امنیت سایبری در بانکداری الکترونیک

نویسنده: امیرحسین گرزین ، دانشجوی کارشناسی مهندسی صنایع دانشگاه علم و صنعت ایران

مقدمه

واژه امنیت همواره با نام بانکداری همراه بود‌ه‌است. ارتباطی مستقیم میان اعتماد و امنیت است و ناامنی نه‌ فقط سرمایه مادی بلکه سرمایه معنوی بانک یعنی مشتریان را از آنها می‌گیرد.

هر فناوری و تحول جدید، چالش‌هایی را با خود به همراه دارد. قطعا یکی از چالش‌ها و نیاز‌ها در بانکداری الکترونیک تامین امنیت است. حال بنگریم چه‌گونه با تحول در شیوه بانکداری واژة «امنیت» جایگاه خود را در ماهیت این حوزه حفظ می‌کند.

 بگذارید اینطور به مسئله نگاه کنیم. همة ما در مورد امنیت سایبری و ضرورت آن شنیده‌ایم، یا ممکن است در مورد هک‌شدن حساب‌‌های بانکی‌مان فکر کرده باشیم. در امنیت سایبری دو موضوع وجود دارد؛ «حملات» و «اقدامات».



شکل شماره ۱ – امنیت سایبری در بانکداری الکترونیک

خب ابتدا به حملات و انواع جرم‌های سایبری بپردازیم. انواع مختلفی از جرم‌ها و روش‌های حمله وجود دارد که به توضیح مختصر بخشی از آن‌ها می‌پردازیم.

۱. فیشنیگ

«فیشنیگ» یکی از نام‌های آشنا در حملات سایبری است و احتمالا این واژه را شنیده‌اید. فیشنگ که به نوعی از واژة fishing یا ماهیگیری نشات گرفته است، به مجموعه اقدامات گفته می‌شود که برای دستیابی به رمز، نام‌کاربری و دیگر اطلاعات حساس کاربر با استفاده از اعتمادسازی انجام می‌پذیرد. فیشینگ انواع مختلفی دارد.



شکل شماره ۲- حملات فیشینگ

سایت جعلی

یکی از راه‌های مرسوم در این حمله طراحی سایت صفحه جعلی است. به عنوان مثال؛ فرض کنید شما قصد می‌کنید یک کفش را به صورت آنلاین خریداری کنید. شما بروی دکمه «خرید» کلیک می‌کنید و وارد یک صفحه بانکی می‌شوید. البته بهتر از بگوییم یک صفحه ظاهرا متعلق به بانک، با همان لوگو و آدرس اینترنتی بسیار مشابه. از آن‌ جایی که این صفحه اینترنتی برای بانک نیست، اطلاعاتی که در آن وارد می‌کنید به بانک نمی‌رسد بلکه به دستان فیشر می‌افتد و اطلاعات کارت بانکی شما با موفقیت هک می‌شود!

صوتی

در حمله فیشنیگ حتما نیاز به یک سایت تقلبی نیست. در بعضی موارد این حمله با استفاده از تلفن صورت می‌گیرد. به این صورت که شما برای حل مشکلات بانکی خود از طریق تلفن بانک با یک شماره تقلبی تماس می‌گیرد و اطلاعات خود را از طریق صفحه کلید تلفن وارد می‌کنید.

مهندسی اجتماعی

روش دیگر مهندسی اجتماعی است. در واقع مهندسی اجتماعی نوعی از کلاهبرداری است که کاربر را متقاعد می‌کند اطلاعات حساس را در اختیار قرار دهد. برای مثال؛ مهاجم یک ایمیل جعلی از طرف مدیرعامل به بخش‌های مالی و حسابداری ارسال می‌کند. طبق گزارش اف‌بی‌آی، این نوع نقشه هزینه‌ای بالغ بر دو میلیارد دلار در هر دو سال برای شرکت‌های آمریکایی در بردارد.

۲. فارمینگ

فارمینگ یک لغت اختراعی از ترکیب دو کلمة phishing  و farming است که به حملات فیشنیگ شباهت زیادی دارد. این حمله به یکی از نگرانی‌های عمدة سایت‌های بانکداری آنلاین تبدیل شده ‌است. در فارمینگ ترافیک یک سایت به سمت سایت‌های جعلی هدایت می‌شود. در واقع در این روش بر خلاف فیشنیگ، مهاجم نیازمند به حمله نفر به نفر نیست و همچنین نیازی به تایید قربانی وجود ندارد.

