مطالب یافت شده با برچسب "امنیت"

دوشنبه
۰۸ آبان ۱۳۹۶

چالش نهنگ آبی و حس اشتباه امنیت

دوشنبه، ۰۸ آبان ۱۳۹۶

مدتی است که پدیده‌ی «چالش نهنگ آبی» به یکی از موضوعات داغ تبدیل شده و مطالبی حاکی از یکسری خودکشی‌ها منتشر می‌شود که علت را بازی جدیدی به نام نهنگ آبی معرفی می‌کنند و هشدار می‌دهند که خیلی «مواظب باشید» تا در فضای مجازی، طعمه این بازی نشوید.

واقعیت این است که گزارش‌های مستقل، وجود چیزی به اسم بازی نهنگ آبی رو اصلاْ تایید نمی‌کنند و موضوع نهنگ آبی، به طور کامل زاده هیجانی است که روزنامه‌ها و رسانه‌ها دوست داشتند سوارش شوند و مخاطب جذب کنند.

بزرگترین آفتی که پدیده‌های این‌چنینی می‌توانند داشته باشند این است که باعث شکل‌گیری آگاهی غلط در شما می‌شود و این آگاهی غلط می‌تواند امنیت شما را با خطر مواجه کند. چرا؟ چون گفتن این موضوع که «بازی نهنگ آبی علت خودکشی است» باعث می‌شود ریشه اصلی خودکشی را دنبال نکنید تا رفتار مناسب برای پیگشیری انجام دهید. این خشت‌های کج، همچنین تصویر اشتباهی از فضای مجازی و شبکه‌های اجتماعی برای شما می‌سازد.

در مباحث امنیتی نیز این آفت وجود دارد و با عنوان «حس اشتباه امنیت» (False Sense of Security) شناخته می‌شود. «حس اشتباه امنیت» به این معنی است که با اطلاعات غلطی که به شما داده می‌شود، به جای رسیدن به امنیت واقعی تنها حس امنیت به شما منتقل می‌شود و شما با تکیه بر این حس اشتباه، دیگر به دنبال امنیت واقعی نخواهید رفت.

برای مثال در مطلبی که قبلا در بلاگ باهمتا در خصوص عملکرد امنیتی صفحه کلیدهای مجازی نوشتیم، توضیح دادیم که این صفحه کلیدهای مجازی نه تنها امن نیستند بلکه ممکن است امنیت شما را به خطر اندازند. اطلاع‌رسانی‌هایی که به شما می‌گویند در موقع پرداخت از کیبورد مجازی استفاده کنید، تنها گمراه کننده هستند و حس اشتباه امنیت را در شما ایجاد می‌کنند. به عنوان مثال افرادی که با این باور اشتباه به صفحه‌ی قلابی درگاه پرداخت می‌روند، با دیدن کیبورد مجازی در آن صفحه، به اشتباه این صفحه را امن می‌دانند و به دنبال چک کردن موارد صحیح امنیتی مقابله با فیشینگ نمی‌روند.

توصیه می‌کنیم برای افزایش آگاهی امنیتی خودتان همیشه روحیه‌ی کنجکاوی و پرسش‌گری داشته باشید، منابع و مستندات مطالبی که به دستتان می‌رسد را بررسی کنید و با مطالبی که در حوزه امنیت و از جنس «مواظب باشیدها» منتشر می‌شود، هیجانی برخورد نکنید.

چهارشنبه
۲۶ مهر ۱۳۹۶

همکاری باهمتا با پلیس فتا برای دستگیری کلاهبردار

چهارشنبه، ۲۶ مهر ۱۳۹۶

در تاریخ ۲۸ شهریور ۹۶ طی نظارت داخلی که در باهمتا انجام می‌دهیم متوجه یک مورد مشکوک به دزدی از تعدادی کارت شدیم. پس از بررسی‌های بیشتر، مشخص شد که این یک مورد فیشینگ است.

فیشنگ چیست؟

«فیشینگ» یکی از روش‌های معمول کلاهبرداران برای بدست آوردن اطلاعات شخصی افراد از قبیل پسوردها و اطلاعات بانکی است. شیوه معمول فیشینگ در پرداخت به این صورت است که پرداخت کننده به صفحه ای کاملا مشابه صفحه درگاه پرداخت هدایت می‌شود. این صفحه هیچ تفاوتی با درگاه پرداخت‌های واقعی ندارد و تنها تفاوت، نشانی صفحه در مرورگر کاربر است که گاهی در این نشانی هم تغییراتی داده میشود تا کاربر فکر کند که به نشانی درستی رفته است. پس از ورود اطلاعات کارت در صفحه پرداخت جعلی، اطلاعات کارتی که وارد شده برای کلاهبردار فرستاده می‌شود و به کاربر یک صفحه‌ی خطا نشان داده می‌شود یا حتی در مواردی واقعا مبلغی هم از حساب کاربر کم می‌شود تا کاربر شک نکند.

