درگاه پرداخت یکی از سرویسهای پرکاربرد به شمار میرود که توسط ارائهدهندگان پرداخت به کسب و کارهای اینترنتی تعلق میگیرد. در حال حاضر ارائهدهندگان معتبر بسیاری وجود دارند که خدمات خود را زیر نظر نهادهای مربوطه در اختیار متقاضیان میگذارند.
از سوی دیگر افرادی برای به دست آوردن برخی از اطلاعات کاربران همچون: نام کاربری، گذرواژه، مشخصات حساب بانکی و… در تلاش برای سرقت اموال آنها هستند. به این عمل در زبان انگلیسی (Phishing) فیشینگ یا تلهگذاری گفته میشود که متاسفانه همواره در حال رشد است.
درگاه پرداخت جعلی از انواع روشها و تکنیکهای سرقت اطلاعات از طریق بستر اینترنت محسوب میشود که متخلفین برای انجام آن سعی در سرقت اطلاعات و سپس خالی کردن حساب افراد دارند. برای شناسایی و مقابله با درگاههای پرداخت فیشینگ ابتدا لازم است تا با آنها بیشتر آشنا شویم. از این رو ما متن پیشرو را برای کاربران و خوانندگان آماده کردهایم تا به آگاهی آنها بیافزاییم.
سازکار درگاه پرداخت فیشینگ به چه صورت است؟
فیشینگ یا شکار گذرواژه از طریق یک طعمه (Password Harvesting Fishing) به کپی دقیق رابط گرافیکی یک وبگاه معتبر تلقی میشود. قدم اول در این عمل راهنمایی و سوق دادن کاربر به وسیله یک آگهی تبلیغاتی یا حتی یک ایمیل به صفحه قلابی مد نظر است.
سپس با مراجعه به صفحه مد نظر، از کاربر خواسته میشود تا اطلاعات حساس و مهمی مانند مشخصات کارت اعتباری را در سایت وارد کند. بدین ترتیب فیشرها که اغلب ما آنها را با اسم هکر میشناسیم به اطلاعات شخصی ما دسترسی پیدا کرده و در زمان مناسب از این اطلاعات سوء استفاده میکنند. در زیر برخی از اطلاعاتی که ممکن است سایتهای فیشینگ از کاربران بخواهند را نام میبریم:
- نام کاربری و رمز عبور
- شماره تلفن همراه مربوط به حسابهای بانکی
- اطلاعات مربوط به هویت نظیر: سال تولد، نام و نام خانوادگی
- نام پدر یا مادر
- کدهای خصوصی مربوط به اشخاص
- پرسشهای مختلف مانند: چه چیزی دوست دارید؟
- رمز پویا
فیشرها چگونه درگاه پرداخت جعلی میسازند؟
همانطور که پیشتر بیان کردیم، فیشرها با کپی برداری درگاههای پرداخت معتبر و ساخت درگاه پرداخت مشابه نسخه اصلی، اقدام به ترغیب کاربران به login یا وارد کردن اطلاعات حسابهای خود میکنند. ساخت درگاه پرداخت فیشینگ یا جعل یک صفحه وبسایت امری ساده است.
به طوریکه یک برنامهنویس متوسط یا یک هکر به راحتی میتواند تنها با آشنایی با مفاهیم مربوط به: java script، PHP و HTML و نیز با خرید یک دامنه و هاست اقدام به ساخت یک صفحه وبسایت جعلی و درگاه پرداخت فیشینگ کند.
با این اوصاف هر ساله به تعداد افرادی که از این طریق اقدام به کلاهبرداری میکنند افزوده میشود. به گونهای که طبق آمارهای رسمی هر ماه در حدود ۵/۱ میلیون سایت جدید فیشینگ به وجود میآید و ۷۶ درصد از کسب و کارهای اینترنتی در سال ۲۰۱۸ قربانی حملات فیشینگ شدهاند.
اهمیت امنیت درگاه پرداخت اینترنتی و روشهای تشخیص درگاه پرداخت فیشینگ
مشتریان پس از اینکه محصول یا خدمات دلخواه خود را از وبسایت مد نظر انتخاب کردند، برای خرید آن به درگاه پرداخت ارجاع داده میشوند. یک درگاه پرداخت امن تاثیر بسزایی در رشد وبسایت فروشگاهی ما با جلب اعتماد مشتریان دارد. از این رو میبایست درگاه پرداخت خود را از شرکتهای PSP یا پرداخت یار معتبر مانند رایان پی انتخاب کنید.