برای توضیح بیشتر در واقع حملات فارمینگ از طریق تغییر فایل‌های host در کامپیوتر قربانی و یا از طریق بهره‌برداری از حفره‌های امنیتی DNS server، صورت می‌گیرد به همین خاطر این حمله به حملات مسمویت دی‌ان‌اس یا DNS poisoning نیز معروف است. البته به علت برخورداری از امنیت بالاتر سرور‌ها در مقایسه با فایل‌های درون کامپیوتر، هکرها از مورد دوم بیشتر بهره می‌برند.





شماره ۳- حملات فارمینگ

۳. درپشتی

‌در پشتی یک راه مخفی است برای دخالت در کنترل‌های امنیتی یا احراز هویت عادی در یک الگوریتم، سیستم‌ رمزنگاری یا یک سیستم رایانه‌ای. این پدیده می‌تواند به دلیل تنظیمات ضعیف یا طراحی اولیه اتفاق بیافتد.

۴. حملات DDoS  

DDoS مخفف عبارت Distributed Denial of Service به معنای منع از سرویس توزیع‌شده است. این حملات با اشباع ظرفیت‌های شبکه یا ماشین، خدمات‌دهی به کاربران مورد نظر را متوقف می‌کند. همچنین ممکن است با اشتباه وارد کردن رمز عبور فرد قربانی حساب کاربری او را مسدود کنند. برای جلو‌گیری می‌توان یک firewall جدید اضافه کرد. هزینه‌های متحمل از یک حمله DDoS به طور میانگین نیم میلیون دلار است.



شکل شماره ۳ – حملات DDoS

اقدامات متقابل

در مورد حفظ امنیت در برابر هکر‌ها توسط ما، به عنوان کاربر‌ان بانک‌های الکترونیک، می‌توان گفت آشنایی با روش‌های سرقت اطلاعات می‌تواند بسیار مفید باشد. هرقدر هم که امنیت در زمینه سخت‌افزاری و نرم‌افزاری رعایت شود، باز هم امنیت کاربر قابل شکستن است. در نتیجه باید هوشیارانه به فضای سایبری وارد شد. و قطعا فرهنگ‌سازی در این حوزه به شدت می‌تواند در تامین امنیت سایبری حائز اهمیت باشد.

اما از نگاه سازمان در مورد بهبود امنیت سایبری، ارزش بازار بیمه سایبری در ایالات متحده در سال ۲۰۱۵ به ۲.۵ میلیارد دلار رسیده‌است. این رقم ممکن است رشد چشمگیری را در آینده به طور جهانی داشته باشد. امنیت سایبری تا حد زیادی چندپاره است و تعداد انبوهی از استارت‌آپ‌ها در آن فعالیت دارند. همچنین سازمان‌هایی نظیر( آژانس اتحادییه اروپا برای امنیت شبکه و اطلاعات) و (شورای بررسی امورمالی فدرال) اقداماتی را جهت بهبود و تقویت امنیت سایبری در بانکداری الکترونیکی انجام‌ داده‌اند. جمله معروف یک کارشناس آمریکایی می‌گوید:« امینت سایبری، یک محصول نیست، یک فرآیند است.»

اقدامات مختلفی برای حفظ امینت وجود دارد. به طور مثال توجه به امنیت خود شبکه و نقاط پایانی حائز اهمیت است. هر گونه وسیله‌ای که از راه دور متصل به شبکه می‌شود می‌تواند یک حفرة امنیتی باشد.  شرکت‌های مختلفی به تامین امنیت و ارائه راهکار در این حوزه می‌پردازند.

مورد دیگری که برخی شرکت‌ها به موسسات مالی برای درک خطرات خارجی ارائه می‌دهند. «هوش تهدید» است. هوش تهدید در واقع به اطلاعات اصلاح شده، تحلیل‌شده و منظم‌شده در مورد حمله‌های فعلی یا احتمالی به یک سازمان گفته می‌شود. هوش تهدید می‌تواند اطلاعات دقیق و جامعی را در اختیار بانک‌ها و هر سازمان دیگر قرار دهد.

