English | فارسی
پنجشنبه 23 آذر 1396
  معرفی انواع تهدیدات و خطرات

بدافزارهای تلفن همراه

بررسی‌های انجام شده حاکی از تهدید بدافزارهای نفوذکننده به نرم‌افزارهای بانکی تلفن همراه و برداشت‌های غیرمجاز بوده است که موجبات نگرانی مدیران و مشتریان بانک‌ها را فراهم آورده است. عملکرد این بدافزارها به این گونه است که ابتدا پیامکی که حاوی لینک نصب بدافزار است، برای کاربر ارسال می‌گردد. پس از آن که دریافت‌کننده پیامک از طریق کلیک روی لینک مذکور اقدام به نصب بدافزار کرد، بدافزار تلاش می‌کند با استفاده از نقاط ضعف برنامه همراه‌بانکی که روی تلفن همراه کاربر نصب شده است، از حساب بانکی وی سرقت نماید.
همچنین بدافزار از رسیدن پیامک‌های اطلاع‌رسانی به کاربر جلوگیری به عمل می‌آورد. شایان ذکر است که راهکارهای مقابله با تهدید بدافزارهای تلفن همراه در حوزه‌های مختلفی همچون امنیت سیستم عامل، امنیت برنامه‌های کاربردی تلفن همراه، امنیت شبکه مخابراتی و هوشیاری کاربران نهایی قابل بررسی است. بدیهی است ملاحظات سیستم عامل تلفن همراه و امنیت شبکه مخابراتی با وجود اهمیت فراوان، در حوزه کنترل نظام بانکی نبوده و با توجه به هزینه‌بر بودن به‌کارگیری برخی از راهکارهای نوین از جمله ارتقای امنیتی همراه‌بانک، نیاز به تحلیل مخاطره و هزینه-فایده نیز مطرح است.
لذا در نظر گرفتن مخاطرات و عمل به توصیه‌های زیر پیشنهاد می‌شود:

تهدید
یکی از بزرگ‌ترین تهدیدات تلفن همراه، بدافزارهایی هستند که ظاهراً شبیه برنامه‌های همراه‌بانک هستند، اما در حقیقت بدافزارهایی هستند که قادر به سرقت اطلاعات حساب کابران بوده و با فقدان سازوکارهای امنیتی لازم، اطلاعات بانکی افراد را دچار مخاطره می‌نمایند.
توصیه
نرم‌افزارهای همراه‌بانک را از وب‌سایت اصلی بانک‌ها و یا منابع قابل اعتماد و مورد تایید بانک دریافت نمایید.

تهدید
استفاده از شبکه‌های بی‌سیم (wifi) عمومی این امکان را به هکرها می‌دهد که اطلاعات شما از قبیل نام کاربری، رمز عبور و اطلاعات بانکی را سرقت نمایند.
توصیه
حتی‌الامکان در هنگام اتصال به شبکه‌های بی‌سیم عمومی، از نرم‌افزارهای همراه‌بانک استفاده نشود.

تهدید
در حملات فیشینگ، فرد مهاجم با استفاده از تکنیک‌های مهندسی اجتماعی و از مسیرهای ارتباطی مختلف از قبیل ایمیل، پیامک و شبکه‌های اجتماعی (مانند وایبر و تلگرام)، اقدام به ارسال پیام‌هایی می‌نماید که کاربران را به سمت مقاصد جعلی (صفحه جعلی اینترنت‌بانک) هدایت کرده و از این طریق اقدام به سرقت اطلاعات و یا آلوده کردن دستگاه تلفن همراه کاربر می‌نماید.
توصیه
از کلیک کردن بر روی لینک‌ها و یا دریافت فایل‌های ضمیمه پیام‌هایی که از طرف اشخاص ناشناس برای شما و یا در گروه‌های مختلف ارسال می‌شود، پرهیز نمایید. برای این کار لازم است حس کنجکاوی خود را کنترل نمایید.

تهدید
بدافزارهای جدید با روش‌ها و سازوکارهای جدید همواره در حال توسعه بوده و ار مسیرهای مختلف قابل دریافت هستند.
توصیه
از نرم‌افزارهای ضدبدافزار تلفن همراه که به صورت مداوم به‌روزرسانی می‌شوند، استفاده کنید.

