بحران فیشینگ با رمز پویا
اعتماد مردم به ارسال رمز پویا به وسیله پیامک توسط بانکها باعث شده تا کسبوکار کلاهبرداران اینترنتی این روزها داغتر شود.
به گزارش اقتصادآنلاین به نقل از همشهری؛ این روزها گروه زیادی از کلاهبرداران ازجمله در سایتهای قمار آنلاین به کاربران اعلام میکنند که فیشینگ با رمز پویا ممکن نیست. این در حالی است که هر روز آمار سرقت از حساب کاربران با وجود استفاده از رمز پویا در حال افزایش است.
از چندماه قبل برای مقابله با فیشینگ یا کلاهبرداری از کاربران برای سرقت آنلاین از حسابهای بانکیشان، رمز پویا بعد از مدتها پیگیری بانک مرکزی وارد چرخه زندگی مردم شد. از همان موقع در چندین گزارش تأکید کرد هرچند استفاده از رمز پویا یا یکبارمصرف کاری قابل تقدیر است اما نمیتواند مشکل فیشینگ را بهطور کامل در کشور حل کند.
طی هفتههای اخیر بیشتر از هر زمان دیگری رمز پویا مثل شمشیری دولبه عمل کرده است. از یکسو استفاده از رمز پویا باعث شده تا امکان سرقت از حساب بانکی درصورت لو رفتن رمز به حدود ۲ دقیقه محدود شود اما از سوی دیگر ارسال رمز پویا از سوی سامانههای جعلی یا گسترش بدافزارهای ساخته شده در این رابطه، خود باعث بالا رفتن آمار فیشینگ شده است.
فیشینگ به زبان ساده دزدی و سرقت آنلاین پول مردم با ساخت صفحههای جعلی شبیه به صفحه درگاه بانکی است. اکنون کلاهبرداران و سارقان اینترنتی کاری کردهاند که در همان مدت کوتاه اعتبار رمز پویا هم حساب فرد را خالی میکنند.
اکثر مردم بهخاطر مراحل سخت و گاها پیچیده استفاده از اپلیکیشنهای رمزساز از روش پیامکی ارسال رمز پویا استفاده میکنند. به همینخاطر بسیاری از کاربران وقتی وارد صفحهای میشوند و با کلیک کردن روی دکمه ارسال رمز پویا، پیامک بانک را دریافت میکنند خیالشان تخت میشود که خبری از کلاهبرداری نیست و به سایت اعتماد میکنند. یاشار شاهین زاده، کارشناس امنیت اطلاعات در این رابطه میگوید: اگر شما پای تلفن مشخصات کارتتان را به یک نفر بگویید و بعد از آن هم رمز ارسال شده توسط پیامک را به او اعلام کنید در مدت زمان اعتبار رمز پویا آن فرد میتواند اقدام به برداشت از حسابتان کند. حالا به جای این فرد پشت تلفن یک سرور را فرض کنید. در واقع مهاجم روی یک سرور سامانه فیشینگ نصب میکند و میتواند این فرایند را اتوماتیکسازی کند. این سامانه یک صفحه جعلی را به کاربر نشان میدهد و اطلاعات وارد شده توسط او ازجمله شماره کارت، کد CVV2 و تاریخ انقضا را به بانک میفرستد. این کار توسط این سامانه فیشینگ در پشت پرده روی یک درگاه واقعی بانک صورت میگیرد. در همان لحظه هم بانک بهخاطر ورود اطلاعات از طریق این سامانه فیشینگ، رمز پویا را برای شماره تلفن همراه کاربر ارسال و فرد قربانی آن را وارد صفحه جعلی میکند. از این زمان تا پایان اعتبار رمز پویا مثلا حدود ۲ دقیقه سرقت و خالی کردن حساب فرد با داشتن همه اطلاعات لازم ممکن میشود.
یاشار شاهینزاده تأکید میکند: طی این فرایند در واقع کاربر هیچوقت احساس جعلی بودن صفحه را نمیکند. چون بلافاصله پس از ورود اطلاعات سامانه مهاجم دیتا را به بانک میفرستد و بانک رمز را به کاربر میدهد. در واقع مهاجم بین بانک و کاربرMan in the Middle را انجام میدهد.
