی صنعت بانکداری
امروزه منافع بکارگیری بانکداری الکترونیک و اینترنتی برکسی پوشیده نیست، منافعی مانند کاهش هزینه های عملیاتی بانک ها، کاهش گردش اسکناس به عنوان یک منبع عمده انتشار عوامل میکروبی وبیماری زا، کاهش هزینه های نشر اسکناس، کاهش ترافیک شهرهای بزرگ، کاهش معضل آلودگی هوا، ارتقاء عملکرد سیستم مالیاتی کشور و... که هم بانک ها و موسسات مالی و هم جامعه از آن منتفع می گردند.
در کشور ما نیز از اواخر دهه هفتاد شمسی اولین نشانه های بکارگیری بانکداری الکترونیک با ظهور کارتهای بانکی و ماشینهای خودپرداز دیده شد و در حال حاضر کمتر بنگاه اقتصادی یا موسسه مالی را می توان یافت که به تبلیغ محصولات و خدمات الکترونیکی خود در رسانه های گروهی و جمعی نپردازد.
با وجود تمامی مزایا و منافع قابل تصور برای بانکداری الکترونیک و اینترنتی که ذکر تمامی آنها از حوصله این نوشته خارج است، ظهور این نوع بانکداری بهمراه خود مخاطرات تازه ای را نیز به ارمغان آورده و زمینه بروز تقلبات و سوء استفاده های مالی به شیوه های نوین را فراهم کرده است.
در سال های اخیر گزارشات متعددی در خصوص تقلب در حوزه بانکداری آنلاین انتشار یافته که از به سرقت رفتن سالانه میلیارد ها دلار پول مشتریان بانکها توسط سارقان سایبری حکایت دارند.
هر چند میزان برخورداری و بکار گیری کشورهای مختلف جهان از فن آوری اطلاعات و بانکداری آنلاین، همچنین میزان صدمه پذیری آنان در برابر مخاطرات موجود متفاوت است، لیکن فراهم شدن تمهیدات لازم از سوی سیاست گذاران این حوزه جهت پیشگیری از وقوع جرائم اینترنتی و سایبری در حوزه بانکداری برای همه کشورها امری حیاتی به نظر می رسد.
در حال حاضر حجم تراکنش های بانکداری آنلاین بخصوص درکشور های جهان سوم ودر حال توسعه روند فزاینده ای داشته، بطوری که بر اساس یک تحقیق که در سال 2009 میلادی انجام گرفت، تعداد تراکنش های سالانه ثبت شده بانکداری آنلاین در کشور ترکیه (و نه ارزش مالی آن) بیش از 5/1 برابر تعداد تراکنشهای کشور توسعه یافته ای مانند فرانسه درمدت مشابه بوده در صورتیکه بعید به نظر می رسد امکانات امنیتی در نظر گرفته شده جهت ایمن سازی تبادلات مالی در فضای سایبر در دو کشور یاد شده یکسان بوده یا دست کم به یک میزان گسترش پیدا کرده باشد. اوضاع در کشورهای کمتر توسعه یافته نظیر آمریکای لاتین وجنوب آسیا نیز کم و بیش مشابه است.
در این کشورها گسترش سریع و در دسترس قرار گرفتن فن آوریهای ارزان قیمت، موجب رشد فزاینده حجم تبادلات مالی آنلاین بخصوص معاملات مبتنی بر بانکداری از طریق تلفن همراه، بدون ارتقاء متناسب مکانیسم های امنیتی کارآمد درآن کشورها شده است.
به همین جهت کشورهای در حال توسعه بدلیل عدم برخورداری از فن آوری های امنیتی روز دنیا و توانایی کمتر در سرمایه گذاری های کلان در زمینه فن آوری اطلاعات، بیشتر مورد تهدید و مواجهه با خطر بوده و تبعات منفی آن در این گونه جوامع بحران زا و شدید تر است.
