تبهکاران سایبری و چالشهای فراروی صنعت بانکداری

 تبهکاران سایبری و چالشهای فراروی صنعت بانکداری

​نویسنده : رضا معروف
مقدمه:
پيشرفت و توسعه روز افزون فن آوري اطلاعات و ارتباطات از اوايل دهه 80 ميلادي به بعد موجب بروز تحولات شگرفي در حوزه علوم، فنون و صنايع مختلف گرديد و صنعت بانكداري نيز از اين تحولات بي نصيب نمانده، بطوريكه هم اکنون نقش فن آوري اطلاعات در اين صنعت بقدری كليدي است كه ادامه حیات بانكداري  بدون وجود این فن آوری عملاً غیر ممکن می نماید.
امروزه منافع بكارگيري بانكداري الكترونيك و اينترنتي بركسي پوشيده نيست، منافعي مانند كاهش هزينه های عملياتي بانك ها، كاهش گردش اسكناس به عنوان يك منبع عمده انتشار عوامل میکروبی وبیماری زا، كاهش هزينه هاي نشر اسكناس، كاهش ترافيك شهرهاي بزرگ، كاهش معضل آلودگي هوا، ارتقاء عملكرد سيستم مالياتي کشور و... كه هم بانك ها و موسسات مالي و هم جامعه از آن منتفع مي گردند.
در كشور ما نيز از اواخر دهه هفتاد شمسی اولين نشانه هاي بكارگيري بانكداري الكترونيك با ظهور کارتهای بانکی و ماشینهای خودپرداز ديده شد و در حال حاضر كمتر بنگاه اقتصادی يا موسسه مالي را مي توان يافت كه به تبليغ محصولات و خدمات الكترونيكي خود در رسانه هاي گروهي و جمعی نپردازد.
با وجود تمامی مزايا و منافع قابل تصور براي بانكداري الكترونيك و اینترنتی كه ذكر تمامي آنها از حوصله اين نوشته خارج است، ظهور اين نوع بانكداري بهمراه خود مخاطرات تازه ای را نيز به ارمغان آورده و زمينه بروز تقلبات و سوء استفاده هاي مالي به شيوه هاي نوین را فراهم كرده است.
در سال هاي اخير گزارشات متعددی در خصوص تقلب در حوزه بانكداري آنلاين انتشار یافته که از به سرقت رفتن سالانه ميليارد ها دلار پول مشتريان بانکها توسط سارقان سايبري حکایت دارند.
هر چند ميزان برخورداري و بكار گيري كشورهاي مختلف جهان از فن آوري اطلاعات و بانكداري آنلاين، همچنين ميزان صدمه پذيري آنان در برابر مخاطرات موجود متفاوت است،ليكن فراهم شدن تمهيدات لازم از سوي
سياست گذاران اين حوزه جهت پيشگيري از وقوع جرائم اينترنتي و سايبري در حوزه بانكداري براي همه كشورها امري حياتي به نظر مي رسد.
در حال حاضر حجم تراكنش هاي بانكداري آنلاين بخصوص دركشور هاي جهان سوم ودر حال توسعه روند
فزاينده ای داشته، بطوري كه بر اساس يك تحقيق كه در سال 2009میلادی انجام گرفت، تعداد تراكنش هاي سالانه ثبت شده بانكداري آنلاين در كشور تركيه (و نه ارزش مالی آن) بيش از 5/1 برابر تعداد تراکنشهای كشور توسعه يافته اي مانند فرانسه درمدت مشابه بوده در صورتيكه بعید به نظر مي رسد امكانات امنيتي در نظر گرفته شده جهت ايمن سازي تبادلات مالي در فضاي سايبر در دو كشور ياد شده يكسان بوده يا دست كم به يك ميزان گسترش پيدا كرده باشد.
اوضاع در کشورهای کمتر توسعه یافته نظیر آمریکای لاتین وجنوب آسیا نیز کم و بیش مشابه است.
