امیر حسین فلاحی
امیر حسین فلاحی
خواندن ۴ دقیقه·۴ سال پیش

راهکار های جدید مقابله با فیشینگ کارت های بانکی

تو این پست قصد دارم راهکار های جدید مقابله با فیشینگ کارت های بانکی رو بهتون بگم چون راه های قبلی همگی منسوخ شده اند

خالی شدن حساب بانکی شما با اینجور روش ها ممکنه فقط یکبار اتفاق بیفته و همون یکبار مبلغ زیادی از حساب شما برداشت بشه و شما رو برای همه عمرتون از پرداخت اینترنتی زده کنه ، پس راهش استفاده صحیح هست نه دوری کردن از پرداخت الکترونیک (:
فیشینگ کارت بانکی
فیشینگ کارت بانکی


قبلش بد نیست معنی این دو تا کلمه رو بدونیم :

فیشینگ : عملیاتی که کاربر با اون اطلاعات حساب ( شماره کارت ، رمز پویا ، cvv2 ، تاریخ انقضا ) خودش رو دو دستی تحویل فیشینگر می کنه

فیشینگر : شخصی که طمع خالی کردن حساب شما رو داره

روش های جدید :

در درگاه های جدید جعلی از قابلیت هایی استفاده میشه که تشخیصش رو از درگاه پرداخت واقعی سخت تر می کنه !

مثلا چه قابلیت هایی : تو یه درگاه جعلی میتونی رمز دوم پویا صحیح دریافت کنی یا صحیح بودن اطلاعات کارتت رو چک کنی ( اطلاعات غلط وارد کنید درگاه بهتون میگه اطلاعات صحیح نیست )

فیشینگر میتونه موقع پرداخت ، اطلاعات پرداخت غلطی بهتون بده مثل اینکه چقدر قراره از حسابتون کسر بشه ! شاید اونجا نوشته باشه 10 هزار تومن ولی در اصل 1 میلیون تومن از حساب شما کسر میشه !

زمانی که پرداخت انجام میشه هم فیشینگر میتونه اطلاعات پرداخت غلط تحویل شما بده ! یعنی چی ؟ مثلا در اطلاعات پرداخت درج شده مبلغ برداشت شده 10 هزار تومن بوده اما فیشینگر 2 میلیون تومن برداشته !

یا شماره پیگیری ، شماره ترمینال ، شماره مرجع غلط بده که اگه درست هم باشه دستتون به جایی بند نیست ! چرا ؟ ادامه مطلب رو ببینید

با ساز و کار رمز دوم پویا میزان فیشینگ های بانکی صفر نشد بلکه به طور چشم گیری کم شد چون فیشینگر با یک رمز نهایتا میتونه یک تراکنش انجام بده ، فرض کنید مبلغی که میخواد برداشت کنه در حساب شما موجود نباشه ( طبیعتا به در بسته میخوره)

و اما اصل مطلب ، راه های مقابله با فیشینگ کارت های بانکی:

  • تو کارتی که باهاش پرداخت انجام میدید مبلغی باشه که اگه صفر شد بهتون لطمه مالی وارد نشه
  • پیامک انجام تراکنش های بانکیتون رو فعال کنید
  • تنها راه شناخت درگاه اصلی از جعلی در حال حاضر آدرس صفحه هست ( قبلا کلی راه وجود داشت )

آدرس صفحه باید زیر دامنه ای از آدرس اصلی زیر باشه

shaparak.ir

این آدرس مال کجاست ؟ نهاد مرجع صنعت پرداخت الکترونیک کشور

زیر دامنه چیه ؟ یه آدرس قبل از آدرس اصلی میاد و بعدش نقطه میاد ( نقطه خیلی خیلی مهمه ) ، غیر از این جعلی هست

x.shaparak.ir

در این آدرس x اسم شرکت ارائه دهنده درگاه هست ( که مخفف شده )

مثال چندتا آدرس صحیح :

bpm.shaparak.ir

sep.shaparak.ir

pep.shaparak.ir

bmi.shaparak.ir

نمونه آدرس صحیح : به آدرس بالا دقت کنید
نمونه آدرس صحیح : به آدرس بالا دقت کنید

قسمت 1 : بخش متغییر هست و میتونه هر حرفی داشته باشه ، و نکته مهم اینکه حتما بعد اون حروف متغیر باید نقطه داشته باشه ( اگه نقطه نداشت جعلی هست )

قسمت 2 : آدرس ثابت shaparak.ir هست


مثال چندتا آدرس و زیر دامنه غلط :

Shaparak.com

Shapaarak.org

Bmishaparak.ir

sepshaparak.ir


بالاتر گفتیم با شماره پیگیری ، شماره ترمینال ، شماره مرجع درست هم نمیشه پیگیری کرد و درصد احتمالش کم هست که پیگیری نتیجه بده؟ چرا ؟
  • پول شما به کارت (حساب) فردی رفته که متاسفانه در ازای مبلغ نا چیزی مثل 100 هزار تومن کارتش رو فروخته (عموما افراد بی خانمان یا معتاد)
  • بعد از اینکه پول از حساب شما کسر شد فیشینگر باهاش چیکار می کنه ؟ پول شما رو میشوره ! بله ، پولشویی
  • یعنی با پول شما ارز مجازی خریداری میشه ، مثل بیت کویین ( قابل پیگیری نیست )
  • با پول شما از فروشگاه های اینترنتی کالا سفارش داده میشه و اون کالا باز به یک نفر دیگه فروخته میشه ( پولشویی )

و کلی راه های دیگه که گفتنش دردسر ساز هست

برای شکایت از کلاهبرداری میتونید برید به دادسرا منطقه یا نزدیکترین شعبه پلیس فتا ، اما نکته مهم این هست که برادران پلیس فتا سرشون شلوغ هست و شما هم باید کلی دوندگی کنید تا به پولتون برسید ، تازه اگه برسید ! ، پس به نکات گفته شده خوب دقت کنید و اون ها رو به خاطر بسپارید و اون رو با عزیزانتون به اشتراک بزارید

پی نوشت :

بالاتر اشاره کردیم که در درگاه های بانکی جعلی از قابلیت هایی استفاده میشه که از تشخیصش رو سخت می کنه ! چه قابلیتی ؟ این قابلیت پیاده سازی یک پراکسی بین کاربر و درگاه پرداخت اصلی است که با اون میشه اطلاعات کاربر رو شنود کرد !

این هم که گفتم با پول شما ارز مجازی خریداری میشه ، مثل بیت کویین که قابل پیگیری نیست منظورم شبکه بانکی امن و غیر متمرکز هست وگرنه شاید از صرافی بشه پیگیری کرد

بانک چجوری میتونه تا حدودی این مشکل رو برطرف کرد ؟ باید برای هر درگاه پرداخت یک شناسه منحصر به فرد در نظر گرفته بشه ، و هنگام درخواست رمز دوم پویا از سمت کاربر ، بانک رمز دوم پویایی بوجود بیاره که فقط برای اون درگاه پرداخت اصلی و قیمت درج شده اعتبار داشته باشه در غیر این صورت پرداخت انجام نشه


ممنون که مطلب رو تا انتها خوندید (:

فیشینگ
مهندس امنیت اپلیکیشن
شاید از این پست‌ها خوشتان بیاید