هویت نامتمرکز: برنامهریزی مایکروسافت برای اعطای قدرت کنترل دادههای شخصی به کاربران
مایکروسافت بهدنبال ایجاد شبکهای نامتمرکز مبتنی بر بیتکوین است که اختیار کنترل دادهها و اطلاعات شخصی کاربران را به خودشان واگذار میکند.
دکمههای غیرفعالسازی؛ راهکار غولهای فناوری برای حفظ حریم خصوصی
شرکتهای بزرگ دنیای فناوری همچون گوگل، آمازون و اپل قابلیت جدیدی را در سختافزارهای خود ارائه میکنند که با هدف حفظ حریم خصوصی کار میکند.
«شاهکار» احراز هویت کاربران
اطلاع از تعداد سیمکارتهای تلفن همراه، سرویسهای مخابراتی شامل اینترنت پرسرعت ثابت، تلفن ثابت و اطلاع از شمارههای تلفن همراه به نام مشترکین از جمله سرویسهای "شاهکار" است و در آینده امکان احراز هویت در نظام بانکی و پرداخت نیز از طریق این سامانه فراهم خواهد شد.
سامانه شاهکار (شبکه احراز هویت کاربران ارتباطی) یک واسط بین اپراتورهای مخابراتی و مراجع تطبیق هویت است. اپراتورها پیش از ارائه سرویس به مشترکین خود، از طریق این سامانه، هویت مشترکین را از نظر حقیقی یا حقوقی، ایرانی یا خارجی بودن صحتسنجی میکند و در صورت تأیید درستی اطلاعات در سامانه، اپراتور اجازه ارائه سرویس به مشترکین را دارد.
این سامانه در پی مصوبه شورای عالی فضای مجازی به منظور تأمین کامل حریم خصوصی و امنیت اطلاعات کاربران در فضای مجازی و حقیقی در سال ۱۳۹۴ راهاندازی و به تدریج سرویسهای مختلف به آن اضافه شد. همچنین در ماههای گذشته، شاهکار به نرمافزار دولت همراه متصل شد که این نرمافزار از سایت دولت همراه به آدرس MOB.GOV.IR و اپ مارکتهای ایرانی قابل دانلود و نصب است.
شاهکار چه خدماتی ارائه میدهد؟
تطبیق شناسه سرویس و شناسه هویتی از قابلیتهای سامانه شاهکار است که با مشخص شدن صاحبان سرویسهای ارتباطی در این سامانه، خدمات از هر سرویس ارتباطی به صاحب همان سرویس ارائه میشود. با ایجاد این امکان هیچ فردی حق استفاده از شماره همراه فرد دیگری برای ثبتنام در نرمافزار دولت همراه، نرمافزارهای موبایل بانک، پرداخت آنلاین، ثبت آگهی فروش، فروشگاههای آنلاین و سایر نرمافزارهایی که حریم خصوصی در آنها مطرح است و یا امکان تقلب و کلاهبرداری در آنها وجود دارد را نخواهد داشت.
اطلاع به مشترکین درباره ثبت سرویسهای ارتباطی به نام آنها، یکی دیگر از سرویسهای سامانه شاهکار است و درصورت ثبت هرگونه سرویس ارتباطی در اپراتورهای مخابراتی با شناسه هویتی مشترکان، ثبت این سرویس در قالب پیامک با سرشماره cra.ir به تمامی خطوط تلفن همراه به نام مشترک اطلاعرسانی میشود. همچنین اطلاع از تعداد سیمکارتهای تلفن همراه، سرویسهای مخابراتی شامل اینترنت پرسرعت ثابت (ADSL، TD-LTE، وایرلیس و …)، تلفن ثابت، اطلاع از شمارههای تلفن همراه به نام مشترکین نیز از سرویسهای جانبی شاهکار است.