در این کشورها گسترش سریع و در دسترس قرار گرفتن فن آوریهای ارزان قیمت، موجب رشد فزاینده حجم تبادلات مالی آنلاین بخصوص معاملات مبتنی بر بانکداری از طریق تلفن همراه، بدون ارتقاء متناسب مکانیسم های امنیتی کارآمد درآن کشورها شده است.
به همين جهت كشورهاي درحال توسعه بدليل عدم برخورداري از فن آوري هاي امنیتی روز دنيا و توانايي كمتر
در سرمايه گذاري هاي كلان در زمينه فن آوري اطلاعات، بيشتر مورد تهدید و مواجهه با خطر بوده و تبعات منفی آن در اين گونه جوامع بحران زا و شديد تر است.
آنچه در ادامه از نظر خواهد گذشت، به منظور آشنايي علاقه مندان حوزه بانكداري الكترونيك و آنلاين با جديد ترين بدافزارهای مالی، روشها و ترفند هاي تبهکاران سايبري در زمينه سرقت از حسابهاي مشتريان
و نهایتاً تدابیر حفاظتی و امنیتی بانکها در این زمینه بمنظور جلب توجه بيشتر صاحبان حرف و مشاغل مرتبط با موضوع، به رشته تحریر در آمده است.
در سالهاي اخير طراحان بدافزارها پيش از آنكه به دنبال آسيب رساندن به كامپيوترها باشند، بدنبال دزديدن اطلاعات حساب هاي بانكي و كارت هاي اعتباري بوده اند و اين معضلي است كه سالي يك ميليارد دلار به
بانك هاي آمريكايي زيان وارد مي كند.
يكي از مهمترين اين بد افزارها، Key Logger ها هستند كه دكمه هايي را كه روي كيبوردتان مي فشاريد ثبت مي كنند و اطلاعات محرمانه از جمله Password شما را پيدا كرده و براي سازندگان خود مي فرستند.
البته Key Logger ها را براحتي مي توان گمراه كرد. راه حل بانك ها براي مقابله با اين معضل آنست كه زماني كه فرد مي خواهد وارد حساب بانكي خود شود تنها بخشهايي از Password از او درخواست مي شود و حتي نيازي به استفاده از Keyboard فيزيكي هم نيست و مشتري مي تواند از كيبورد مجازي تعبيه شده در سايت بانك استفاده كند.
 
 نوع ديگر ترفند ها براي دست يابي به اطلاعات محرمانه مشتريان، ايميل هايي است كه ادعا مي كنند از طرف بانك شما ارسال شده اند و در متن ايميل لينكي را معرفي مي نمايند كه شما را به يك وب سايت قلابي ارتباط مي دهند كه كاملاً شبيه وب سايت بانك طراحي شده و اطلاعاتي كه در آن وارد مي كنيد مستقيماً  بهinbox دزدان اينترنتي ارسال مي گردد.
براي مقابله با اين مشكل بانك ها مراحلي را به فرآيند Login كردن اضافه كرده اند كه مشتري تشخيص دهد در وب سايت واقعي است يا قلابي. در اين مورد وب سايت واقعي يك تصوير را با كلمه اي كه قبلاً خودتان انتخاب كرده ايد براي شما نمايش مي دهد، چيزي كه وب سايت قلابي از وجود آن بي خبر است.
از طرف ديگر بعضي از بانك ها دستگاه هايي بنام Token يا Dongle را در اختيار مشتريان خود قرار
داده اند.
اين دستگاه ها هر بار يك عدد تصادفي توليد مي كنند و بعبارت صحيح تر يك Random Generator يا مولد اعداد تصادفي هستند كه الگوريتم توليد رمز آنها براي وب سايت بانك شناخته شده است.
مشتري مي تواند از طريق وارد كردن اعداد توليد شده توسط دستگاه در وب سايت بانك، وارد حساب بانكي خود شود.
 
 اما براي آنكه بدانيم به چه دليل بانك ها اين هزينه هاي سرسام آور را متحمل مي شوند بايد به يك موضوع
پيچيده تر اشاره كنيم؛ بد افزارهايي وجود دارند كه بسياري از سرقت هاي بزرگ Online توسط آنها انجام گرفته است و به شكل كاملاً هوشمندانه پول را از حساب مشتريان به حساب طراحان خود واريز مي كنند، به همين جهت آنها را بدافزارهاي مالي مي نامند. اين بدافزارها در كامپيوتري كه آنها را آلوده كرده اند كاملاً پنهاني زندگي كرده و دقيقاً زماني كه كاربر وارد سايت بانك مي شود فعال شده و اطلاعاتي كه ديده مي شوند را دستكاري مي كنند.
