سوء استفاده از نام سجام و راه‌های جلوگیری

به گزارش می متالز، به‌تازگی مشاهده شده است برخی افراد سودجو با راه‌اندازی سایت‌های کاملاً مشابه سامانه جامع اطلاعات مشتریان (سجام) به‌دنبال دریافت اطلاعات کارت بانکی اشخاص بوده‌اند و کاربر را با عنوان پرداخت حق ثبت نام سجام به سامانه‌های جعلی و مشابه سایت‌های پرداخت الکترونیکی هدایت می‌کنند.

اشخاصی که قربانی این تله‌گذاری شده‌اند، پس از ورود اطلاعات کارت بانکی خود متوجه می‌شوند مبلغی غیرمتعارف از حسابشان کسر شده است. سایت‌های یادشده اینگونه عمل می‌کنند که اطلاعات کارت بانکی قربانی را دریافت و در اختیار شخص مهاجم قرار می‌دهند و این شخص بلافاصله با استفاده از اطلاعات کارت بانکی خرید یا پول جابه‌جا می‌کند.

امید ارباب زاده، مدیر امنیت اطلاعات شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) با اشاره به اتفاق‌های اخیر و تلاش برخی سودجویان در سوء استفاده از نام سامانه سجام تصریح کرد: فیشینگ یا تله‌گذاری به حمله‌هایی گفته می‌شود که مهاجم با راه‌اندازی سایت جعلی کاملا مشابه سایت اصلی تلاش می‌کند به اطلاعات کاربران از جمله نام کاربری، اطلاعات هویتی، اطلاعات مالی، اطلاعات کارت بانکی و…. دست یافته و با سوءاستفاده از این اطلاعات مشکلاتی را برای قربانی به وجود آورند. این نوع از حمله به راحتی و با کمی هوشیاری کاربران قابل دفاع است.

وی افزود: کاربران می‌توانند با هوشیاری کامل پیش از وارد کردن اطلاعات کارت بانکی خود برای هرگونه خرید در اینترنت به چند نکته ساده توجه و در صورتی که هر یک از این موارد وجود نداشت از ارائه اطلاعات خودداری کنند.

ارباب زاده با اشاره به الزامی بودن ثبت‌نام و احراز هویت در سجام برای خدمات پایه مانند دریافت کد بورسی اظهار کرد: نشانی رسمی سجام https://sejam.ir است و همه اطلاعات لازم شامل نام و نشانی کارگزاری‌های مورد تایید برای ثبت‌نام سجام همچنین فهرست و نشانی مراکز احراز هویت حضوری و الکترونیکی در آن آورده شده است.

وی از سرمایه‌گذاران خواست از ثبت‌نام و احراز هویت در سایت‌های متفرقه که به‌طور عمده با پسوندهای غیر متعارف مانند .LTD، .CC و … راه‌اندازی می‌شود، خودداری کنند.

مدیر امنیت اطلاعات شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) در ادامه به راهکارهای ساده برای تشخیص سایت اصلی از تقلبی اشاره کرد.

توجه به نشانی سامانه پرداخت

به گفته وی، همه سامانه‌های پرداخت مجاز دارای قالب آدرس https://bankname.shaparak.ir/abc هستند، ابتدا به‌طور با httpS آغاز می شوند. در واقع حرف S بیانگر این است که اطلاعات بین کاربر و سرور رمزگذاری شده و برای اشخاص غیرمجاز قابل استراق سمع نیست، همچنین پیش از نخستین تک خط مورب باید با shaparak.ir پایان یابد، در اینجا باید دقت داشت که همه حروف انگلیسی باشد برای نمونه shapārak.ir به‌دلیل وجود خط بالای a جعلی است.

چک کردن گواهی SSL

ارباب زاده ادامه داد: در همه مرورگرهای اینترنت امکان چک کردن گواهی SSL سایت وجود دارد که برای شاپرک به‌طور حتم «Shaparak Electronic Card Payment Network Co. (PJS)» است. این کار در مرورگرهای مختلف مشابه است.

استفاده نکردن از VPN یا فیلترشکن

مدیر امنیت اطلاعات شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) افزود: رصد اطلاعاتی پلیس فتا در فضای مجازی سبب شده است سایت‌های فیشینگ شناسایی و بلافاصله فیلتر شوند. استفاده از فیلتر شکن¬ها سبب می¬شود امکان دسترسی و سوء استفاده از طریق سایت‌های تقلبی برای قربانیان فراهم شود. به صورت کلی استفاده از فیلتر شکن‌ها و VPNهایی که برای دور زدن فیلترینگ استفاده می‌شوند یک تهدید امنیتی است که ریسک را بسیار بالا می‌برد.

استفاده از صفحه کلید مجازی هنگام وارد کردن اطلاعات کارت بانکی

وی افزود: صفحه کلید مجازی برای وارد کردن اطلاعات مهم در همه درگاه‌های پرداخت بانکی پیاده‌سازی شده است و به‌طور اکید توصیه می‌شود هنگام خرید اینترنتی هم از طریق کامپیوتر و هم موبایل از آن استفاده شود.

در پایان مدیر امنیت سمات با اشاره به اینکه رعایت نکات امنیتی بسیار ساده است و بیشتر مردم آگاهی لازم را در این باره دارند درخواست کرد که این موارد جدی گرفته شود و باکمی تامل و حوصله از اتفاق‌هایی که زیان مالی و اعتباری به بار می‌آورد، جلوگیری شود.