احراز هویت با شاهکار در نظام بانکی
اخیراً حسین فلاح جوشقانی -رئیس سازمان تنظیم مقررات و ارتباطات رادیویی- درباره وضعیت بهرهبرداری از سامانه شاهکار در نظام بانکی و پرداخت گفته بود که در چند ماه اخیر نشستهایی از سوی بانک مرکزی و شبکه بانکی با وزارت ارتباطات و فناوری اطلاعات و سازمان تنظیم مقررات و ارتباطات رادیویی برگزار شد تا شبکه بانکی و پرداخت بتواند از زیرساخت سامانه شاهکار به منظور احراز هویت مشتریان با ویژگیهای خاص و قیمت معقول استفاده کند؛ در همین راستا باید توافقی میان بانک مرکزی و سازمان تنظیم مقررات ارتباطات منعقد میشد که در نهایت با پیگیریهای انجام شده، توافقات انجام شده است.
معاون وزیر ارتباطات و فناوری اطلاعات همچنین اظهار کرده بود که با توجه به توافق انجام شده به زودی استفاده از سامانه شاهکار در نظام بانکی و پرداخت عملیاتی میشود؛ با این توافق، نظام بانکی و پرداخت کشور میتواند از دادههای سامانه شاهکار برای مسئله احراز هویت استفاده کند و عملیات مطابقت کد ملی با شماره تلفن انجام شود که میتواند احراز هویت را با سرعتی بالا و با دقت به منظور جلوگیری از فعالیت کلاهبرداران انجام دهد.
حفره امنیتی بیش از ۲۰ هزار مودم لینکسیس تأیید شد
روترهای لینکسیس در ابعاد بزرگ آسیبپذیریهای امنیتی نشان دادند که تاکنون تهدیدها در ۲۰ هزار عدد از آنها تأیید شده است.
آسیبپذیری Zombieload، شرکا و همکاران اینتل را کاهش میدهد
آسیبپذیریهای اخیر که در پردازندههای اینتل کشف شدند، اعتماد و صبر شرکا و همکاران این شرکت را از بین بردند.
سرویس هوش تهدیدیِ خوب را از کجا میتوان پیدا کرد؟
با گسترش سطح حملات و پیچیدگیِ روزافزون تهدیدات، واکنشِ صِرف به حوادث دیگر کفایت نمیکند. اکنون مهاجمین بیش از هر زمان دیگری برای حمله کردن فرصت نصیبشان میشود. هر صنعت و هر سازمانی اطلاعات ارزشمند مخصوص به خود را دارد که از آن تمام قد حراست میکند؛ همچنین از مجموعه اپها و فناوریهای ویژهای نیز برخوردار است. همهی اینها میتواند خوراکی باشد برای مهاجمین تا با ترفندهای مختلف بدانها یورش ببرند. متودهای حمله هر روز دارد بیشتر و بیشتر میشود.
در طول چند سال گذشته، متوجه مرز باریک بین انواع تهدیدها و انواع عاملین تهدید شدهایم. متودها و ابزارهایی که سابقاً برای یک سری از سازمانها تهدید به حساب میآمدند اکنون در بازار بزرگتری شیوع پیدا کردهاند. یکی از نمونههای بارز، دامپ کردنِ کد، توسط شرکت Shadow Brokers بود که اکسپلویتهای پیشرفتهای در اختیار عاملین جرم گذاشت -عاملینی که در غیر این صورت نمیتوانستند به چنین کد پیشرفتهای دسترسی داشته باشند.
رویکرد جدیدی نیاز است
با توجه به این حقیقت که سازمانها دارند به طور فزایندهای قربانیِ حملات هدفدار و پیشرفته میشوند، پر واضح است که داشتن دفاعی موفق نیازمند متودهای جدید است. شرکتها برای محافظت از خود همواره دارند نظارتهای امنیتی خود را با محیطِ همیشه در حال تغییر تهدید سازگار میکنند. تنها راه کنار آمدن با این تغییرات، ساخت برنامهی هوش تهدیدیِ[1] مؤثر است. هوش تهدیدی همین الانش هم یک مؤلفهی کلیدی در عملیاتهای امنیتی به شمار میآید. این سرویس را تقریباً هر شرکتی با هر ابعادی در تمام صنایع و موقعیتهای جغرافیایی به کار میبرد. هوش تهدیدی میتواند در طول چرخهی مدیریت واقعه از تیمهای امنیتی پشتیبانی کند و آنها را در تصمیمگیریهای راهبردی کمک نماید. با این حال، افزایش تقاضا برای هوش تهدیدیِ خارجی، بیشتر شدن فروشندگان این سرویس را نیز موجب شده است؛ حال دیگر هر یک از آنها سرویسهای هوش تهدیدی متنوعی را در اختیار شرکتها و سازمانها قرار میدهند.