امنیت سایبری تنها مسئولیت بخش فناوری اطلاعات یک بانک نیست، بلکه همه کارکنان و کسانی که در اکوسیستم‌ سازمان قرار دارند باید با آن آشنا باشند. انسان ضعیف‌ترین حلقه در زنجیرة امنیت است و اگر در این زمینه فرهنگ‌سازی و آموزش صورت نگیرد، تمام تمهیدات فنی و کارشناسی بی‌اثر می‌شوند. در نتیجه فرهنگ‌ سازی در خود سازمان و آموزش نکات امنیتی بسیار کاربردی است.


منابع :

روبینی، آگوستین ،(۱۳۹۷)، فین‌تک در یک نگاه، ترجمه رضا قربانی و احسان روحی، انتشارات آگاه

https://en.wikipedia.org/wiki/Online_banking
https://en.wikipedia.org/wiki/Phishing
https://www.cyberpolice.ir/sites/default/files/Article-FATA-What%20is%20Phishing%20and%20Farming-www.cyberpolice.ir_.pdf
https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

یادداشت دکتر علیرضا قنادان، به مناسبت بازاریابی دیجیتال، دوازدهمین شمارۀ نشریۀ سامانۀ نو

چند سالی است که شنیدن عناوینی نظیر «اینترنتی»، «دیجیتال»، «الکترونیکی» یا مواردی از این دست در کنار واژه‌ها و اصطلاحات روزمره زندگی به روالی رایج تبدیل شده که حوزه کسب‌وکار نیز از این رسم نوظهور مستثنی نیست. اگر ۱۰ یا ۱۵ سال پیش به کار بردن یا شنیدن چنین اصطلاحاتی برای بسیاری از فعالان کسب‌وکار کاملا هیجان‌انگیز و نوگرایانه محسوب می‌شد، امروزه دیگر روال رایجی است که ناآشنایی با آن به معنای دور ماندن از رسوم رایج تجارت و عقب‌افتادگی در میدان رقابت است. بازاریابی دیجیتال نیز یکی از اصطلاحاتی است که این روزها در اغلب منابع مرتبط با مدیریت و کسب‌وکار در مورد آن صحبت می شود.

اگر چه ذهنیت غالب در مورد بازاریابی دیجیتال به شکلی است که آن را گونه‌ای جدید از بازاریابی در دوره امپراطوری تکنولوژی‌های ارتباطی معرفی می‌کند، اما باید دانست که بازاریابی دیجیتال بیش از آنکه شیوهای جدید از بازاریابی باشد، اجرای کارکردهای زیربنایی و بعضا سنتی بازاریابی اما با ابزارهای جدید مبتنی بر تکنولوژی‌های دیجیتال است. این واقعیت بدان معنا خواهد بود که به طور طبیعی ورود به حوزه بازاریابی دیجیتال، مستلزم آشنایی با اصول و کارکردهای بازاریابی خواهد بود.

فارغ از تعاریف و مفاهیم اولیه، معمولاً چند ویژگی مثبت برای بازاریابی دیجیتال عنوان می‌شود که ریشه استقبال گسترده و رواج روزافزون آن نیز بر اساس همین ویژگی‌ها تحلیل شده است. مهم‌ترین ویژگی مثبت بازاریابی دیجیتال نسبت به انواع سنتی بازاریابی، اثربخشی بالاتر آن است که در مطالعات مختلف با شاخص‌هایی نظیر نرخ تبدیل سنجیده می‌شود. اما در کنار اثربخشی بالا، ویژگی‌های مثبت دیگری چون هزینه کمتر، امکان تولید و انتشار محتوای مرتبط‌تر و درگیرکننده‌تر در کانال‌های دیجیتالی، قابلیت سنجش و بهینه‌سازی عملکرد کمپین‌ها و مواردی نظیر آن از جمله ویژگی‌های دیگری است که بازاریابی دیجیتالی را به انتخابی مناسب‌تر نسبت به بازاریابی در کانال‌های سنتی بدل می‌نماید.