تهدید
ضعف‌های امنیتی سیستم عامل و نرم‌افزارهای همراه‌بانک، می‌توانند منجر به سوءاستفاده و نفوذ به تلفن همراه شما شوند.
توصیه
به‌روزرسانی سیستم عامل و نرم‌افزارهای کاربردی علی‌الخصوص نرم‌افزار همراه‌بانک را در برنامه خود قرار دهید.

تهدید
بسیاری از بدافزارها در قالب برنامه‌های کاربردی به ظاهر قانونی ارائه می‌شوند و برای افزایش حوزه نفوذ خود اقدام به دریافت مجوزهای بیش از اندازه می‌نمایند.
توصیه
از نصب برنامه‌های کاربردی تلفن همراه که مجوزهای بیش از اندازه درخواست می‌نمایند، پرهیز کنید.

تهدید
اغلب سیستم‌های مدرن تلفن همراه، به طور پیش‌فرض دارای مکانیزم‌های امنیتی درونی جهت کاهش مخاطرات بدافزارها هستند. با فراهم‌سازی مجوز دسترسی ریشه (root) در سیستم عامل اندروید یا قید آزاد کردن (jail break) در سیستم عامل ios، مهاجمان می‌توانند این سازوکارها را دور بزنند.
توصیه
از فراهم‌سازی مجوز دسترسی ریشه (root) در سیستم عامل اندروید یا قید آزاد کردن ios و دور زدن سازوکارهای امنیتی خودداری کنید.

تهدید
برخی از بدافزارها با هدف به دست آوردن اطلاعات محرمانه، امکان بررسی فایل‌ها را فراهم می‌نمایند.
توصیه
اطلاعات حساس مربوط به حساب بانکی از قبیل رمز کارت، تاریخ انقضای کارت بانکی و cvv2 را در تلفن همراه خود ذخیره نکنید.

تهدید
مهاجمان عموماً به دنبال حساب‌هایی هستند که موجودی قابل توجهی داشته و از طریق خدمات بانکی غیرحضوری (از جمله همراه‌بانک) در دسترس باشند.
توصیه
از اتصال حساب‌های دارای گردش مالی قابل توجه به همراه‌بانک اجتناب نمایید.

دزدی هویت

می دانید که هویت شما بسیار با ارزش است. ما همیشه تصور می کنیم دزدی هویت برای دیگران اتفاق می افتد، نه برای ما. این درحالیست که سالانه بیش از 100000 نفر قربانی این موضوع می شوند. به خاطر داشته باشید هر کسی می تواند قربانی بعدی این خطر باشد.

دزدی هویت چیست؟ دزدی هویت به معنی سرقت اطلاعات مالی یا شخصی شماست. کلاهبرداران می توانند از این اطلاعات برای جعل هویت دیگران، بازکردن حساب بانکی، کسب اعتبار یا راه اندازی کسب و کار استفاده نمایند. دقت نمایید، زمانی که اسناد یا اطلاعات شما دزدیده شوند، امکان دارد قربانی دزدی هویت شوید.

نحوه تشخیص این تهدید

به روش های زیر می توانید این خطر را شناسایی کنید:

1. دریافت هر گونه پیام از طرف بانک در خصوص انجام تراکنش های مالی در حساب های شما، بدون آنکه شما از آن تراکنش ها مطلع باشید.

2. دریافت هرگونه پیام از طرف بانک مبنی بر اعمال تغییرات در مشخصات شخصی، وضعیت حساب های بانکی و وضعیت حساب های کاربری بدون آنکه شما درخواست این تغییرات را به بانک داده باشید یا از تغییرات مذکور مطلع باشید.

3. دریافت هرگونه پیام از طرف بانک مبنی بر ورود یا خروج شما از سیستم های اینترنتی و سرویس های غیر حضوری بانکی مانند اینترنت بانک، درحالیکه شما در زمان مشخص شده در پیام از سیستم مذکور استفاده ننموده اید.

4. دریافت اسناد مالی، صورتحساب ها یا قبض های صادره در وجه شما برای کالا یا خدماتی که به سفارش شما نبوده است.

5. دریافت نامه از طرف موسسات مالی و اعتباری در مورد بدهی هایی که مربوط به شما نیست.

6. دریافت صورتحساب بانکی که شما آن را باز نکرده اید.

7. تراکنش هایی که در صورتحساب بانکی شما وجود دارد (معمولا برداشت از حساب) ولی شما از آنها اطلاعی ندارید.