در این شیوه، ضعف امنیتی از سرویس دهنده‌ها (باهمتا، شبکه‌ی شاپرک، شرکت‌های خدمات پرداخت و بانکی) نیست و تنها کاربر است که باید آگاه باشد و اطلاعات کارت بانکی خود را در هر جایی وارد نکند.

شیوه کلاهبرداری فرد مضمنون به چه صورتی بود؟

فرد کلاهبردار تبلیغاتی در زمینه‌ی خدمات ماساژ بر روی «دیوار» و «تلگرام» منتشر کرده بود و وقتی افراد به وبسایت این فرد مراجعه می‌کردند اطلاعات کارت بانکی آنها به شیوه‌ی فیشینگ مورد سرقت و سوءاستفاده قرار می‌گرفت.

این فرد به روش‌های متفاوتی مانند کارت به کارت، خرید آنلاین و … پول‌ را از کار‌ت‌های سرقتی خارج کرده بود و در باهمتا نیز با معرفی یک حساب بانکی تصمیم داشت مبالغی را از این کارتها برداشت و به حساب خود واریز کند که توسط سیستم نظارتی ما شناسایی و جلوی تسویه‌ پول‌ها گرفته شد و در نهایت به صاحبان آنها بازگردانده شد.

طعمه

صفحه‌ی فرد کلاهبردار در بلاگفا

پس از محرز شدن فعالیت مجرمانه این فرد، موضوع سریعاً به پلیس فتا گزارش شد و با در اختیار گذاشتن اطلاعات مناسب و به موقع، پلیس فتا اقدام به شناسایی و دستگیری فرد متهم کرد. در بررسی‌های انجام شده مشخص شد که متهم پسر ۲۲ ساله تهرانی است که تا لحظه‌ی دستگیری توانسته بود اطلاعات ۳۶۵ کارت را بدست آورد. خوشبختانه با دقت تیم باهمتا و اقدام به موقع پلیس فتا، این شخص دستگیر و پول‌هایی که از طریق سرویس باهمتا در حال انتقال بود به صاحبان اصلی آنها بازگردانده شد.

اواخر سال ۹۴ بود که در باهمتا توانستیم اولین مورد دزدی را کشف کنیم و چون متوجه شدیم یکی از مهمترین دلایل کلاهبرداری‌های آنلاین، ناآگاهی خود افراد است، از همان موقع تصمیم گرفتیم در زمینه‌ی امنیت پرداخت اینترنتی، مطالبی برای آموزش کاربران منتشر کنیم. اکنون با مرور این داستان، چند نکته امنیتی را در خصوص پیشگیری از فیشینگ یادآور می‌شویم:

نکته‌ی یک این که با تبلیغاتی که صحبت از جایزه و یا موارد وسوسه‌انگیز دیگر (و گاهی غیراخلاقی) می‌کنند بسیار با احتیاط برخورد کنید. کلاهبرداران برای به دام انداختن طعمه‌های خود از این موضوعات به وفور استفاده می‌کنند.

نکته‌ی دوم، همیشه پیش از وارد کردن اطلاعات کارت خود در خرید‌های اینترنتی، همه‌ی این موارد را بررسی کنید:

  • نشانی صفحه با https آغاز شده باشد. حساس باشید که حتماً حرف s را در آخر این عبارت ببینید.

  • هیچ گونه خطای گواهینامه‌ی تایید هویت سایت را نگرفته باشید.

  • نام دامنه‌ی سایت، حتما به shaparak.ir پایان یابد و نام دامنه‌ی جعلی مانند shaparak.ir.kharid.com نباشد.

برای نمونه این نشانی درست یکی از درگاه‌های پرداخت الکترونیک سامان است:

https://sep.shaparak.ir/MobilePG/MobilePayment

هم https است و هم نام دامنه به shaparak.ir پایان یافته است. توجه کنید حتی در این نشانی هم اگر خطای امنیتی گواهینامه از مرورگر خود گرفتید، نباید پرداخت را انجام دهید.

ولی برای نمونه این یک نشانی جعلی میتواند باشد:

https://sep.shaparak.ir.MobilePG.com/MobilePayment

در این صفحه احتمالا خطای گواهینامه هم نخواهید گرفت. توجه کنید که در این مثال، نام دامنه با shaparak.ir پایان نیافته و در واقع زیر دامنه ای از سایت MobilePG.com است.