براي نمونه به تصاوير زير توجه كنيد، دو كامپيوتر هر دو وارد وب سايت يك بانك شده اند ولي چيزي كه روي صفحه هاي آنها ديده مي شود متفاوت است. صفحه كامپيوتري كه به بدافزار آلوده نيست فقط نام كاربري را سوال مي كند ولي كامپيوتر آلوده شماره كارت و شماره رمز آنرا هم بصورت كامل درخواست مي كند و اين موضوع فقط وب سايت يك بانك رادرگير نمي كند بلكه سارقان مي توانند بدافزار را براي سايت بانك هاي مختلف طراحي كنند.
 
 
 
 اين نوع بدافزارها با نامهاي مختلف از جمله Spaya و Karber وجود دارند. ولي يكي از شناخته شده ترين آنها Zeus است. كاربر Zeusرا نمي بيند،او تصور مي كند درحال تعامل با بانك خود است، درحاليكه در تمام مدت مشغول تعامل با Zeus است ودر واقع اين Zeus است كه با بانك كاربر در تماس است و اطلاعات كاربر را دزيده و بجاي او وارد حساب مي شود و هر معامله اي را كه بخواهد انجام مي دهد، اما تصويري به كاربر نشان مي دهد كه احساس كند همه چيز عادي است.
بدافزارهاي مالي روز به روز هوشمند تر مي شوند، نسل اول آنها فقط صفحه Login را دستكاري مي كردند و اطلاعات محرمانه مشتري را از اين طريق دريافت مي نمودند. ولي نسخه هاي جديد تر به روشهاي خلاقانه تري
مي توانند هر صفحه اي را كه مشتري به آن وارد مي شود به گونه اي ديگر براي او نمايش دهند.
بعنوان مثال صبر مي كنند تا پولي به جايي واريز كنيد، وقتي دكمه تائيد نهايي را فشرديد، رقمي را كه واريز
 كرده ايد عوض مي كنند و شماره حسابي را كه به آن پول واريز مي شود با شماره حساب سازنده بدافزار عوض
 مي كنند. اما چيزي كه در صورت حساب مي بينيد همان اطلاعاتي است كه خودتان وارد كرده ايد و به همين جهت اصلاً به چيزي مشكوك نمي شويد.
اخيراً كد منبع Zeus روي اينترنت منتشر شده است تا تحليل گران بتوانند طراحي پيچيده آن را بررسي كرده و براي مقابله با آن راه حلي پيدا كنند.
اما چطور اين بدافزارها براحتي آنتي ويروسي را كه روي سيستم نصب كرده ايم دور مي زنند. يكي از دلايل موفقيت اين بد افزارها اين است كه طوري طراحي شده اند كه نرم افزار امنيتي كامپيوتر شما نمي تواند براحتي آنها را تشخيص دهد يا رديابي نمايد.
نرم افزارهاي امنيتي كه در كامپيوترهاي شما استفاده مي شوند، دقيقاً مثل گاردهاي امنيتي عمل مي كنند، بدين صورت كه در ابتدا به دنبال چهره هاي مشكوك يا كساني كه در ليست سياه هستند مي گردند و بعد منتظر مي شوند تا چهره مشكوك،رفتار مشكوكي از خود بروز دهد و اگر در هيچ يك از اين مراحل موفق نبود، موقع خارج شدن اطلاعات از سيستم از خروج آنها جلوگيري مي كنند. اما بدافزارهاي مالي امروزي ماننــــد  Zeusمي توانند همه اين تدابير را دور بزنند، اين نرم افزارها مي توانند چهره خود را چندين هزار بار در روز تغيير دهند و اين چهره ها به هيچ وجه با چهره هاي موجود در ليست سياه نرم افزارهاي امنيتي (بدافزارهاي موجود در ليست سياه) مشابه نيستند. اين بد افزار خيلي زيركانه و محتاط عمل مي كند تا مشكوك به نظر نرسد و توجه جلب نكنند واز همه  مهمتر آنست كه وقتي مي خواهد اطلاعات شما را بدزدد از نرم افزارهاي ديگر بخصوص مرورگر يا Browser شما بعنوان ابزار انتقال استفاده مي كند.