8. گم کردن اسنادی مانند گذرنامه، شناسنامه، کارت ملی، گواهینامه و صورتحساب بانکی.

توصیه ما

1.به یاد داشته باشید که همواره از اطلاعات شخصی خود محافظت نمایید

2.. اگر فکرمی کنید هدف دزدی هویت قرار گرفته اید هرچه سریعتر به روشی که در بخش "نحوه اطلاع رسانی به بانک کارآفرین" آورده شده است با ما تماس بگیرید.

مهندسی اجتماعی

مهندسی اجتماعی اساساً به معنی نفوذ به ذهن افراد و وادار کردن آنها به ارائه داوطلبانه اطلاعات، یا همکاری داوطلبانه است. خطر مهندسی اجتماعی در این است که اقدامات حفاظتی و ابزار های امنیتی را بی اثر ساخته و شما را در مقابل حملات یا لطمه های جدی آسیب پذیر مینماید.

به منظور تدارک و يا برنامه ريزی يک تهاجم از نوع حملات مهندسی اجتماعی، يک مهاجم با برقراری ارتباط با کاربران و استفاده از مهارت های اجتماعی خاص (روابط عمومی مناسب، ظاهری آراسته و ... )، سعی می کند به اطلاعات شخصی یا مالی حساس آنها دست پیدا کند. يک مهاجم ممکن است خود را به عنوان فردی معتبر و قابل احترام نشان دهد. مثلاً وانمود نمايد که از یکی از بانک ها یا موسسات مالی معتبر تماس می گیرد و حتی اطلاعات حساس و شخصی خود را به منظور تائيد هويت خود ارائه نمايد. يک مهاجم، با طرح سوالات متعدد و برقراری يک ارتباط منطقی بين آنان، می تواند به بخش هایی از اطلاعات مورد نياز خود دست پيدا کند. در صورتی که يک مهاجم قادر به اخذ اطلاعات مورد نياز خود از يک منبع نگردد، ممکن است با شخص ديگری که با کاربر آشنایی دارد ارتباط برقرار نماید تا با کسب اطلاعات تکميلی و تلفيق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزايش دهد. ( يک قربانی ديگر! )

نحوه پيشگيری از حملات مهندسی اجتماعی و کلاهبرداری

1. به تلفن ها، نامه های الکترونيکی، پیامک ها و ملاقات هایی که ناخواسته است و در آن ها از شما درخواست می شود تا اطلاعات شخصی خود یا اطلاعات حساب های بانکی خود را در اختیارشان قرار دهید، مشکوک شوید و با سوء ظن به آنها نگاه کنيد. در صورتی که يک فرد ناشناس ادعا می نمايد که از طرف بانک با شما تماس گرفته، حتما ابتدا با بانک مورد ادعای وی تماس بگیرید و نسبت به هويت وی سوال کنيد. به یاد داشته باشید هیچگاه پرسنل بانک کارآفرین اطلاعات شخصی و حساس شما را از طریق برقراری تماس تلفنی درخواست نخواهند کرد.

2. هرگز اطلاعات شخصی و يا اطلاعات مالی خود را (مثلاً تراکنش های مالی، نام کاربری یا رمز عبور) در اختيار ديگران قرار ندهيد، مگر اين که مطمئن شوید فرد متقاضی مجاز به دستيابی به اطلاعات درخواستی می باشد.

فیشینگ

اين نوع از حملات شکل خاصی از حملات مهندسی اجتماعی هستند که با هدف کلاهبرداری و شيادی سازماندهی می شوند و مهاجمان عموما از آن به منظور سرقت هویت استفاده می نمایند. در حملات فوق از آدرس های ایمیل و يا وب سايت های مخرب استفاده می شود تا توسط آن ها به اطلاعات شخصی کاربران نظير اطلاعات مالی دست پیدا کنند. مهاجمان ممکن است با ارسال يک ایمیل با ظاهری قابل قبول از يک بانک معتبر و يا موسسات مالی، از شما درخواست کنند تا اطلاعات مالی خود را در اختیارشان قرار دهید. آنها اغلب عنوان می نمايند که مشکل خاصی در حساب بانکی شما ايجاد شده است و در صدد رفع آن می باشند. اطلاعات درخواستی ممکن است شامل مواردی چون رمز عبور، آدرس ایمیل، شماره حساب بانکی و اطلاعات کارت های بانکی شود. پس از پاسخ کاربران، مهاجمان از اطلاعات اخذ شده به منظور دستيابی به ساير اطلاعات مالی و بانکی فرد قربانی استفاده خواهند کرد.