در پایان بزرگترین دشمن برای امنیت، ناآگاهی است. ما در باهمتا می‌کوشیم شما را آگاه کنیم. با دنبال کردن بلاگ و کانال ما می‌توانید با امنیت و آگاهی بیشتر از تکنولوژی لذت ببرید.

دوشنبه
۱۶ مرداد ۱۳۹۶

نمایش عکس در صفحه پرداخت به پرداخت کننده، اما و اگرها

دوشنبه، ۱۶ مرداد ۱۳۹۶

برخی از کاربران از ما درخواست کرده اند که امکان نمایش عکس یا لوگو را در صفحه پرداخت برای نمایش به پرداخت کننده اضافه کنیم. ما همیشه تلاش می‌کنیم در زمان طراحی امکانات جدید همه جوانب را در نظر بگیریم تا امنیت کاربران به خطر نیفتد.

یکی از روش‌های متداول کلاهبرداران، از بین بردن تمرکز در زمان پرداخت است تا شرایط مناسب برای فریب پرداخت کننده را فراهم کنند.

به طور مثال فرض کنید که کلاهبرداران طی یک فرایند مهندسی اجتماعی متوجه می‌شوند که شما ماهیانه مبلغی را به مدیر ساختمان بابت شارژ ماهیانه پرداخت می‌کنید. این افراد در ادامه عملیات خود نام و شماره موبایل شما و مدیرساختمان را نیز شناسایی می‌کنند.

حال، کلاهبرداران در زمانی مناسب، عکس پروفایل مدیر ساختمان را از تلگرام او برداشته و در تلگرام با عکس و نام مدیر ساختمان به شما پیام می‌دهند که هزینه شارژ این ماه را به شماره حساب جدید واریز کنید. شما ممکن است به خاطر اینکه فرد کلاهبردار با اسم و عکس غیرواقعی به شما پیام داده‌است، دقت کافی را نکنید و پول را به فرد کلاهبردار پرداخت کنید.

حال سوال اینجاست که باهمتا چطور می‌تواند جلوی چنین موارد کلاهبرداری را بگیرد و امنیت پرداخت را فراهم کند؟

  • در امکان جدیدی که اخیرا به باهمتا اضافه کرده‌ایم، نام صاحب حساب از بانک مرکزی استعلام می‌شود و نام واقعی صاحب حساب در صفحه پرداخت نمایش داده می‌شود.
  • پرداخت‌های باهمتا از طریق شاپرک انجام می‌شود و مثل کارت به کارت آنی نیست و این تاخیر در واریز شرایطی را فراهم می‌کند که پرداخت ‌کننده فرصت داشته باشد شکایت احتمالی خود را پیش از زمان تسویه به باهمتا ارائه کند.

اما برگردیم به درخواست کاربرانی که تمایل داشتند در صفحه‌ی پرداخت عکس یا لوگو به پرداخت کننده نمایش داده شود. در حال حاضر هیچ زیرساختی برای استعلام اینکه بتوانیم مطمئن شویم عکسی که قرار داده می‌شود متعلق به کاربر است وجود ندارد و از طرفی قرار دادن عکس در صفحه پرداخت ممکن است دقت شما را در چک کردن نام طرف مقابل کم کند. به همین دلیل فعلا ترجیح دادیم که از نمایش عکس در صفحه پرداخت خودداری کنیم تا به راهکار مناسب برسیم. همچنین برای دقت بیشتر پرداخت کننده، لوگوی بانکی که پول به آن حساب واریز خواهد شد را در صفحه پرداخت اضافه کردیم.

پانوشت: در اپلیکیشن باهمتا برای تشخیص بهتر، عکس کاربرانی که به آنها پول می‌دهید و یا می‌گیرید از روی مخاطبان گوشی شما نمایش داده می‌شود.

جمعه
۳۰ تیر ۱۳۹۶

‌مثل ندارد باغ امیدش - باهمتا در روز جمعه رفع فیلتر شد

جمعه، ۳۰ تیر ۱۳۹۶

پایداری بر اصول برای ما ارزشمند است و مهم نیست که در این راه چقدر رنج ببریم. آنچه به ما گذشت سخت بود، اما برای ما مثل الماسی گرانبها شد که در کوله‌بار تجاربمان گذاشتیم و ما را قوی‌تر خواهد کرد.

جمعه‌ی دو هفته پیش بدون هیچ اخطار قبلی وبسایت باهمتا به دستور دادستانی فیلتر شد، و ما از همان روز موضوع را با جدیت و از مسیر قانونی پیگیری کردیم.