به اين نوع حملات اصطلاحاً سرقت توسط فرد پنهان در مرورگر يا Man In The Browser مي گويند. در اينجا به واقع بدافزار داخل مرورگر شما است و بين شما و وب سايت بانك قرار مي گيرد و چيزهايي را كه مي بينيد يا اطلاعاتي را كه وارد مي كنيد دستكاري مي كند.
هر بار كه نسخه جديد تري از Zeus به بازار مي آيد، روزها و گاهي هفته ها طول مي كشد تا شركت هاي توليد نرم افزارهاي امنيتي بتوانند آنرا شناسايي كنند و تا وقتي اين بد افزار شناسايي شود، تنها شانس كاربران آن است كه نسخه قديمي تر نرم افزارهاي امنيتي بتوانند به طرق ديگري جلوي فعاليت آن را بگيرند.
يك محقق به نام  Chris Pickardكه تخصص او تست كردن نرم افزار هاي امنيتي است، معتقد است كه نرم افزارهاي امنيتي موجود كار خودشان را به خوبي انجام نمي دهند. او براي اثبات گفته خود يك تحقيق مستقل براي تشخيص مرد پنهان درمرورگر ترتيب داده است كه طي آن يك بدافزار مالي فرضي كه توسط تيم خودش طراحي شده بود و تبعاً چون تازه توليد شده بود در ليست سياه هيچ نرم افزار امنيتي وجود نداشت، براي شناسايي توسط نرم افزارهاي امنيتي معروف مورد آزمايش قرار گرفت و بررسي گرديد كه آيا هيچيك از اين نرم افزار هاي امنيتي توانايي شناخت بدافزار فرضي را دارند يا خير؟
 
 
 موضوع نگران كننده آنستكه در اين آزمايش اكثر نرم ا فزارهاي امنيتي شكست خوردند و فقط تعدا كمي از آنها موقع دزديده شدن اطلاعات هشدار دادند و يا توانستند از دزيده شدن اطلاعات جلوگيري كنند. اما با وجود اين نرم افزارهاي امنيتي همچنان مهم ترين راه حفظ امنيت كامپيوترها در مقابل دزديده شدن اطلاعات هستند.
محقق ديگري بنام Daniel Bert معتقد است: "مرد پنهان در مرورگر خيلي دقيق  و متمركز عمل
 مي كند، و بسيار پيشرفته است و مخصوص كارهاي بانكي طراحي شده و چون آنتي ويروس هاي معمولي براي حفاظت از كامپيوترها در مقابل طيف وسيعي از بدافزارها طراحي شده اند، ممكن است در زمينه جلوگيري از سرقت اطلاعات بانكي خيلي خوب عمل نكنند.ولي اين بدين معني نيست كه آنتي ويروس ها اصلاً بدرد نمي خورند.
گونه اي از نرم افزارهاي امنيتي وجود دارند كه مخصوص حفاظت سيستم در مقابل بدافزارهاي مالي طراحي شده اند، بنابراين امن ترين راه آنستكه بغير از آنتي ويروس هاي معمولي يكي از اين نرم افزارها را هم بكار ببريم و در كنار آن لازمست همواره به توصيه هاي امنيتي بانك خود عمل كنيد و هميشه مراقب باشيد. "
اين آزمايش از سوي بسياري از سازندگان نرم افزارهاي امنيتي مورد انتقاد قرار گرفت. آنها اعتقاد داشتند كه محصولاتشان فقط در مقابل بدافزارهاي مالي تست شده است و اين دليل ناكارآمدي نرم افزارهاي توليدي آنها نيست. آنها همچنين اعتقاد داشتند كه درست است كه محصولات آنها در ابتدا بدافزار مالي را تشخيص نداده اند ولي اين قابليت را دارند كه به مرور زمان ايميل ها و وب سايت هاي مشكوك را شناسايي كرده و جلوي فعاليت آنها را بگيرند.