هوش تهدیدی که به تخصص سازمانی شما مرتبط نمیشود میتواند حتی موجب وخیمتر شدن شرایط نیر بشود. در بسیاری از شرکتهای امروزی، تحلیلگران امنیتی به جای تمرکز روی شکار تهدید و واکنش سریع و معقول به آن، بیش از نیمی از زمان خود را صرف ساماندهی مثبتهای کاذب خود میکنند. ارائهی هوش تهدیدیِ نامربوط یا نامناسب به عملیاتهای امنیتی میتواند رقم هشدارهای کاذب را افزایش دهد و تأثیر به شدت منفی روی قابلیتهای واکنشدهی بگذارد.
بهترین هوش تهدیدی را از کجا میتوان پیدا کرد؟
با این حساب شاید برایتان سؤال پیش آید که چطور میتوان هوش تهدیدی مناسب و مرتبطی برای شرکت یا سازمان پیدا کرد؟ چطور میشود از بین این همه فروشنده با بازاریابیهای قوی که همه هم ادعا دارند محصولشان از بقیه بهتر است، سرویس هوش تهدیدیِ مناسبی تهیه کرد؟ گرچه این سوالات مهماند؛ اما فعلاً موقعیت خوبی برای پرسیدنشان نیست. بسیاری از سازمانها که گول وعده وعیدهای رنگین فروشندههای خارجی را میخورند فکر میکنند قرار است برایشان کاری کنند کارستان؛ غافل از اینکه ارزشمندترین هوش تهدیدی در محیط خودِ شبکهی سازمانیشان است.
اطلاعات حاصل از سیستمهای پیشگیری و تشخیص نفوذ، لاگهای اپلیکیشن و لاگهایی از سایر نظارتهای امنیتی میتوانند خود بازتابی باشند از اتفاقات داخل شبکهی سازمانی. هوش تهدیدیِ درونسازمانی میتواند الگوهای فعالیت مخرب مخصوص به سازمان را شناسایی کند؛ فرق بین کاربر معمولی و رفتار شبکهای را متوجه شود؛ به حفظ رشته فعالیتهای دسترسی به داده کمک کند؛ حفره اطلاعاتی احتمالی که نیاز به پلاگ شدن دارد شناسایی کند و غیره. جدا از اینها، استفاده از سرویسهای هوش تهدیدیِ خارجی میتواند همچنین دشوار باشد. در حقیقت برخی فروشندهها ممکن است به واسطهی حضور جهانیشان و قدرتشان در جمعآوری، پردازش و پیوند دادهها به هم -از بخشهای مختلف جهان- تهدیدهای سایبری را با شفافیت بیشتری نمایش دهند اما این تنها زمانی چارهساز است که زمینه و بستر داخلی کافی برای این کار وجود داشته باشد.
مثل مهاجم فکر کنید
برای ساخت برنامهی هوش تهدیدیِ کارامد، شرکتها -از جمله آنهایی که مراکز عملیاتهای امنیتی دارند- باید فکر خود را همسوی مهاجم کنند تا از حیلههای مجرم سایبری جا نخورند. استفاده از هوش تهدیدی وقتی مؤثر است که بتوان درک روشنی از ارزشهای کلیدی داشت. با توجه به منابع محدودی که معمولاً در اختیار دپارتمانهای امنیت اطلاعات است، تحلیل و ثبت کل عملیاتهای سازمانی کار بسیار دشواریست. راهحل، اتخاذِ رویکردی مبتنی بر ریسک با مقدم دانستن هدفهای مستعدتر است. وقتی منابع هوش تهدیدیِ داخلی تعریف و عملیاتی شد، شرکت تازه میتواند به فکر اضافه کردن اطلاعات خارجی به جریانکاریهای فعلیِ خود بیافتد.