آنچه در ادامه از نظر خواهد گذشت، به منظور آشنایی علاقه مندان حوزه بانکداری الکترونیک و آنلاین با جدید ترین بدافزارهای مالی، روشها و ترفند های تبهکاران سایبری در زمینه سرقت از حسابهای مشتریان و نهایتاً تدابیر حفاظتی و امنیتی بانکها در این زمینه بمنظور جلب توجه بیشتر صاحبان حرف و مشاغل مرتبط با موضوع، به رشته تحریر در آمده است.
در سالهای اخیر طراحان بدافزارها پیش از آنکه به دنبال آسیب رساندن به کامپیوترها باشند، بدنبال دزدیدن اطلاعات حساب های بانکی و کارت های اعتباری بوده اند و این معضلی است که سالی یک میلیارد دلار به بانک های آمریکایی زیان وارد می کند.
یکی از مهمترین این بد افزارها، Key Logger ها هستند که دکمه هایی را که روی کیبوردتان می فشارید ثبت می کنند و اطلاعات محرمانه از جمله Password شما را پیدا کرده و برای سازندگان خود می فرستند.
البته Key Logger ها را براحتی می توان گمراه کرد. راه حل بانک ها برای مقابله با این معضل آنست که زمانی که فرد می خواهد وارد حساب بانکی خود شود تنها بخشهایی از Password از او درخواست می شود و حتی نیازی به استفاده از Keyboard فیزیکی هم نیست و مشتری می تواند از کیبورد مجازی تعبیه شده در سایت بانک استفاده کند.

 
نوع دیگر ترفند ها برای دست یابی به اطلاعات محرمانه مشتریان، ایمیل هایی است که ادعا می کنند از طرف بانک شما ارسال شده اند و در متن ایمیل لینکی را معرفی می نمایند که شما را به یک وب سایت قلابی ارتباط می دهند که کاملاً شبیه وب سایت بانک طراحی شده و اطلاعاتی که در آن وارد می کنید مستقیماً  بهinbox دزدان اینترنتی ارسال می گردد.
برای مقابله با این مشکل بانک ها مراحلی را به فرآیند Login کردن اضافه کرده اند که مشتری تشخیص دهد در وب سایت واقعی است یا قلابی. در این مورد وب سایت واقعی یک تصویر را با کلمه ای که قبلاً خودتان انتخاب کرده اید برای شما نمایش می دهد، چیزی که وب سایت قلابی از وجود آن بی خبر است.
از طرف دیگر بعضی از بانک ها دستگاه هایی بنام Token یا Dongle را در اختیار مشتریان خود قرار داده اند.
این دستگاه ها هر بار یک عدد تصادفی تولید می کنند و بعبارت صحیح تر یک Random Generator یا مولد اعداد تصادفی هستند که الگوریتم تولید رمز آنها برای وب سایت بانک شناخته شده است.
مشتری می تواند از طریق وارد کردن اعداد تولید شده توسط دستگاه در وب سایت بانک، وارد حساب بانکی خود شود.

 
اما برای آنکه بدانیم به چه دلیل بانک ها این هزینه های سرسام آور را متحمل می شوند باید به یک موضوع پیچیده تر اشاره کنیم؛ بد افزارهایی وجود دارند که بسیاری از سرقت های بزرگ Online توسط آنها انجام گرفته است و به شکل کاملاً هوشمندانه پول را از حساب مشتریان به حساب طراحان خود واریز می کنند، به همین جهت آنها را بدافزارهای مالی می نامند. این بدافزارها در کامپیوتری که آنها را آلوده کرده اند کاملاً پنهانی زندگی کرده و دقیقاً زمانی که کاربر وارد سایت بانک میشود فعال شده و اطلاعاتی که دیده می شوند را دستکاری می کنند.