نداشتن متولی برای صنعت جدید فین‌تک (فناوری‌های مالی)، اصلی‌ترین علت فیلتر شدن باهمتا بود. این امر چیزی نبود که در اثر تخلف و یا حتی کوتاهی در انجام وظایف صورت گرفته باشد، و ما امیدواریم سریعتر این نقیصه توسط ارگانهای ذیربط رفع شود.

در خلال پیگیری‌ها سازمان‌های گوناگون عنوان کردند، فیلتر کردن ناگهانی و بدون اخطار قبلی را شیوه‌ی مناسبی در برخورد با کسب و کارهای نوپا نمی‌دانند. امیدواریم در آینده شاهد چنین برخوردهایی با هیچ‌کدام از کسب و کارهای نوپا که نیاز به حمایت دارند نباشیم.

کسب و کارهای جدید معمولاً نیازهای جدید جامعه را شناسایی کرده و برای مرتفع کردن آنها، راهکارهای جدید عرضه می‌کنند. خلأ قانونی بیشترین چیزی است که این کسب و کارها با آن روبرو می‌شوند، و انتظار می‌رود نهادهای حکومتی با حمایت و همراهی، فضای این فعالیت‌ها را امن‌تر و مناسب‌تر کنند، تا به نیازهای جامعه پاسخ داده شود. اما آنچه در فیلترینگ اخیر اتفاق افتاد، خلاف این انتظار بود.

دو مقوله امنیت و حریم شخصی در کنار اصل رعایت چارچوب‌های قانونی همیشه بالاترین اولویت ما در ارائه سرویس به شما کاربران عزیز بوده است. ما به شما تعهد داده‌ایم و به هیچ عنوان در حیطه‌ای به غیر از قانون و تعهداتمان پا نخواهیم گذاشت. با افتخار و خوشحالی به شما اعلام می‌کنیم که بعد از دو هفته، و آن هم در روز جمعه، وبسایت باهمتا رفع فیلتر شد.

اول از همه خدا را شکر می‌کنیم که با تمام سختی‌ها، توانستیم بر اصول و اخلاق پایدار بمانیم. و بعد از شما کاربران عزیر تشکر می‌کنیم که همیشه همراه ما بودید و این همراهی، بزرگترین منبع انرژی برای ما بوده است. همچنین از انجمن فین‌تک، فعالان حوزه فناوری، رسانه‌ها، بانک مرکزی، وزارت ارتباطات، مرکز ملی فضای مجازی و نظام صنفی رایانه‌ای کشور، جناب آقای امیری از مدیران کارگروه فیلترینگ (که با سعه صدر حتی در ایام تعطیل پاسخگو و پیگیر حل مشکل بودند) وسرانجام به طور ویژه از شرکت پرداخت الکترونیکی سامان تشکر می‌کنیم که هر کدام نقشی موثر در رفع فیلتر باهمتا داشتند.

با نگاه به آینده، تمام تلاش خود را برای ارائه‌ی سرویسی در بالاترین سطح کیفی به شما عزیزان انجام خواهیم داد.

همچنان در تلاشیم/

توضیح عکس: کوه قندیل، منبع: باشگاه خبرنگاران

دوشنبه
۰۱ خرداد ۱۳۹۶

کیبورد مجازی چیست؟ آیا مانع کلاهبرداری در پرداخت می‌شود؟

دوشنبه، ۰۱ خرداد ۱۳۹۶

در همین ابتدا باید بگوییم که استفاده از کیبورد مجازی نه تنها کمک چندانی به امنیت شما نمی‌کند، حتی می‌تواند یک تهدید برای امنیت باشد! در ادامه این مقاله مشکلات امنیتیِ کیبورد مجازی و راهکار پیشنهادی را توضیح خواهیم داد.

کیبورد مجازی چیست و چه نقشی دارد؟

کیبورد مجازی، کیبوردی است که اعداد روی آن درهم‌ریخته و گاهی در درگاه پرداخت و اینترنت بانک نمایش داده می‌شود تا رمز خود را از آن طریق وارد کنید. نقش آن مقابله با بدافزارهایی است که اطلاعات ورودی از صفحه کیبورد‌های فیزیکی را ذخیره می‌کنند. به طور مثال اگر شما از کامپیوتری که از این نوع بدافزارها روی آن نصب شده باشند استفاده می کردید، اطلاعات محرمانه‌ای که وارد می‌کردید (مانند پسورد ایمیل و یا اطلاعات بانکی)، ذخیره می‌شد و در اختیار حمله کننده قرار می‌گرفت. کیبورد مجازی راهکاری است تا شما اطلاعات محرمانه را از طریق کیبورد فیزیکی وارد نکنید.