در برخی موارد، مهاجمان به منظور افزایش اعتماد از روش فنی تری موسوم به URL spoofing استفاده نموده و با ایجاد یک لینک در متن نامه الکترونیکی از کاربران می خواهند که جهت ادامه عملیات بر روی آن کلیک نمایند. با کلیک کاربران بر روی لینک، آنان به جای هدایت به یک وب سایت معتبر که انتظار آن را دارند به وب سایتی جعلی هدایت می گردند که مهاجمان آن را مدیریت می نمایند.

نوع دیگری از فیشینگ از طریق ارسال پیامک انجام می شود. برخی از افراد پیامک های دریافت می کنند که به ظاهر از طرف بانک است. در بعضی از این پیام ها ادعا شده که اطلاعات مهمی در مورد شما بر روی اینترنت فرستاده شده و شما را تشویق می کنند تا از یک وب سایت دیدن نمایید. این پیام ها دروغین هستند و بازدید شما از لینکی که در آنها آمده موجب می شود که کامپیوتر شما ویروسی گردد.

برخی دیگر از پیامک ها مدعی می شوند که مشکلی در ارتباط با حساب بانکی شما به وجود آمده و از شما می خواهند که با یک شماره تلفن تماس بگیرید یا اینکه اطلاعاتی را با استفاده از سرویس پیامک برای آنها ارسال نمایید. این گونه پیام ها نیز دروغین هستند و سعی در بدست آوردن اطلاعات شخصی شما دارند.

برای مثال پیام های زیر:

حساب شما به علت فعالیت های غیر عادی بسته شده. با این شماره تماس بگیرید ............

فردی اطلاعات شخصی و بانکی شما را بر روی وب سایت ...................... قرار داده است. شما باید فورا آنها را پاک کنید.

با سلام، من اطلاعات شخصی و بانکی شما را بر روی وب سایت .............. قرار داده ام. شما می توانید آنها را پاک کنید. متاسفم.

با سلام، حساب کاربری شما در سیستم اینترنت بانک با مشکل روبه رو شده است، لطفا برای رفع مشکل ایجاد شده حداکثر تا 12 ساعت آینده با ارسال پیامک به شماره ......... نام کاربری و رمز عبور خود را برای ما ارسال نمایید. بدیهی است در غیر این صورت پس از گذشت 12 ساعت حساب کاربری شما غیر فعال خواهد شد.

نحوه تشخیص این تهدید

شاید بارها برای شما نیز اتفاق افتاده باشد که نامه ای الکترونیکی یا پیامکی با عنوانی خوشایند و قابل اطمینان از فرستنده ای معتبر مانند یکی از مدیران، همکاران و یا حتی یکی از دوستان و نزدیکان خود در حالی که انتظار آن را نداشته اید دریافت نموده اید. درصورتیکه ممکن است این افراد ارسال کننده واقعی پیام نبوده و این پیام یک پیام جعلی بوده باشد. در چنین شرایطی پیشنهاد می گردد یک آزمون پنجگانه بر روی آن نامه اعمال کرده تا از صحت و یا عدم صحت آن اطمینان حاصل نمایید.

• آیا فرستنده نامه الکترونیکی یا پیامک دریافتی را می شناسید؟

• آیا در گذشته نامه یا پیامک دیگری از فرستنده این نامه یا پیامک دریافت نموده اید؟ در این صورت آدرس پست الکترونیکی یا شماره پیامک فرد یا سازمان ارسال کننده را به دقت کنترل نموده و از صحت آن اطمینان حاصل نمایید.

• آیا انتظار داشته اید نامه ای الکترونیکی، همراه با پیوست از فرستنده مذکور دریافت نمایید؟ آیا انتظار داشته اید فرستنده مذکور از طریق پیامک با شما ارتباط برقرار نموده و از شما درخواست اطلاعات نماید؟

• آیا محتویات نامه همراه با عنوان نامه و نام فایل پیوست از نظر شما قابل قبول و منطقی است؟ آیا محتویات پیامک از نظر شما قابل قبول و منطقی می باشد؟

• آیا این نامه و فایل پیوست آن حاوی برنامه مخربی همچون ویروس است؟ برای انجام این تست شما نیاز به نرم افزار آنتی ویروس دارید که بتواند از سالم بودن پیوست نامه الکترونیکی اطمینان حاصل نماید.