جداي از مطالب عنوان شده بالا بايد گفت اگر تنظيمات نرم افزار امنيتي كامپيوتر شما روي حالت Maximum باشد مي تواند جلوي فعاليت بسياري از اين بدافزارها را بگيرد. اما مشكل آن است كه در اين حالت كاربر در كار كردن با بسياري از برنامه هاي بي خطر و عادي نيز دچار اشكال خواهد شد.
البته يك شركت هم اعتراف كرد كه اگر اين بد افزار از منبع مشكوكي نيايد و با وب سايت هايي هم در تعامل باشد كه در ليست سياه نيستند، مي تواند به راحتي به كار خود ادامه دهد و تا وقتي كاملاً شناسايي نشود هيچ نرم افزار امنيتي نمي تواند مانع فعاليت آن شود.
اما فقط نرم افزارهاي امنيتي نيستند كه درصدد مقابله با دزدان اينترنتي برآمده اند، بلكه اخيراً خود بانكها هم مجبور شده اند كه وارد جنگ مستقيم با بد افزارهايي همچون Zeus شوند و در واقع جنگ بانكها با مرد پنهان در مرورگر تازه شروع شده است.
يكي از مهم ترين وموثر ترين راهكارهاي بانك ها براي جلوگيري از دردام افتادن مشتريان، استفاده از Token ها يا Dongle ها است.البته كاركردن با اين ابزارها هم سختي هاي خاص خود را دارد از جمله اينكه مدام بايد همراه ما باشند و روند  Loginكردن را هم طولاني و پيچيده تر مي كنند. درهنگام Login كردن يا انجام هر پرداخت online اين دستگاه ها كدهاي رمز تصادفي براي مشتري توليد مي كنند. بنابراين وقتي بدافزارهايي مثل Zeus در پشت صحنه شماره حساب و مبلغ را عوض مي كنند، سايت بانك از آنها يك كد جديد درخواست مي كند وچون
 بدافزار الگوريتم توليد رمز هاي تصادفي موجود در Token را ندارد، نمي تواند كد صحيح را ارائه نمايد.
اما اخيراً در آمريكا طرحي دردست است تا از طريق آن امنيت Online Banking از سطح فعلي بيشتر شود. يكي از راهكارهاي اجرايي اين طرح بكارگيري تلفن همراه مشتري براي بررسي و تائيد معاملات است. مثلاً زماني كه
 مي خواهيد بصورت آنلاين به حسابي پول بريزيد، زنگ تلفن همراه شما بصدا در مي آيد و بانك تماس گيرنده مشخصات معامله را اطلاع ميدهد و براي اطمينان از شما مي خواهد كدي روي تلفن همراه  خود وارد كنيد كه از  طريق آن مشخصات معامله تاييد گردد. درچنين مواقعي اگر شخص ديگري بجاي شما وارد حساب شده باشد، بلافاصله متوجه خواهيد شد.
اما بغير از اين تدابير امنيتي علني، بانك ها در پشت صحنه هم تدابير امنيتي ويژه اي را بكار مي برند. در اين زمينه Philip Lieberman رئيس Lieberman Software (شركتي كه خدمات امنيتي به بانك ها ارائه كند )
 مي گويد :
"يكي از تدابير ما آنست كه هر چند وقت يكبار ظاهر سايت بانك را عوض مي كنيم و اين عمل جهت مبارزه با Zeus صورت مي گيرد. Zeus بر اساس ظاهر و طراحي وب سايت بانك كار مي كند و وقتي ظاهر سايت بانك را عوض مي كنيم در واقع در كار Zeus اختلال ايجاد مي كنيم و سازنده آن مجبور است براي طراحي جديد وب سايت بانك، نرم افزار خود را Update كند.”