برای نمونه به تصاویر زیر توجه کنید، دو کامپیوتر هر دو وارد وب سایت یک بانک شده اند ولی چیزی که روی صفحه های آنها دیده می شود متفاوت است. صفحه کامپیوتری که به بدافزار آلوده نیست فقط نام کاربری را سوال می کند ولی کامپیوتر آلوده شماره کارت و شماره رمز آنرا هم بصورت کامل درخواست می کند و این موضوع فقط وب سایت یک بانک رادرگیر نمی کند بلکه سارقان می توانند بدافزار را برای سایت بانک های مختلف طراحی کنند.
 
 

 
این نوع بدافزارها با نامهای مختلف از جمله Spaya و Karber وجود دارند. ولی یکی از شناخته شده ترین آنها Zeus است. کاربر Zeus را نمی بیند، او تصور می کند درحال تعامل با بانک خود است، درحالیکه در تمام مدت مشغول تعامل با Zeus است ودر واقع این Zeus است که با بانک کاربر در تماس است و اطلاعات کاربر را دزیده و بجای او وارد حساب می شود و هر معامله ای را که بخواهد انجام می دهد، اما تصویری به کاربر نشان می دهد که احساس کند همه چیز عادی است.
بدافزارهای مالی روز به روز هوشمند تر می شوند، نسل اول آنها فقط صفحه Login را دستکاری می کردند و اطلاعات محرمانه مشتری را از این طریق دریافت می نمودند. ولی نسخه های جدید تر به روشهای خلاقانه تری می توانند هر صفحه ای را که مشتری به آن وارد می شود به گونه ای دیگر برای او نمایش دهند.
بعنوان مثال صبر می کنند تا پولی به جایی واریز کنید، وقتی دکمه تائید نهایی را فشردید، رقمی را که واریز کرده اید عوض می کنند و شماره حسابی را که به آن پول واریز می شود با شماره حساب سازنده بدافزار عوض می کنند. اما چیزی که در صورت حساب می بینید همان اطلاعاتی است که خودتان وارد کرده اید و به همین جهت اصلاً به چیزی مشکوک نمی شوید.
اخیراً کد منبع Zeus روی اینترنت منتشر شده است تا تحلیل گران بتوانند طراحی پیچیده آن را بررسی کرده و برای مقابله با آن راه حلی پیدا کنند.
اما چطور این بدافزارها براحتی آنتی ویروسی را که روی سیستم نصب کرده ایم دور می زنند. یکی از دلایل موفقیت این بد افزارها این است که طوری طراحی شده اند که نرم افزار امنیتی کامپیوتر شما نمی تواند براحتی آنها را تشخیص دهد یا ردیابی نماید.
نرم افزارهای امنیتی که در کامپیوترهای شما استفاده می شوند، دقیقاً مثل گاردهای امنیتی عمل می کنند، بدین صورت که در ابتدا به دنبال چهره های مشکوک یا کسانی که در لیست سیاه هستند می گردند و بعد منتظر می شوند تا چهره مشکوک، رفتار مشکوکی از خود بروز دهد و اگر در هیچ یک از این مراحل موفق نبود، موقع خارج شدن اطلاعات از سیستم از خروج آنها جلوگیری می کنند. اما بدافزارهای مالی امروزی ماننــــد  Zeus می توانند همه این تدابیر را دور بزنند، این نرم افزارها می توانند چهره خود را چندین هزار بار در روز تغییر دهند و این چهره ها به هیچ وجه با چهره های موجود در لیست سیاه نرم افزارهای امنیتی (بدافزارهای موجود در لیست سیاه) مشابه نیستند. این بد افزار خیلی زیرکانه و محتاط عمل می کند تا مشکوک به نظر نرسد و توجه جلب نکنند و از همه  مهمتر آنست که وقتی می خواهد اطلاعات شما را بدزدد از نرم افزارهای دیگر بخصوص مرورگر یا Browser شما بعنوان ابزار انتقال استفاده می کند.