تا اینجا همه چیز خوب است پس مشکلات امنیتیِ کیبورد مجازی که از آن صحبت کردیم چیست؟

اولین مشکل، این است که این راهکار تنها برای کیبورد طراحی شده و ممکن است در هنگام استفاده، فکر کنید که الان در امنیت هستید و به بدافزارهای دیگری که ممکن است نصب شده باشند توجه نمی‌کنید. مثلا بدافزارهایی هستند که از صفحه نمایش تصویر برداری می‌کنند و وقتی از کیبورد مجازی استفاده می‌کنید براحتی اطلاعاتی که وارد می‌کنید را ذخیره‌ می‌کنند. یا بدافزارهای دیگری هستند که مرورگر شما را آلوده کرده و هر آنچه در پنجره های مرورگر وارد می‌کنید را ذخیره کرده و در اختیار حمله کننده قرار می‌دهد.

دومین مشکل، سختی به کارگیری آن ها است. بدافزارهایی که اطلاعات ورودی از کیبورد را ذخیره می‌کنند، نسل قدیمی از بدافزارها هستند و زمانی برای کلاهبرداران جذاب بود که افراد از کامپیوترهای مشترک استفاده می‌کردند مانند وقتی که افراد به کافی نت برای استفاده از اینترنت می‌رفتند. اما الان که افراد از کامپیوترهای شخصی و گوشی‌های موبایل خود استفاده می‌کنند روش‌های حمله کنندگان نیز تغییر کرده و بدافزارهای صفحه کلید کارایی چندانی برای آن‌ها ندارد. ولی صفحه کلید های مجازی همچنان مانده‌اند و ورود اطلاعات را سخت‌تر کرده‌اند و چون برای استفاده با موبایل اصلا مناسب نیستند، باعث خطای بالایی در وارد کردن اطلاعات می‌شود.

سومین و مهمترین مشکل، ایجاد «حس اشتباه امنیت» در کاربر است.

«حس اشتباه امنیت» چیست و چه مشکلی می‌تواند برای شما ایجاد کند؟

فرض کنید فردی به اشتباه به شما مشورت دهد تا برای اینکه سرما نخورید، هر موقع به استخر می‌روید، آبغوره بخورید. شاید آبغوره ضرری برای بدن نداشته باشد اما مهمترین ضرر آن برای سلامتی شما این است که، باعث می‌شود شما به دنبال راهکار درست نمی‌روید و فکر می‌کنید با این کار سرما نمی‌خورید.

ضرری هم که استفاده از کیبورد مجازی دارد، حس اشتباهی از امنیت است که در شما ایجاد می‌کند. این راهکار نه تنها از روش‌های جدید و رایج کنونی کلاهبرداران جلوگیری نمی‌کند بلکه وقتی شما در درگاه پرداخت کیبورد مجازی می‌بینید ممکن است به اشتباه احساس کنید که در درگاه پرداخت امنی هستید و دیگر به دنبال راهکارهای موثر امنیتی نروید.

اما راهکار یک پرداخت امن چیست؟

موثرترین راهکار برای امنیت، آگاهی است. شما باید اطلاعات امنیتی خود را همواره به روز نگه دارید و البته از طریق منابع معتبری نیز این کار را انجام دهید. ما در «باهمتا» به صورت مستمر سعی می‌کنیم که مقالات آموزشی در حوزه امنیت و به ویژه امنیت پرداخت منتشر کنیم.

اما به صورت مشخص راهکار مقابله با بدافزارهایی که اطلاعات ورودی از کیبورد را ذخیره می‌کنند این است که:

  • گوشی و سیستم شخصی خود را در اختیار افراد ناشناس قرار ندهید.
  • نرم افزارهای خود را حتما از مارکتهای معتبر دانلود کنید.
  • سیستم عامل خود را جیلبریک و یا روت نکنید.
  • هنگام وارد کردن اطلاعات محرمانه از کیبوردهای پیش فرض گوشی استفاده کنید و از کیبوردهای دیگری که بر روی گوشی نصب میشوند استفاده نکنید.

و در آخر فراموش نکنید که این راهکارها تنها برای مقابله با بدافزارهایی هستند که اطلاعات ورودی شما از کیبورد را ذخیره می‌کنند.

اگر «باهمتا» را دنبال کنید مطالب بیشتری در خصوص امنیت منشتر خواهیم کرد.