از سوی دیگر با وجود همه نکات پیش گفته، همانند هر پدیده دیگری در دنیای اطراف ما، نکات و ویژگی‌های مثبت همواره یک روی سکه هستند که بزرگنمایی و توجه بیش از حد به آن‌ها می‌تواند گمراه کننده باشد. این موضوع بدان معنا خواهد بود که بهره‌گیری از بازاریابی دیجیتال در کنار تمامی مزایای خود، چالشها و محدودیتهایی را نیز به همراه خواهد داشت که به عنوان روی دیگر سکه شناخت و توجه به آن‌ها نیز بسیار حایز اهمیت است. به عبارت دیگر مسئله این است که شرکت‌های مختلف در هر شرایط و با هر سطح از آمادگی توان بهره‌برداری از مزایای بازاریابی دیجیتال را نخواهند داشت. حال باید پرسید که مهم‌ترین چالش‌های پیش‌رو در اجرای بازاریابی دیجیتال کدامند؟

پیش از هر چیز باید دانست که دسترسی به نیروی انسانی آشنا با مهارت‌های پایه‌ای لازم برای اجرای موفق کمپین‌های بازاریابی دیجیتال در کشور ما چندان زیاد نیست. ریشه این مشکل را در درجه اول می‌بایست با ذات نوظهور روش‌ها، ابزارها و تکنیک‌های بازاریابی دیجیتال مرتبط دانست. از سوی دیگر، علی‌رغم رشد کمّی سمینارها، همایش‌ها و دوره‌های آموزشی که این روزها با هدف کارشناسان و متخصصان ماهر بازاریابی دیجیتال برگزار می‌شوند، اغلب این رویدادها فاقد کیفیت و زیرساخت‌های مهارتی مورد نیاز هستند. گذشته از این موضوع، کمبود آژانس‌های تخصصی بازاریابی دیجیتال که از قابلیت‌ها و تجربه کافی در این زمینه برخوردار باشند نیز خود از محدودیت‌های کلیدی در همین حوزه قلمداد می‌شود.

به عنوان دومین چالش باید به این نکته توجه داشت که اغراق بیش از حد در طرح مسئله ROI بالای بازاریابی دیجیتال برخی سوءتفاهمات و انتظارات غیر واقعی را در مدیران کسب‌وکارها ایجاد کرده و آن‌ها را به طور افراطی به سمت ابزارهای دیجیتال سوق داده است؛ در حالی‌که گرفتار شدن در دام افراط و تفریط در حوزه بازاریابی دیجیتال به سادگی می‌تواند سرمایه‌های شرکت‌ها را بر باد دهد.

گذشته از این موضوعات، در بسیاری اوقات چالش از آن‌جا شکل می‌گیرد که مقدمات لازم برای اجرای موفق بازاریابی دیجیتال فراهم نیست؛ به عنوان مثال، استقرار حداقل‌هایی از ابزارهای CRM در شرکت که به‌توان با کمک آن‌ها سرنخ‌های ایجاد شده از کمپین‌های بازاریابی دیجیتال را ثبت و پیگیری نمود، یکی از ضروریات اجتناب‌ناپذیر برای قدم گذاشتن در مسیر بازاریابی دیجیتال است که کمتر مورد توجه قرار می‌گیرد. از سوی دیگر مواجهه با محدودیت‌های پیش‌رو برای کسب‌وکارهای کشورمان در بهره‌گیری از بسیاری ابزارهای رایج در دنیای دیجیتال که بدلایل مختلف داخلی یا خارجی، استفاده از آن‌ها برای کاربران ایرانی محدود یا مسدود است نیز بر چالش‌های فعالان این حوزه می‌افزاید.

در هر حال، قطار توسعه و تحول در زندگی بشر رو به جلو می‌تازد و با تکامل روزمره تکنولوژی قطعا مظاهر جدیدی از ابزارها و روش‌ها در حوزه‌های مختلف مدیریت کسب‌وکار پدیدار خواهد شد. در چنین شرایطی آنچه به طور قطع می‌توان گفت آن است که در این حوزه نوظهور در فضای تخصصی کشور ما میزان نادانسته‌ها بسیار بیشتر از دانسته‌هاست و هر گونه فعالیت در زمینه تولید و توزیع منابع تخصصی کمک شایانی در مسیر آشنایی با مفاهیم، چالش‌ها و چگونگی بهره‌برداری موثر از منافع بازاریابی دیجیتال خواهد نمود.

درباره‌ی علیرضا قنادان بیشتر بدانید.