به این نوع حملات اصطلاحاً سرقت توسط فرد پنهان در مرورگر یا Man In The Browser می گویند. در اینجا به واقع بدافزار داخل مرورگر شما است و بین شما و وب سایت بانک قرار می گیرد و چیزهایی را که می بینید یا اطلاعاتی را که وارد می کنید دستکاری می کند.
هر بار که نسخه جدید تری از Zeus به بازار می آید، روزها و گاهی هفته ها طول می کشد تا شرکت های تولید نرم افزارهای امنیتی بتوانند آنرا شناسایی کنند و تا وقتی این بد افزار شناسایی شود، تنها شانس کاربران آن است که نسخه قدیمی تر نرم افزارهای امنیتی بتوانند به طرق دیگری جلوی فعالیت آن را بگیرند.
یک محقق به نام  Chris Pickardکه تخصص او تست کردن نرم افزار های امنیتی است، معتقد است که نرم افزارهای امنیتی موجود کار خودشان را به خوبی انجام نمی دهند. او برای اثبات گفته خود یک تحقیق مستقل برای تشخیص مرد پنهان درمرورگر ترتیب داده است که طی آن یک بدافزار مالی فرضی که توسط تیم خودش طراحی شده بود و تبعاً چون تازه تولید شده بود در لیست سیاه هیچ نرم افزار امنیتی وجود نداشت، برای شناسایی توسط نرم افزارهای امنیتی معروف مورد آزمایش قرار گرفت و بررسی گردید که آیا هیچیک از این نرم افزار های امنیتی توانایی شناخت بدافزار فرضی را دارند یا خیر؟
موضوع نگران کننده آنست که در این آزمایش اکثر نرم افزارهای امنیتی شکست خوردند و فقط تعداد کمی از آنها موقع دزدیده شدن اطلاعات هشدار دادند و یا توانستند از دزیده شدن اطلاعات جلوگیری کنند. اما با وجود این نرم افزارهای امنیتی همچنان مهم ترین راه حفظ امنیت کامپیوترها در مقابل دزدیده شدن اطلاعات هستند.
محقق دیگری بنام Daniel Bert معتقد است: "مرد پنهان در مرورگر خیلی دقیق  و متمرکز عمل می کند، و بسیار پیشرفته است و مخصوص کارهای بانکی طراحی شده و چون آنتی ویروس های معمولی برای حفاظت از کامپیوترها در مقابل طیف وسیعی از بدافزارها طراحی شده اند، ممکن است در زمینه جلوگیری از سرقت اطلاعات بانکی خیلی خوب عمل نکنند.ولی این بدین معنی نیست که آنتی ویروس ها اصلاً بدرد نمی خورند.
گونه ای از نرم افزارهای امنیتی وجود دارند که مخصوص حفاظت سیستم در مقابل بدافزارهای مالی طراحی شده اند، بنابراین امن ترین راه آن است که بغیر از آنتی ویروس های معمولی یکی از این نرم افزارها را هم بکار ببریم و در کنار آن لازمست همواره به توصیه های امنیتی بانک خود عمل کنید و همیشه مراقب باشید. "
این آزمایش از سوی بسیاری از سازندگان نرم افزارهای امنیتی مورد انتقاد قرار گرفت. آنها اعتقاد داشتند که محصولاتشان فقط در مقابل بدافزارهای مالی تست شده است و این دلیل ناکارآمدی نرم افزارهای تولیدی آنها نیست. آنها همچنین اعتقاد داشتند که درست است که محصولات آنها در ابتدا بدافزار مالی را تشخیص نداده اند ولی این قابلیت را دارند که به مرور زمان ایمیل ها و وب سایت های مشکوک را شناسایی کرده و جلوی فعالیت آنها را بگیرند.
جدای از مطالب عنوان شده بالا باید گفت اگر تنظیمات نرم افزار امنیتی کامپیوتر شما روی حالت Maximum باشد می تواند جلوی فعالیت بسیاری از این بدافزارها را بگیرد. اما مشکل آن است که در این حالت کاربر در کار کردن با بسیاری از برنامه های بی خطر و عادی نیز دچار اشکال خواهد شد.