صحبت، سرِ اعتماد است
منابع خارجی هوش تهدیدی از سطوح اطمیناندهیِ مختلفی برخوردارند:
• منابع باز رایگانند اما اغلب زمینه ندارند و تعداد قابلملاحظهای مثبت کاذب برمیگردانند.
• برای شروعی خوب، به جوامع اشتراکگذاری هوش (سازمان-محور) مانند FS-ISAC[2] دسترسی پیدا کنید. این جوامع اطلاعات بسیار ارزشمندی ارائه میدهند؛ هرچند اغلب گِیت میشوند و برای دسترسی به آنها باید عضویت داشته باشید.
• منابع تجاریِ هوش تهدیدی به مراتب قابلاطمینانترند گرچه دسترسی بدانها خیلی هزینهبردار است.
توصیهی ما برای انتخاب سرویس هوش تهدیدیِ خارجی این است که کیفیت را بر کمیت مقدم بدانید. اطلاعات فروشندگان مختلف سرویسهای هوش تهدیدی را نمیتوان در قالب همپوشانی مؤثر به کاربرد زیرا منابع هوش و روشهای جمعآوری اطلاعاتشان با هم بسیار تفاوت دارد و همچنین بینشهایی که ارائه میدهند نیز در برخی جنبهها متفاوت است. برای مثال، فروشندهای که در منطقهای خاص حضورِ پررنگی دارد اطلاعات بیشتری در مورد تهدیدهای ناشی از آن منطقه در اختیار دارد؛ این درحالیست که فروشندهای دیگر میتواند اطلاعات بیشتری روی انواع دیگری از تهدیدها بدهد. توجه داشتید باشید که این نوع منابع قابل اعتماد همچنین نیاز به پیشارزیابی دارند تا مطمئن شوید هوشی که تأمین میکنند متناسب با نیازهای خاص سازمانتان است.
مواردی که باید هنگام ارزیابی پیشنهادات تجاری هوش تهدیدی لحاظ کنید
هنوز هم شاخص و ملاک خاصی برای ارزیابی پیشنهادات تجاری هوش تهدیدی وجود ندارد اما در زیر به نمونههایی از آن اشاره کردهایم:
• به دنبال هوشی بگردید که بطور جهانی بشود بدان دسترسی پیدا کرد. حملات، مرز نمیشناسند- حملهای که هدفش، شرکتی در آمریکای لاتین است میتواند از اروپا و برعکس شروع شود.
آیا فروشنده اطلاعات را به طور جهانی بدست آورده و فعالیتهای به ظاهر نامرتبط را به کمپینهای منسجمی تطبیق میدهد؟ این نوع هوش به شما کمک خواهد کرد تا اقدام مناسبی انجام دهید.
• اگر به دنبال محتوایی استراتژیکتر هستید تا شما را از برنامهریزیهای امنیتیِ بلندمدت باخبر کند، به دنبال موارد زیر باشید:
o دیدگاهی سطح بالا از رویههای حمله
o تکنیکها و روشهای بکارگرفتهشده توسط مهاجمین
o انگیزهها و نیات
o نسبتها و غیره
و بعد به سراغ فروشندهی هوش تهدیدیای بروید که در صنعت یا منطقهی شما سابقهی خوشی دارد.
• محتوا اطلاعات را از داده ها میگیرد. شاخصهای تهدید بدون محتوا و زمینه هیچ ارزشی ندارند- باید به دنبال فروشندههایی باشید که به مهمترین سوال شما (چرا این مسئله باید تا این حد اهمیت داشته باشد؟) پاسخ دهند. زمینهی ارتباطی (برای مثال، دامنههای مرتبط با آدرسهای آیپی یا یوآرالهای شناختهشده که فایل بخصوصی از آنها دانلود شده است) گواهی است بر ارزشی بیشتر. بدینترتیب، بررسی روی واقعهی سایبری ارتقا داده میشود و مقیاسبندی وقایع نیز بهتر صورت میگیرد.
