امنیت سایبری در بانکداری الکترونیک

نویسنده: امیرحسین گرزین ، دانشجوی کارشناسی مهندسی صنایع دانشگاه علم و صنعت ایران

مقدمه

واژه امنیت همواره با نام بانکداری همراه بود‌ه‌است. ارتباطی مستقیم میان اعتماد و امنیت است و ناامنی نه‌ فقط سرمایه مادی بلکه سرمایه معنوی بانک یعنی مشتریان را از آنها می‌گیرد.

هر فناوری و تحول جدید، چالش‌هایی را با خود به همراه دارد. قطعا یکی از چالش‌ها و نیاز‌ها در بانکداری الکترونیک تامین امنیت است. حال بنگریم چه‌گونه با تحول در شیوه بانکداری واژة «امنیت» جایگاه خود را در ماهیت این حوزه حفظ می‌کند.

 بگذارید اینطور به مسئله نگاه کنیم. همة ما در مورد امنیت سایبری و ضرورت آن شنیده‌ایم، یا ممکن است در مورد هک‌شدن حساب‌‌های بانکی‌مان فکر کرده باشیم. در امنیت سایبری دو موضوع وجود دارد؛ «حملات» و «اقدامات».



شکل شماره ۱ – امنیت سایبری در بانکداری الکترونیک

خب ابتدا به حملات و انواع جرم‌های سایبری بپردازیم. انواع مختلفی از جرم‌ها و روش‌های حمله وجود دارد که به توضیح مختصر بخشی از آن‌ها می‌پردازیم.

۱. فیشنیگ

«فیشنیگ» یکی از نام‌های آشنا در حملات سایبری است و احتمالا این واژه را شنیده‌اید. فیشنگ که به نوعی از واژة fishing یا ماهیگیری نشات گرفته است، به مجموعه اقدامات گفته می‌شود که برای دستیابی به رمز، نام‌کاربری و دیگر اطلاعات حساس کاربر با استفاده از اعتمادسازی انجام می‌پذیرد. فیشینگ انواع مختلفی دارد.



شکل شماره ۲- حملات فیشینگ

سایت جعلی

یکی از راه‌های مرسوم در این حمله طراحی سایت صفحه جعلی است. به عنوان مثال؛ فرض کنید شما قصد می‌کنید یک کفش را به صورت آنلاین خریداری کنید. شما بروی دکمه «خرید» کلیک می‌کنید و وارد یک صفحه بانکی می‌شوید. البته بهتر از بگوییم یک صفحه ظاهرا متعلق به بانک، با همان لوگو و آدرس اینترنتی بسیار مشابه. از آن‌ جایی که این صفحه اینترنتی برای بانک نیست، اطلاعاتی که در آن وارد می‌کنید به بانک نمی‌رسد بلکه به دستان فیشر می‌افتد و اطلاعات کارت بانکی شما با موفقیت هک می‌شود!

صوتی

در حمله فیشنیگ حتما نیاز به یک سایت تقلبی نیست. در بعضی موارد این حمله با استفاده از تلفن صورت می‌گیرد. به این صورت که شما برای حل مشکلات بانکی خود از طریق تلفن بانک با یک شماره تقلبی تماس می‌گیرد و اطلاعات خود را از طریق صفحه کلید تلفن وارد می‌کنید.

مهندسی اجتماعی

روش دیگر مهندسی اجتماعی است. در واقع مهندسی اجتماعی نوعی از کلاهبرداری است که کاربر را متقاعد می‌کند اطلاعات حساس را در اختیار قرار دهد. برای مثال؛ مهاجم یک ایمیل جعلی از طرف مدیرعامل به بخش‌های مالی و حسابداری ارسال می‌کند. طبق گزارش اف‌بی‌آی، این نوع نقشه هزینه‌ای بالغ بر دو میلیارد دلار در هر دو سال برای شرکت‌های آمریکایی در بردارد.

۲. فارمینگ

فارمینگ یک لغت اختراعی از ترکیب دو کلمة phishing  و farming است که به حملات فیشنیگ شباهت زیادی دارد. این حمله به یکی از نگرانی‌های عمدة سایت‌های بانکداری آنلاین تبدیل شده ‌است. در فارمینگ ترافیک یک سایت به سمت سایت‌های جعلی هدایت می‌شود. در واقع در این روش بر خلاف فیشنیگ، مهاجم نیازمند به حمله نفر به نفر نیست و همچنین نیازی به تایید قربانی وجود ندارد.

برای توضیح بیشتر در واقع حملات فارمینگ از طریق تغییر فایل‌های host در کامپیوتر قربانی و یا از طریق بهره‌برداری از حفره‌های امنیتی DNS server، صورت می‌گیرد به همین خاطر این حمله به حملات مسمویت دی‌ان‌اس یا DNS poisoning نیز معروف است. البته به علت برخورداری از امنیت بالاتر سرور‌ها در مقایسه با فایل‌های درون کامپیوتر، هکرها از مورد دوم بیشتر بهره می‌برند.





