بورسیها نترسند؛ سجام امن است
روزنامه هفت صبح | دو روز پیش خبری درباره دستگیری یک باند کلاهبرداری از متقاضیان ورود به بورس منتشر شده. اصل خبر کاملا واضح بهنظر میرسید و نشان میداد دزدها با سوءاستفاده از عنوان سامانه سجام، سایتی جعلی ساختهاند و آن را بهجای سجام جا زدهاند، بعد از آن وقتی قربانیان بیخبر و کماطلاع مشخصات حسابهای بانکی خود را وارد کردهاند، چیزی در حدود ۱۰میلیارد تومان سرقت کردهاند.
خوشبختانه باند لو رفته و اعضای آن دستگیر شدهاند، اما بعضی سایتها تیتری اشتباه برای این خبر انتخاب کردند تا باعث شوند بعضیها فکر کنند اطلاعات کاربران سایت سجام لو رفته است. امید اربابزاده، مدیر امنیت اطلاعات شرکت سپردهگذاری مرکزی اوراق بهادار و تسویه وجوه با تکذیب این ماجرا و تاکید روی این مسئله که هیچگونه اطلاعاتی از سایت اصلی سجام به سرقت نرفته، در گفتوگو با باشگاه خبرنگاران جوان توصیههایی کرده که کمک میکند حداقل دیگر شاهد چنین اتفاقاتی نباشیم.
*** کاربران سجام در امنیت هستند
اشخاصی که قربانی این تلهگذاری شدند پس از وارد کردن اطلاعات کارت بانکی خود متوجه میشدند که مبلغی غیرمتعارف از حسابشان کسر شده است. اینگونه سایتها به این صورت عمل میکنند که اطلاعات کارت بانکی قربانی را دریافت کرده و در اختیار شخص مهاجم قرار میدهند و این شخص بلافاصله با استفاده از اطلاعات کارت بانکی اقدام به خرید یا جابهجایی پول میکند.
در فرآیند ثبتنام سجام، در ابتدا هزینه ثبتنام پرداخت میشود و پس از پرداخت موفق، اشخاص اطلاعات هویتی، مالی و… را اعلام میکنند. در سایتهای فیشینگ سجام که با هدف کلاهبرداری مالی راهاندازی شده، در ابتدای فرآیند اطلاعات کارت بانکی دریافت و پس از آن وارد مرحله بعد که جهت دریافت اطلاعات است، نمیشود. به عبارت دیگر در سایت اصلی سجام، اشخاص اطلاعات خود را ارائه ندادهاند که بخواهد افشا شود یا مورد سوءاستفاده قرار گیرد.
*** سارقان چگونه از تکنیک فیشینگ استفاده میکنند
فیشینگ یا تلهگذاری به حملاتی گفته میشود که مهاجم با راهاندازی سایت جعلی کاملا مشابه سایت اصلی تلاش میکند به اطلاعات کاربران از جمله نام کاربری، اطلاعات هویتی، اطلاعات مالی، اطلاعات کارت بانکی و… دست پیدا کرده و با سوءاستفاده از این اطلاعات مشکلاتی را برای قربانی به وجود آورد. این نوع از حمله بهراحتی و با کمی هوشیاری کاربران قابل دفاع خواهد بود.
با توجه به اینکه چک کردن تمامی پارامترها برای همه اشخاص ممکن است سهولت نداشته باشد، یا بهخاطر عجله مورد سهلانگاری قرار بگیرد، افزونه ضدفیشینگ درگاه بانکی با حمایت مرکز ماهر و با قابلیت نصب در مرورگرهای رایج مانند کروم فایرفاکس جهت نسخه سیستمعاملهای رایج مانند ویندوز و اندروید توسعه یافته و جهت استفاده عموم به صورت رایگان در نشانی antiphish.cert.ir قرار گرفته است.
*** اهمیت اطلاع از آدرس صحیح سایت سجام
توجه به نشانی اصلی سامانهای که میخواهند اطلاعات خود را به آن ارائه کنند؛ بهعنوان مثال نشانی رسمی سجام sejam.ir است و تمامی اطلاعات لازم شامل نام و نشانی کارگزاریهای مورد تایید جهت ثبتنام سجام همچنین لیست و نشانی مراکز احراز هویت حضوری و الکترونیکی در آن آورده شده است. این در صورتی است که سایتهای جعلی با پسوندهای غیرمتعارف مانند LTD، CC، Press یا با تغییر جزئی در نام دامنه مانند sajam راهاندازی میشود.
*** سایتهای فیشینگ خودشان را لو میدهند
تمامی سامانههای پرداخت مجاز دارای قالب آدرس bankname.shaparak.ir/abc هستند و در ابتدا حتما با httpS شروع میشوند. درواقع حرف S بیانگر این است که اطلاعات بین کاربر و سرور رمزگذاری شده و برای اشخاص غیرمجاز قابل ردیابی نیست.
همچنین قبل از اولین تکخط مورب حتما باید با shaparak.ir خاتمه پیدا کند. در اینجا باید دقت داشت که تمام حروف انگلیسی باشد بهعنوان مثال shapārak.ir به دلیل وجود خط بالای a جعلی است. در تمامی مرورگرهای اینترنت امکان چک کردن گواهی SSL سایت وجود دارد که برای شاپرک حتما Shaparak Electronic Card Payment Network Co. (PJS) است. این کار در مرورگرهای مختلف مشابه است.
*** استفاده از فیلترشکن ممنوع
رصد اطلاعاتی پلیس فتا در فضای مجازی موجب شده تا سایتهای فیشینگ شناسایی و بلافاصله فیلتر شوند. استفاده از فیلترشکنها موجب میشود امکان دسترسی و سوءاستفاده از طریق سایتهای تقلبی برای قربانیان فراهم شود. به صورت کلی استفاده از فیلترشکنها و VPNهایی که جهت تلاش برای دور زدن فیلترینگ استفاده میشوند، یک تهدید امنیتی است که ریسک را بسیار بالا میبرد.