Mark Baverman از مسئولين شوراي نظارت بر پرداختهاي بانك هاي بريتانيا (Uk Payment Council) در اين زمينه اعتقاد دارد:" شناخت رفتار نرمال مشتري در زمينه جلوگيري از سرقتهاي سايبري بسيار حياتي است و بانك هاي مدرن امروزي تدابير امنيتي ويژه اي را در پشت صحنه و در هنگامي كه مشتري درحال كار كردن با حساب بانكي خود است، بكار مي گيرند.
در اين زمينه ما در بريتانيا يك نرم افزار هوشمند داريم كه تقلب و دزدي را رديابي مي كند. اين نرم افزار به اين صورت كار مي كند كه رفتار معمول مشتري را زماني كه بصورت Online با حساب خود كار مي كند زير نظر
مي گيرد و ثبت مي كند. آنگاه هر اتفاقي كه با رفتار ثبت شده معمول مشتري در گذشته مطابقت نداشته باشد و غير معمولي به نظر آيد، توسط نرم افزار هشدار داده مي شود. اين رفتار غير عادي مي تواند يك شماره حساب يا يك مبلغ غير متعارف باشد كه مشتري معمولاً استفاده نمي كند.
يكي از كارهاي كه دزدان سايبري انجام مي دهند آنست كه وقتي اطلاعات حساب مشتري را بدست آوردند، اول يك مبلغ كوچك به يك حساب دولتي يا يك خيريه واريز مي كنند تا از صحت اطلاعاتي كه بدست
آورده اند مطمئن شوند و اين يكي از رفتارهايي است كه نرم افزارهاي امنيتي ما فوراً آنرا تشخيص داده و گزارش مي كنند."
اما گزارشات حاكي از آنستكه اين بدافزارها مي توانند قبل از آنكه كسي به آنها مشكوك شود مقدار قابل توجهي پول از حساب هاي مشتريان سرقت كنند.
نسخه هاي جديد Zeus طوري طراحي شده اند كه مي توانند خيلي از اين مراحل اضافه شده به فرآيند  Login را دور بزنند. مثلاً مي توانند با حربه هايي مشتري را فريب داده و شماره تلفن همراه اورا بدست آوردند، سپس لينكي به گوشي مشتري ارسال مي كنند و گوشي اور ا به ورژن موبايلي Zeus آلوده مي كنند.
راه ديگر آنست كه وقتي مشتري login مي كند يك پيغام از طرف  Zeus به او ارسال مي شود و به او اطلاع
مي دهد كه مي خواهد سيستم جديد امنيتي سايت بانك را به مشتري آموزش دهد. بعد در بخشي از اين به اصطلاح آموزش از مشتري مي خواهد به يك حساب فرضي پولي بريزد و اين معامله نه تنها فرضي و به قصد آموزش نيست، بلكه كاملاً واقعي است.
اما نكات مهمي وجود دارد كه كاربران ميتوانند با توجه به آنها پيش از بدام افتادن، خطر را تشخيص داده و به موقع جلوي سرقت هاي سايبري را بگيرند:
در صورت وقوع هريك از حالات زير شما احتمالاً در خطر هستيد:
- اگر كارهاي آنلاين بانكي مانند واريز پول به يك حساب بيش از حد معمول طول كشيد، احتماً در سايت اصلي بانك نيستید.
- اگر اطلاعاتي كه از شما خواسته شد بيش از حد معمول بود، مثلاً سايت Password ومشخصات كامل را از شما درخواست كرد (در صورتيكه قبلاً فقط بخش هايي از آنها را درخواست مي كرد) احتمال مي رود كه سيستم شما آلوده شده باشد.
- در صورت مشكوك شدن به هر مورد به صورت حضوري يا تلفني  با بانك تماس بگيرند. مثلاً به محض اينكه احساس كرديد اشكالي دركار وجود دارد، با بانك خود تماس بگيريد و زمانهايي را كه در حساب آنلاين خود
بوده ايد به كارشناسان بانك گزارش كنيد و اگر آنها بررسي كردند و متوجه شدند زمانهاي اعلام شده از سوي شما با زمانهاي ثبت شده درسيستم بانك تطابق ندارد به احتمال بسيار زياد، كامپيوتر شما به اين بدافزارها آلوده شده است.