برای تشخیص درگاه پرداخت امن از درگاه فیشینگ روشهای متعددی وجود دارد که در توضیحات ذیل به مهمترین و کارآمدترین آنها پرداختهایم:
۱-چک کردن آدرس (URL) صفحه درگاه پرداخت
اولین راه برای تشخیص درگاه پرداخت فیشینگ، توجه به URL صفحه پرداخت است. اغلب موارد URL این صفحه حاوی نام شاپرک (shaparak) بوده و این نام در درگاههای پرداخت جعلی با تغییراتی کوچک نوشته میشود. به طور مثال عبارت شاپرک با یک کاراکتر اضافه نوشته شده باشد: http://xxx.shaaparak.ir
نکته: در عبارتhttps://xxx.shaparak.ir سه ایکس پشت سر یکدیگر نشاندهنده آدرس شرکت ارائهدهنده خدمات پرداخت است. همچنین //:https به همراه یک علامت قفل در کنار آن نمایان کننده معتبر بودن صفحه درگاه پرداخت مورد نظر میباشد.
۲-رفرش صفحه درگاه پرداخت
یکی دیگر از راههای شناسایی درگاه پرداخت جعلی، رفرش کردن صفحه پرداخت است.
به طور معمول درگاههای پرداخت دارای صفحه کلیدی مجازی (با اعدادی نامرتب) هستند که این صفحه کلید به کاربران این امکان را میدهد تا اطلاعات بانکی خود را به وسیله آن وارد کنند. اعداد این صفحه کلید در درگاههای پرداخت معتبر با رفرش کردن صفحه همواره تغییر میکند. بنابراین تغییر نکردن این اعداد با رفرش صفحه نشاندهنده جعلی بودن درگاه پرداخت است.
۳-وارد کردن اطلاعات نادرست
در شرایط عادی اگر اطلاعات نادرستی در یک درگاه پرداخت معتبر وارد کنید، یک پیغام خطا برای شما ارسال میشود و فرآیند پرداخت میبایست از نو صورت پذیرد. با نظر به این موضوع برای تشخیص درگاه پرداخت فیشینگ میتوان برای یک دفعه اطلاعات حساب خود را اشتباه وارد کرد. بدین ترتیب اگر با هیچگونه خطایی مواجه نشدید به این معناست که درگاه مد نظر جعلی بوده و تنها برای کلاهبرداری ساخته شده است.
۴-نصف افزونه ضد فیشینگ
نصب افزونه ضد فیشینگ بر خلاف روشهای قبلی کاربردیتر است و امنیت پرداختهای ما را به راحتی تامین میکند. این افزونه (extension) به راحتی بر روی مرورگرها قابل نصب بوده و در جهت شناسایی درگاههای پرداخت فیشینگ به ما یاری میرساند. به طوریکه با مراجعه به یک درگاه پرداخت فیشینگ، این افزونه پیام اخطاری در خصوص جعلی بودن درگاه ارسال میکند و شما را نسب به تقلبی بودن صفحه آگاه میسازد.
در صورت مورد حمله قرار گرفتن توسط فیشرها چه کنیم؟
درمورد راههای شناسایی درگاه پرداخت فیشینگ در بسیاری از سایتها بحث شده است و ما در این متن به بعضی از مفیدترین آنها پرداختیم. اما در صورت به دام افتادن در یکی از این درگاههای پرداخت باید چه کارهایی را انجام دهیم؟
در اولین اقدام پیشنهاد میشود تا رمزهای کارت اعتباری خود (اعم از رمز اول و رمز دوم) را به سرعت تغییر دهید. سپس از صورتحساب بانکی خود به منظور آگاهی از تراکنشهای انجام شده یک پرینت تهیه کنید. در نهایت با مراجعه به دادسرای محل سکونت خود، مشکل به وجود آمده را با مسئولان مربوطه در میان گذارید تا دادسرا پرونده شما را به پلیس فتا ارجاع دهد.
نتیجهگیری و توصیه نهایی ما به کاربران
فیشینگ یکی از رایجترین حملات سایبری است که به شکلهای مختلفی صورت میگیرد.
ایمیل فیشینگ، فیشینگ تلفنی و پیامکی، فیشینگ درگاه پرداخت اینترنتی و… انواعی از فیشینگهای شناخته شده هستند که همواره افراد مختلفی را مورد هدف قرار میدهند. در حال حاضر بر اساس آمارهای اعلام شده ۳۰ درصد از پیامهای فیشینگ توسط کاربران باز میشود. این بدان معناست که تنها با بالا بردن آگاهی مردم و هشدار به آنها میتوان از سرقتهای احتمالی جلوگیری کرد. بنابراین آخرین و با اهمیتترین توصیه ما در این مقاله به کاربران و خوانندگان گرامی این است که در حد توان نسبت به راههای مقابله با فیشرها و شناسایی درگاههای پرداخت جعلی اطلاعات کسب کنند.