البته یک شرکت هم اعتراف کرد که اگر این بد افزار از منبع مشکوکی نیاید و با وب سایت هایی هم در تعامل باشد که در لیست سیاه نیستند، می تواند به راحتی به کار خود ادامه دهد و تا وقتی کاملاً شناسایی نشود هیچ نرم افزار امنیتی نمی تواند مانع فعالیت آن شود.
اما فقط نرم افزارهای امنیتی نیستند که درصدد مقابله با دزدان اینترنتی برآمده اند، بلکه اخیراً خود بانکها هم مجبور شده اند که وارد جنگ مستقیم با بد افزارهایی همچون Zeus شوند و در واقع جنگ بانکها با مرد پنهان در مرورگر تازه شروع شده است.
یکی از مهم ترین وموثر ترین راهکارهای بانک ها برای جلوگیری از دردام افتادن مشتریان، استفاده از Token ها یا Dongle ها است. البته کارکردن با این ابزارها هم سختی های خاص خود را دارد از جمله اینکه مدام باید همراه ما باشند و روند  Login کردن را هم طولانی و پیچیده تر می کنند. درهنگام Login کردن یا انجام هر پرداخت online این دستگاه ها کدهای رمز تصادفی برای مشتری تولید می کنند. بنابراین وقتی بدافزارهایی مثل Zeus در پشت صحنه شماره حساب و مبلغ را عوض می کنند، سایت بانک از آنها یک کد جدید درخواست می کند و چون بدافزار الگوریتم تولید رمز های تصادفی موجود در Token را ندارد، نمی تواند کد صحیح را ارائه نماید.
اما اخیراً در آمریکا طرحی دردست است تا از طریق آن امنیت Online Banking از سطح فعلی بیشتر شود. یکی از راهکارهای اجرایی این طرح بکارگیری تلفن همراه مشتری برای بررسی و تائید معاملات است. مثلاً زمانی که می خواهید بصورت آنلاین به حسابی پول بریزید، زنگ تلفن همراه شما بصدا در می آید و بانک تماس گیرنده مشخصات معامله را اطلاع میدهد و برای اطمینان از شما می خواهد کدی روی تلفن همراه  خود وارد کنید که از  طریق آن مشخصات معامله تایید گردد. درچنین مواقعی اگر شخص دیگری بجای شما وارد حساب شده باشد، بلافاصله متوجه خواهید شد.
اما بغیر از این تدابیر امنیتی علنی، بانک ها در پشت صحنه هم تدابیر امنیتی ویژه ای را بکار می برند. در این زمینه Philip Lieberman رئیس Lieberman Software (شرکتی که خدمات امنیتی به بانک ها ارائه کند ) می گوید: "یکی از تدابیر ما آنست که هر چند وقت یکبار ظاهر سایت بانک را عوض می کنیم و این عمل جهت مبارزه با Zeus صورت می گیرد. Zeus بر اساس ظاهر و طراحی وب سایت بانک کار می کند و وقتی ظاهر سایت بانک را عوض می کنیم در واقع در کار Zeus اختلال ایجاد می کنیم و سازنده آن مجبور است برای طراحی جدید وب سایت بانک، نرم افزار خود را Update کند."
Mark Baverman از مسئولین شورای نظارت بر پرداختهای بانک های بریتانیا (Uk Payment Council) در این زمینه اعتقاد دارد: " شناخت رفتار نرمال مشتری در زمینه جلوگیری از سرقتهای سایبری بسیار حیاتی است و بانک های مدرن امروزی تدابیر امنیتی ویژه ای را در پشت صحنه و در هنگامی که مشتری درحال کار کردن با حساب بانکی خود است، بکار می گیرند.