• در صورتی که نامه الکترونیکی دریافتی به همراه فایل پیوست آن یا پیامک های دریافتی شما توانست تمامی آزمون های فوق را با موفقیت طی نماید، می توانید تا حد زیادی از عدم مشکوک بودن آن مطمئن شوید ولی باز هم لازم است هنگام خواندن متن نامه بسیار هشیار بوده و جانب احتیاط را رعایت نمایید.

مراقب ایمیل ها یا پیامک های فیشینگ که متن آنها شامل موارد زیر است باشید:

کلمات صمیمانه و تلویحی که معمولا در نگارش ایمیل های رسمی سازمان ها استفاده نمی شوند.

لغات و لحن ملموس ولی نگارش و املا ضعیف.

درخواست بررسی حساب شما (بانک هیچگاه از شما نمی خواهد که اطلاعات کامل حساب خود، رمز عبور و یا PIN Code خود را دریک سایت وارد نمایید.)

• اگر طی 48 ساعت پاسخ ندهید حساب شما بسته شده یا حساب کاربری شما غیرفعال می گردد. ایمیل ها یا پیامک های فیشینگ به شما می گویند که باید به آن ها پاسخ دهید زیرا در غیر این صورت حساب شما بسته شده یا حساب کاربری شما غیر فعال می گردد.

• این گونه ایمیل ها اضطراری به نظر می رسند و باعث می شوند که شما به سرعت و بدون فکر کردن به آنها پاسخ دهید

بر روی لینک زیر کلیک کنید تا به حساب خود دسترسی پیدا کنید. پیغام های ایمیل ممکن است شامل فرمی باشند که به ظاهر باید آنها را پر کنید زیرا این کاری است که معمولا در سایت های قانونی انجام می دهید. (ایمیل های ارسالی از بانک فقط جهت اطلاع رسانی می باشد و هیچگاه فرمی برای شما ارسال نخواهد شد.)

مشتری محترم، ایمیل های فیشینگ معمولا به صورت کلی ارسال می شوند و شامل اسم و فامیل شما نمی باشند. در پیامک ها یا ایمیل های ارسالی از طرف بانک، مشتریان با نام و نام خانوادگی خود مورد خطاب قرار خواهند گرفت..

نحوه پيشگيری از حملات فیشینگ

• لطفا تمام این پیام ها را پاک کنید

• با شماره تلفن ها تماس نگیرید.

• هرگز اطلاعات شخصی و يا مالی خود را در يک ایمیل افشاء نکنید و به نامه های الکترونيکی ناخواسته ای که درخواست اين نوع اطلاعات را از شما می نمايند، پاسخ ندهيد. به لينک های موجود در اينگونه نامه های الکترونيکی ناخواسته نيز توجهی نداشته باشيد.

• هرگز اطلاعات حساس و مهم شخصی خود را بر روی اينترنت ارسال نکنید. قبل از ارسال اينگونه اطلاعات حساس، حتما اعتبار وب سايت مورد نظر را به دقت بررسی کنید تا مشخص شود که اهداف آنان از جمع آوری اطلاعات شخصی شما چيست و آیا امنیت اطلاعات شما حفظ خواهد شد یا خیر.

• به آدرس URL يک وب سايـت دقت کنید. وب سايت های مخرب ممکن است خود را مشابه يک وب سايت معتبر که آدرس URL آن دارای تفاوت اندکی با وب سايـت های شناخته شده است ارائه نمایند. وجود تفاوت اندک در حروف استفاده شده برای نام سايت و يا تفاوت در domain، نمونه هایی از اين قبیل می باشند. ( مثلا" com . به جای net .) • در صورت عدم اطمينان از معتبر بودن يک ایمیل دريافتی، سعی کنید با فرستنده تماس گرفته و نسبت به هويت آن اطمينان حاصل نمایيد. از اطلاعات موجود بر روی يک سايت مخرب به منظور تماس با آنان استفاده ننمایيد چرا که اين اطلاعات می تواند شما را به مسيری ديگر هدايت نمايند که صرفاً اهداف مهاجمان را تامين کند.

