رمز  پویا، فیشینگ و بدافزارهایی که کماکان تهدید می‌کنند

بانک‌ها دست به دامن پیامک شده‌اند اما کارشناسان راهکار  امنیت را در اعتماد به برنامه‌های تاییدشده اپ‌استور‌ها می‌دانند

فیشینگ هشتگ داغ این روزهای اکوسیستم استارتاپی است. کسب‌وکارهای آنلاین که حیات مالی و نظام دادوستد آن‌ها با مشتریان‌شان تماما در وب اتفاق می‌افتد این روزها درگیر یک چالش بزرگ شده‌اند. خالی کردن حساب کاربران با ترفندهای مختلف توسط کلاهبرداران اینترنتی.

فیشینگ ترفندی است که افرادی صفحات درگاه پرداخت بانک‌ها را شبیه‌سازی می‌کنند و صفحه‌های جعلی می‌سازند. کاربر از این صفحه‌ها برای خرید اینترنتی استفاده می‌کند و شماره کارت، رمز عبور، و تاریخ انقضای کارتش را وارد می‌کند اما پس از زدن دکمه خرید پیامی مبنی بر عدم پرداخت برای کاربر ظاهر می‌شود. اما پشت این ماجرا تمام اطلاعات عابربانک کاربر ثبت می‌شود تا در وقت دیگری حساب او مورد دست‌برد قرار گیرد.

حالا استارتاپی‌ها که روی امنیت داده‌های کاربرانشان در فضای وب بیش از همه حساس هستند دست به دامن روش‌های مختلفی شده‌اند تا بتوانند اعتبار خرید آنلاین را از گزند کلاه‌برداران مصون نگه دارند. کار به جایی رسیده که عده‌ای دست به کار شده‌اند و برای مرورگر کروم افزونه‌ای ضدفیشینک نوشته‌اند که کاربر قبل از هر ‍پرداخت آنلاین می‌تواند چک کند درگاه بانکی آن معتبر است یا نه. افزونه‌هایی که البته چندی ‍یش اعلام شد برخی از خود آن‌ها بدافزارهای فیشینگ هستند که اطلاعات بانکی کاربران را می‌دزدند! اما چیزی که این روزها بیش از سایر روش‌ها و هشدارهای ضدفیشینگ سروصدا به ‍پا کرده، رمز پویاست که بانک‌های مختلف در حال عملیاتی کردن آن هستند. رمزی پیامکی که هر بار که کاربر قصد خریدی در فضای وپب دارد به او داده می‌شود و قرار است جایگزینی برای رمز دوم فعلی که در معرض دستبرد کلاهبرداران است باشد.

اما نکته جالب‌توجه اینجاست که اگرچه بیشتر بانک‌ها از طریق اپلیکیشن‌های خود امکان فعال‌سازی رمز پویا را فراهم کرده‌اند اما از آنجا که بخش قابل‌ملاحظه‌ای از کاربران ایرانی از گوشی‌های هوشمند استفاده نمی‌کنند رمز پویای پیامکی، تهدیدی برای آن‌هاست تا بتوانند اطلاعات بانکی‌شان را به هنگام وارد کردن در صفحات وب محافظت کنند. پیامکی که کارشناسان امنیت وب معتقدند خود در معرض تهدیدهای زیادی است. اما فعلا بانک‌ها چاره‌ بهتری پیدا نکرده‌اند.

مسئله اینجاست که در صورتی که کاربر روی گوشی‌اش بدافزاری داشته باشد که به پیامک‌های او دسترسی پیدا کرده، آن‌وقت رمز پیامکی از رمز دوم هم خطرناک‌تر خواهد شد. محسن براتی کارشناس امنیت دیجیتال می‌گوید بهترین راهکار برای مقابله با فیشینگ استفاده از اپلیکیشن‌های بانکی برای ساختن رمز یک‌بارمصرف است اما عدم دسترسی برخی کاربران به این ا‍پلیکیشن‌ها از یک سو و نصب برنامه‌‌های زیادی که مجوز دسترسی به پیامک را از کاربران گرفته‌اند باعث شده تا هم رمز پویای پیامکی اجتناب‌ناپذیر شود و هم از سوی دیگر کماکان خطرپذیر!

براتی معتقد است بهترین روش میانه در این وانفسا نظارت اپ‌مارکت‌ها بر اپلیکیشن‌ها و جلوگیری از گسترش بدافزارهاست. او می‌گوید اگرچه اپ مارکت‌هایی مانند کافه بازار بسیار جدی و سختگیرانه بر روی اپلیکیشن‌ها نظارت می‌کنند و درواقع بسیار بعید است که اپلیکیشنی در کافه بازار باشد که فیشینگ انجام دهد امانکته دیگری که بسیار مهم است و باید دقت کرد این است که زمانی که می‌خواهید از یک اپلیکیشن خرید کنید، تنها راه امن آن، مسیری است که اپلیکیشن شما را به مرورگر هدایت می‌کند. در آن صفحه پرداخت انجام می‌شود و پس از آن به اپلیکیشن برمی‌گردید. اگر اپلیکیشنی وجود داشت که صفحه پرداخت داخل حود اپ بود به هیچ‌وجه پرداخت را نباید انجام داد؛ زیرا رمزی که وارد می‌کنید از طریق اپلیکیشن قابل شنود است.

کافه‌بازار هم تاکید کرده هم راه‌اندازی سپر امنیتی‌اش و هم پایش‌های مستمر اپ‌ها در راستای مقابله با تهدیدات امنیتی است که فیشینگ و سرقت اطلاعات بانکی کاربران تنها یک نمونه از آن‌هاست. تهدیداتی که باعث شده اپ‌مارکت‌ها و کارشناسان امنیت وب بیش از هر زمانی از کاربران بخواهند در کنار خریدهای امن‌تر در فضای وب و استفاده از برنامه‌های تاییدشده در این بازارها، از نصب غیراستاندارد اپلیکیشن‌ها به‌ویژه از طریق لینک مستقیم، به اشتراک‌گذاری گوشی‌به‌گوشی یا دانلود از طریق پیام‌رسان‌ها خودداری کنند. امنیت اپ‌مارکت‌ها اگرچه همیشه در مظان پرسش منتقدان بوده اما کارشناسان می‌گویند اعتماد به آن‌ها بسی بیش از دانلودهای مستقیم امنیت کاربران را تضمین خواهد کرد. چندی پیش نتایج یک تحقیق درباره امنیت اپ‌مارکت‌های اندرویدی بسیار خبرساز شد. تحقیقی که نشان می‌داد بدافزارها در گوگل‌پلی امنیت کاربران را بیش از بسیاری دیگر از اپ مارکت‌ها نشانه رفته‌اند.

گزارش این تحقیق اما برای کافه‌بازار که مرجع اصلی دانلود اپلیکیشن برای ایرانی‌هاست مایه مباهات شد و مدیران این استارتاپ ایرانی اعلام کردند در این تحقیق دانشگاهی کافه‌بازار رتبه‌ امنیت بهتری از گوگل‌پلی و چند اپ‌استور پرمخاطب دیگر کسب کرده است. رتبه‌ای که حالا که بحث‌های فیشینگ و کلاهبردا ری‌های اینترنتی در فضای وب داغ شده می‌تواند کمی هم که شده مایه دلگرمی کاربران معمولا بی‌دفاع ایرانی باشد. البته که این دلگرمی شامل حال کاربرهای پرریسک و بی‌ملاحظه‌ای که از هر ناکجاآبادی  برنامه دانلود می‌کنند و اطلاعات بانکی‌شان را هرکجا دستشان برسد وارد می‌کنند نخواهد شد.