در این زمینه ما در بریتانیا یک نرم افزار هوشمند داریم که تقلب و دزدی را ردیابی می کند. این نرم افزار به این صورت کار می کند که رفتار معمول مشتری را زمانی که بصورت Online با حساب خود کار می کند زیر نظر می گیرد و ثبت می کند. آنگاه هر اتفاقی که با رفتار ثبت شده معمول مشتری در گذشته مطابقت نداشته باشد و غیر معمولی به نظر آید، توسط نرم افزار هشدار داده می شود. این رفتار غیر عادی می تواند یک شماره حساب یا یک مبلغ غیر متعارف باشد که مشتری معمولاً استفاده نمی کند.
یکی از کارهای که دزدان سایبری انجام می دهند آنست که وقتی اطلاعات حساب مشتری را بدست آوردند، اول یک مبلغ کوچک به یک حساب دولتی یا یک خیریه واریز می کنند تا از صحت اطلاعاتی که بدست آورده اند مطمئن شوند و این یکی از رفتارهایی است که نرم افزارهای امنیتی ما فوراً آنرا تشخیص داده و گزارش می کنند."
اما گزارشات حاکی از آنستکه این بدافزارها می توانند قبل از آنکه کسی به آنها مشکوک شود مقدار قابل توجهی پول از حساب های مشتریان سرقت کنند.
نسخه های جدید Zeus طوری طراحی شده اند که می توانند خیلی از این مراحل اضافه شده به فرآیند  Login را دور بزنند. مثلاً می توانند با حربه هایی مشتری را فریب داده و شماره تلفن همراه اورا بدست آوردند، سپس لینکی به گوشی مشتری ارسال می کنند و گوشی او را به ورژن موبایلی Zeus آلوده می کنند.
راه دیگر آنست که وقتی مشتری login می کند یک پیغام از طرف  Zeus به او ارسال می شود و به او اطلاع می دهد که می خواهد سیستم جدید امنیتی سایت بانک را به مشتری آموزش دهد. بعد در بخشی از این به اصطلاح آموزش از مشتری می خواهد به یک حساب فرضی پولی بریزد و این معامله نه تنها فرضی و به قصد آموزش نیست، بلکه کاملاً واقعی است.
اما نکات مهمی وجود دارد که کاربران میتوانند با توجه به آنها پیش از بدام افتادن، خطر را تشخیص داده و به موقع جلوی سرقت های سایبری را بگیرند:
در صورت وقوع هریک از حالات زیر شما احتمالاً در خطر هستید:
- اگر کارهای آنلاین بانکی مانند واریز پول به یک حساب بیش از حد معمول طول کشید، احتماً در سایت اصلی بانک نیستید.
- اگر اطلاعاتی که از شما خواسته شد بیش از حد معمول بود، مثلاً سایت Password ومشخصات کامل را از شما درخواست کرد (در صورتیکه قبلاً فقط بخش هایی از آنها را درخواست می کرد) احتمال می رود که سیستم شما آلوده شده باشد.
- در صورت مشکوک شدن به هر مورد به صورت حضوری یا تلفنی  با بانک تماس بگیرند. مثلاً به محض اینکه احساس کردید اشکالی درکار وجود دارد، با بانک خود تماس بگیرید و زمانهایی را که در حساب آنلاین خود بوده اید به کارشناسان بانک گزارش کنید و اگر آنها بررسی کردند و متوجه شدند زمانهای اعلام شده از سوی شما با زمانهای ثبت شده درسیستم بانک تطابق ندارد به احتمال بسیار زیاد، کامپیوتر شما به این بدافزارها آلوده شده است./رضا معروف
منبع: راه پرداخت

شرکت الماس کارت دنا
نمایندگی رسمی و انحصاری کمپانی Atlantic Zeiser در ایران
تهران، پاسداران، تقاطع خیابان گیلان و عراقی، ساختمان ملورین، پلاک ۵۷ ، طبقه ششم
تلفن: ٧٣٠٥١ - ٠٢١
فکس: ٦٣ ٩٥ ٠٠ ٧٧ - ٠٢١
پست الکترونیک: info@almasdena.com