• اگر لینکی را دنبال کردید، به شما پیشنهاد می کنیم که هرچه زودتر کامپیوتر و تمام دستگاه های متصل به آن را چک کنید تا مطمئن شوید مورد حمله ویروس یا نرم افزارهای مخرب قرار نگرفته اید.

• با نصب و به روز رسانی نرم افزارهای آنتی ويروس، فايروال ها و فيلترينگ نامه های الکترونيکی ناخواسته (spam)، اين نوع حملات را کاهش دهید.

• در صورتی که احتمال می دهید اطلاعات مالی شما در معرض تهديد قرار گرفته و یا به هر دليلی اطلاعات حساس خود را در اختيار افراد غير مجاز قرار داده ايد ، بلافاصله با استفاده از راهنمایی های ارائه شده در بخش "نحوه اطلاع رسانی به بانک کارآفرین" با بانک تماس گرفته و موارد مشکوک را گزارش دهید. همچنین پیشنهاد می شود تمامی حساب های مالی در معرض تهديد را مسدود و هر گونه برداشت از حساب های بانکی خود را با دقت کنترل نمایید.

Card Skimming

امروزه با نکها بيشتر فعاليت خود را روی ارائه خدمات الکترونيکی متمرکز کرده اند، ارئه اين خدمات از آن جهت حائز اهميت است که جامعه ی امروز نيازمند سرعت و سهولت در تراکنش های مالی و خدمات بانکی می باشد و هر يک از نهاد های مالی و اقتصادی کشور سعی می کنند هر چه بيشتر اين خدمات را به مردم ارائه نمایند.

اما با گسترش اين نوع خدمات، سارقان و کلاهبردارانی به وجود آمده اند که صرفا در اين حوزه فعاليت های سوء انجام می دهند و سعی می کنند از بانک ها و مشتريان آنها کلاهبرداری نمايند. می توان به اين موضوع اذعان نمود که اين کلاهبرداريها در تمامی حوزه های خدمات الکترونيکی کم و بيش وجود دارد و يکی از وظايف بانک ها به حداقل رساندن اين فعاليت ها می باشد و آگاهی رسانی به مشتريان در خصوص نحوه کلاهبرداری مهمترين بخش آن می باشدتا مشتريان در دام اين افراد نيفتند.

تقريبا تمامی افرادی که از خدمات بانک ها استفاده می کنند دارای کارتهای بانکی می باشند و با استفاده از آن می توانند از خدمات عابر بانک ها، دستگاه های POS و خدمات اينترنتی استفاده نمايند، ولی عموما از خطرات ناشی از سوء استفاده سارقان بی اطلاعند و هر از چند گاهی گزارشاتی مبنی بر اينکه "از حساب مشتريان مبالغی کاسته شده بدون آنکه مشتری نقشی در آن داشته باشد" به دستمان می رسد.

يکی از اين روش هایی که سارقان استفاده می کنند Card Skimming می باشد و سعی داريم در اين مقاله به توضيح آن بپردازيم:

Card Skimming

به گزارش افتانا(پایگاه خبری امنیت فناوری اطلاعات)، این نوع کلاهبردای که در اصطلاح بانکی و فنی Card Skimming گفته می‌شود به معنای کپی برداری غیر قانونی از اطلاعات کارت‌های بانکی افراد است، کلاهبرداران بعد از دریافت اطلاعات کارت فرد با استفاده از خواندن اطلاعات نوار مغناطیسی که در پشت کارت بانکی قرار دارد، اقدام به تهیه کپی از کارت بانکی نموده و از آن در تراکنش‌های بانکی استفاده می‌نمایند. مجرم این اطلاعات را هنگام مراجعه کاربر به دستگاه خودپرداز بدون اینکه فرد متوجه شود از او سرقت می‌کند. مجرم به کمک یک اسکیمر(Skimmer) که روی ورودی کارت دستگاه خود پرداز قرار گرفته اطلاعات کارت را می‌خواند و توسط دوربین کوچکی که بالای دستگاه خودپرداز نصب کرده است رمز فرد را سرقت می‌کند و سپس اقدام به کپی کردن کارت وی می‌کند.

1-نمونه يک Skimmer که توسط مجرم روی دستگاه خود پرداز نصب می شود

2-نمونه يک کیبورد جعلی که برای بدست آوردن کلمه عبور از آن استفاده می کنند

در بعضی موارد حتی دوربین هم برای خواندن رمز فرد استفاده نمی‌شود. در عوض از یک کیبرد(keyboard) جعلی روی کیبورد اصلی استفاده می‌شود که ترتیب فشردن کلیدها را ذخیره می‌کند.

