اطلاعات کاربران سامانه سجام به سرقت نرفته است
مدیر امنیت اطلاعات شرکت سپردهگذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) در پی شناسایی و دستگیری اشخاصی که بوسیله راهاندازی سایتهای جعلی مشابه سجام اقدام به کلاهبرداری مالی میکردند، تاکید کرد: اطلاعات کاربران سامانه جامع اطلاعات مشتریان (سجام) به سرقت نرفته است.
رییس پلیس فتا ناجا دیروز از دستگیری باند کلاهبرداری سایت جعلی سجام خبر داد، در این کلاهبرداری، اعضای باند اطلاعات کارت بانکی 30 هزار کاربر را بوسیله سایت جعلی سجام به سرقت برده بودند، به طوری که هیچ گونه اطلاعاتی از سایت اصلی سجام به سرقت نرفته است.
امید اربابزاده، مدیر امنیت اطلاعات شرکت سپردهگذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) با بیان اینکه کلاهبرداران سایتهای جعلی سجام با همکاری شرکت سپردهگذاری مرکزی و تلاش نیروهای پلیس فضای تبادل اطلاعات (فتا) شناسایی و دستگیر شدند، افزود: انتشار برخی اخبار مبنی بر سرقت اطلاعات کابران سجام صحت ندارد.
وی درباره نحوه کلاهبرداری از سامانههای جعلی سجام گفت: کلاهبرداران با راهندازی سایتهای مشابه سامانه جامع اطلاعات مشتریان (سجام)، اطلاعات کارت بانکی اشخاص را بدست میآورند و کاربر را تحت عنوان پرداخت حق ثبتنام سجام به سامانههای جعلی و مشابه سایتهای پرداخت الکترونیکی هدایت میکردند.
اربابزاده افزود: اشخاصی که قربانی این تلهگذاری شدند پس از وارد کردن اطلاعات کارت بانکی خود متوجه میشدند که مبلغی غیر متعارف از حسابشان کسر شده است، این گونه سایتها به این گونه عمل میکنند که اطلاعات کارت بانکی قربانی را دریافت و در اختیار شخص مهاجم قرار داده و این شخص بلافاصله با استفاده از اطلاعات کارت بانکی اقدام به خرید یا جابجایی پول میکند.
مدیر امنیت اطلاعات شرکت سپردهگذاری مرکزی اوراق بهادار و تسویه وجوه افزود: براساس فرایند ثبتنام سجام، در ابتدا هزینه ثبت نام پرداخت میشود و پس از پرداخت موفق، اشخاص اطلاعات هویتی، مالی و … را اعلام میکنند، در سایتهای فیشینگ سجام که با هدف کلاهبرداری مالی راهاندازی شده در ابتدای فرایند اطلاعات کارت بانکی دریافت و پس از آن وارد مرحله بعد، که برای دریافت اطلاعات است، نمیشود. به عبارت دیگر در سایت اصلی سجام، اشخاص اطلاعات خود را ارائه ندادهاند که بخواهد افشاء شود یا مورد سوء استفاده قرار گیرد.
اربابزاده با اشاره به اتفاق های اخیر و سوءاستفاده از نام سامانه سجام گفت: تلهگذاری به حملاتی گفته میشود که مهاجم با راهاندازی سایت جعلی کاملا مشابه سایت اصلی تلاش میکنند تا به اطلاعات کاربران از جمله نام کاربری، اطلاعات هویتی، اطلاعات مالی، اطلاعات کارت بانکی و…. دست پیدا کرده و با سوءاستفاده از این اطلاعات مشکلاتی را برای قربانی به وجود آورد، این نوع از حمله به راحتی و با کمی هوشیاری کاربران قابل دفاع است.
وی توصیه کرد: افرادی که در فضای مجازی اقدام به خرید و وارد کردن اطلاعات کارتی خود میکنند، قبل از وارد کردن اطلاعات کارت بانکی خود برای هرگونه خرید در اینترنت به چند نکته ساده توجه کنند و در صورتی که هر یک از این موارد وجود نداشت، از ارائه اطلاعات خودداری کنند.
استفاده از افزونه آنتی فیشینگ
با توجه به اینکه چک کردن کلیه پارامترها برای همه اشخاص ممکن است سهولت نداشته باشد ، یا به خاطر عجله مورد سهل انگاری قرار گیرد افزونه ضد فیشینگ درگاه بانکی با حمایت مرکز ماهر و با قابلیت نصب در مرورگرهای رایج مانند کروم فایرفاکس جهت نسخه سیستم عامل های رایج مانند ویندوز و اندروید توسعه یافته و جهت استفاده عموم به صورت رایگان در نشانی https://antiphish.cert.ir/ قرار گرفته است.
توجه به نشانی سامانه
توجه به نشانی اصلی سامانهای که میخواهند اطلاعات خود را به آن ارائه کنند؛ به عنوان مثال نشانی رسمی سجام https://sejam.ir است و کلیه اطلاعات لازم شامل نام و نشانی کارگزاری های مورد تایید جهت ثبت نام سجام همچنین لیست و نشانی مراکز احراز هویت حضوری و الکترونیکی در آن آورده شده است. این در صورتی است که سایت های جعلی با پسوندهای غیر متعارف مانند .LTD، .CC، Press و یا با تغییر جزئی در نام دامنه مانند sajam راه اندازی می شود.
پرداخت
کلیه سامانه های پرداخت مجاز دارای قالب آدرس https://bankname.shaparak.ir/abc هستند و در ابتدا حتما با httpS شروع می شوند. در واقع حرف S بیانگر این است که اطلاعات بین کاربر و سرور رمزگذاری شده و برای اشخاص غیر مجاز قابل استراق سمع نیست. همچنین قبل از اولین تک خط مورب حتما باید با shaparak.ir خاتمه یابد. در اینجا باید دقت داشت که تمام حروف انگلیسی باشد به عنوان مثال (shapārak.ir (http://shap%C4%81rak.ir به دلیل وجود خط بالای a جعلی است.
چک کردن گواهی SSL
در تمامی مرورگرهای اینترنت امکان چک کردن گواهی SSL سایت وجود دارد که برای شاپرک حتما “Shaparak Electronic Card Payment Network Co. (PJS)” است. این کار در مرورگرهای مختلف مشابه است.
استفاده نکردن از VPN یا فیلتر شکن
رصد اطلاعاتی پلیس فتا در فضای مجازی موجب شده تا سایت های فیشینگ شناسایی و بلافاصله فیلتر شوند. استفاده از فیلتر شکن ها موجب می شود امکان دسترسی و سوء استفاده از طریق سایت های تقلبی برای قربانیان فراهم شود. به صورت کلی استفاده از فیلتر شکن ها و VPNهایی که جهت تلاش برای دور زدن فیلترینگ استفاده می شوند یک تهدید امنیتی است که ریسک را بسیار بالا می برند.
استفاده از صفحه کلید مجازی هنگام درج اطلاعات کارت بانکی
صفحه کلید مجازی جهت وارد کردن اطلاعات مهم در تمامی درگاه های پرداخت بانکی پیاده سازی شده و اکیداً توصیه شده هنگام خرید اینترنتی هم از طریق کامپیوتر و هم موبایل از آن استفاده شود.
مدیر امنیت سمات اضافه کرد: رعایت نکات امنیتی بسیار ساده است و اکثریت مردم آگاهی لازم در این زمینه دارند و درخواست کرد، این موارد را جدی بگیرند و باکمی تامل و حوصله از اتفاق هایی که باعث زیان مالی و اعتباری میشود، جلوگیری کنند.