شماره ۳- حملات فارمینگ

۳. درپشتی

‌در پشتی یک راه مخفی است برای دخالت در کنترل‌های امنیتی یا احراز هویت عادی در یک الگوریتم، سیستم‌ رمزنگاری یا یک سیستم رایانه‌ای. این پدیده می‌تواند به دلیل تنظیمات ضعیف یا طراحی اولیه اتفاق بیافتد.

۴. حملات DDoS  

DDoS مخفف عبارت Distributed Denial of Service به معنای منع از سرویس توزیع‌شده است. این حملات با اشباع ظرفیت‌های شبکه یا ماشین، خدمات‌دهی به کاربران مورد نظر را متوقف می‌کند. همچنین ممکن است با اشتباه وارد کردن رمز عبور فرد قربانی حساب کاربری او را مسدود کنند. برای جلو‌گیری می‌توان یک firewall جدید اضافه کرد. هزینه‌های متحمل از یک حمله DDoS به طور میانگین نیم میلیون دلار است.



شکل شماره ۳ – حملات DDoS

اقدامات متقابل

در مورد حفظ امنیت در برابر هکر‌ها توسط ما، به عنوان کاربر‌ان بانک‌های الکترونیک، می‌توان گفت آشنایی با روش‌های سرقت اطلاعات می‌تواند بسیار مفید باشد. هرقدر هم که امنیت در زمینه سخت‌افزاری و نرم‌افزاری رعایت شود، باز هم امنیت کاربر قابل شکستن است. در نتیجه باید هوشیارانه به فضای سایبری وارد شد. و قطعا فرهنگ‌سازی در این حوزه به شدت می‌تواند در تامین امنیت سایبری حائز اهمیت باشد.

اما از نگاه سازمان در مورد بهبود امنیت سایبری، ارزش بازار بیمه سایبری در ایالات متحده در سال ۲۰۱۵ به ۲.۵ میلیارد دلار رسیده‌است. این رقم ممکن است رشد چشمگیری را در آینده به طور جهانی داشته باشد. امنیت سایبری تا حد زیادی چندپاره است و تعداد انبوهی از استارت‌آپ‌ها در آن فعالیت دارند. همچنین سازمان‌هایی نظیر( آژانس اتحادییه اروپا برای امنیت شبکه و اطلاعات) و (شورای بررسی امورمالی فدرال) اقداماتی را جهت بهبود و تقویت امنیت سایبری در بانکداری الکترونیکی انجام‌ داده‌اند. جمله معروف یک کارشناس آمریکایی می‌گوید:« امینت سایبری، یک محصول نیست، یک فرآیند است.»

اقدامات مختلفی برای حفظ امینت وجود دارد. به طور مثال توجه به امنیت خود شبکه و نقاط پایانی حائز اهمیت است. هر گونه وسیله‌ای که از راه دور متصل به شبکه می‌شود می‌تواند یک حفرة امنیتی باشد.  شرکت‌های مختلفی به تامین امنیت و ارائه راهکار در این حوزه می‌پردازند.

مورد دیگری که برخی شرکت‌ها به موسسات مالی برای درک خطرات خارجی ارائه می‌دهند. «هوش تهدید» است. هوش تهدید در واقع به اطلاعات اصلاح شده، تحلیل‌شده و منظم‌شده در مورد حمله‌های فعلی یا احتمالی به یک سازمان گفته می‌شود. هوش تهدید می‌تواند اطلاعات دقیق و جامعی را در اختیار بانک‌ها و هر سازمان دیگر قرار دهد.

امنیت سایبری تنها مسئولیت بخش فناوری اطلاعات یک بانک نیست، بلکه همه کارکنان و کسانی که در اکوسیستم‌ سازمان قرار دارند باید با آن آشنا باشند. انسان ضعیف‌ترین حلقه در زنجیرة امنیت است و اگر در این زمینه فرهنگ‌سازی و آموزش صورت نگیرد، تمام تمهیدات فنی و کارشناسی بی‌اثر می‌شوند. در نتیجه فرهنگ‌ سازی در خود سازمان و آموزش نکات امنیتی بسیار کاربردی است.


منابع :

روبینی، آگوستین ،(۱۳۹۷)، فین‌تک در یک نگاه، ترجمه رضا قربانی و احسان روحی، انتشارات آگاه

https://en.wikipedia.org/wiki/Online_banking
https://en.wikipedia.org/wiki/Phishing
https://www.cyberpolice.ir/sites/default/files/Article-FATA-What%20is%20Phishing%20and%20Farming-www.cyberpolice.ir_.pdf
https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/