راه‌های مقابله با Card Skimming

برای جلوگیری از این نوع کلاهبرداری و تخلف، یک قطعه پلاستیکی در دریچه ورود کارت دستگاه‌های خودپرداز قرار داده می‌شود. شکل این قطعه پلاستیکی به نوعی است که جلوی این نوع کلاهبرداری را می گیرد و در عین حال از سهولت در کاربری خودپرداز نمی‌کاهد. این قطعه با استفاده از استانداردهای امنیتی و برای پوشش امنیتی ساخته شده است و در صورتی که هر نوع دستکاری در دریچه کارت خوان به وجود آید و یا اینکه دریچه تحت فشار فیزیکی قرار گیرد، دستگاه خودپرداز از حالت سرویس دهی خارج می‌گردد.

این قطعه در دریچه کارتخوان دستگاه خودپرداز نصب شده و محفظه ورود کارت را پایش می‌کند و هر نوع ورود غیر مجاز و موارد این چنینی را کنترل می‌نماید.

3-نمونه ای ديگر از اسکيمر(Skimmer)

در شکل بالا، نمونه دیگری از اسکیمر آمده است که توسط مجرم روی دستگاه نصب شده است و بسیار شبیه قسمتی از خود دستگاه است. همانطور که می‌بینید تشخیص آن کار آسانی نیست.

باید توجه نمود که کار تمامی اسکیمرهای ساخته شده، خواندن اطلاعات کارت و نصب دوربین جهت دیدن رمز افراد است و چون اطلاعات کارت توسط یک هد مغناطیسی خوانده می شود، بهترین روش مغشوش نمودن آن اطلاعات مغناطیسی است که برای ساخت یک کارت کپی توسط سارق استخراج می شود پس تجهیز دستگاه‌های خودپرداز به ضد اسکيمر(Anti Skimmer) یکی از راهکارهای موجود می‌باشد. در برخی روش‌ها نیز سعی در جلوگیری از امکان نصب اسکیمر در دستگاه مورد نظر می باشد.

در روش‌های پیشرفته آنتی اسکیمینگ که مورد استاندارد اروپا نیز می‌باشد ضمن نصب حسگرهای لازم جهت جلوگیری از نصب اسکیمرهایی با تکنولوژی متفاوت، تجهیزات پیشرفته دیگری نصب می‌شود که دقیقاً درزمان نمونه برداری اطلاعات کارت، وارد عمل شده و با ایجاد سیگنال التراسونیک در مکان مورد نظر، عملاً مانع استخراج اطلاعات بصورت سالم در اسکیمر می‌شود، ضمن اینکه به دستگاه و مکانیزم عملیاتی آن آسیبی وارد نمی‌کند و پس از اتمام عملیات در کارت خوان، مجدداً در زمان خروج کارت، دستگاه فعال گردیده و مانع استخراج اطلاعات می‌گردد.

به عنوان شهروند چه کنیم؟

شاید در ابتدا و در ظاهر شناخت این نوع از کلاهبرداری کار سختی باشد اما شهروندان عادی حداقل کاری که می‌توانند بکنند این است که هنگام استفاده از دستگاه‌‎های خودپرداز دقت کنند که مجرای ورودی کارت دچار شکستگی نشده باشد و دقت کنند که هیچ گونه قطعه اضافی که از بیرون بشود آن را نصب یا حدف کرد روی دستگاه نباشد، همچنين دقت شود که دوربينی دربالای سر دستگاه خود پرداز نصب نشده باشد.

همچنين هنگام استفاده از کارت های بانکی موارد زير ار رعايت نماييد:

  • هنگام وارد کردن رمز عبور کسی قادر به ديدن آن نباشد.
  • روی دستگاه های POS رمز کارت را شخصا وارد نماييد.
  • کارت خود را در اختيار افراد ديگر قرار ندهيد.
  • رمز های عبور خود را همواره در دوره های 3 ماهه تعويض نماييد.
  • از رمز های قابل حدس زدن مانند : تاريخ تولد، تاريخ ازدواج و .... استفاده ننماييد.
  • به دستوراتی که روی دستگاه خود پرداز مشاهده می کنيد توجه کنيد.

جستجو در اخبار

کلمه کلیدی وارد نمائید :
مرتب سازی :