• فرض بر این گذاشته شده است که شرکت شما از قبل مجهز به هدایتگرهای امنیتی است، فرآیندهای مرتبط با آن همه تعریف شدهاند و برای شما خیلی مهم است که با همان ابزارهایی که میشناسید و از آنها استفاده میکنید هوش تهدیدی را به کار ببندید. بنابراین به دنبال متودهای تحویل، مکانیزمهای یکپارچهسازی و فرمتهایی باشید که از تجمیع روان هوش تهدیدی و عملیاتهای امنیتیِ فعلیتان حمایت میکنند.
ما در لابراتوار کسپرسکی، بیش از دو دهه است که تمرکز خود را روی بررسی تهدید گذاشتهایم. با در اختیار داشتن پتابایتها دادههای غنی در خصوص تهدیدها، فناوری یادگیری ماشین و کلی متخصص جهانی اینجاییم تا شما را در آشنایی با جدیدترین سرویسهای هوش تهدیدی (در سراسر جهان) آشنا کنیم و کمکتان کنیم حتی از گزند ناشناختهترین و نامحسوسترین حملات سایبری نیز مصون بمانید.
شکایت فرزند یک آهنگساز از اپل، آمازون، گوگل و مایکروسافت
تعدادی از بزرگترین شرکتهای فناوری آمریکا به علت نقض حقوق مالکیت معنوی و ارائه مستقیم و غیرمستقیم خدمات فروش موسیقی، بدون رعایت کپی رایت تولیدکننده این آثار مورد پیگرد قضایی قرار گرفتند.
به گزارش آسین ایج، این شکایت توسط فرزندخوانده آهنگسازی به نام هارولد آرلن بر علیه شرکتهای اپل، آمازون، گوگل و مایکروسافت تقدیم دادگاه شده است. این شرکتها به فروش بدون اجازه ۶۰۰۰ قطعه موسیقی تنظیم شده توسط این فرد متهم شدهاند.
فرزندخوانده هارولد آرلن، این اقدام اپل، آمازون، گوگل و مایکروسافت را به معنای نقض حقوق مالکیت معنوی خود دانسته و خواستار دریافت غرامتی ۴.۵ میلیون دلاری از آنها شده است.
در شکایت تنظیم شده فرزندخوانده این آهنگساز چنین آمده که خدمات پخش موسیقی آنلاین موجب دریافت و ذخیره سازی بدون اجازه آثار وی شدهاند و کپیهای غیرمجاز موسیقیهای وی با قیمتهایی کمتر از کپیهای مجاز و اصلی به فروش رسیدهاند. با توجه به اینکه این کار بدون رضایت و اطلاع آرلن انجام شده وی در تلاش برای دریافت غرامت از اپل، آمازون، گوگل و مایکروسافت است.
هارولد آرلن که در سال ۱۹۸۶ درگذشته است آهنگساز و ترانه سرای اهل ایالات متحده آمریکاست که در سال ۱۹۳۹ میلادی، برندهٔ جایزه اسکار بهترین ترانه فیلم شد. از فیلمها یا مجموعههای تلویزیونی که وی در آنها نقش داشته است میتوان به جادوگر شهر از و ستارهای متولد شده است، اشاره کرد.
درآمد ۳۲ هزار دلاری هکرهای کلاهسفید از کشف آسیبپذیری در ارزهای دیجیتال
کوین تلگراف با استناد به گزارش رسانه خبری هاردفورک در تاریخ ۲۰ می (۳۰ اردیبهشت) نوشت که هکرهای کلاهسفید طی دو ماه گذشته از طریق گزارش حفرههای امنیتی موجود در پروژههای مربوط به بلاک چین و ارز دیجیتال ۳۲٬۰۰۰ دلار درآمد داشتهاند.
بر اساس این گزارش، مبلغ نامبرده از تاریخ ۲۸ مارس الی ۱۶ می، از طرف ۱۵ شرکت به هکرهای کلاهسفید اعطا شده است. در این بازه زمانی هکرهای کلاهسفید موفق به گزارش عمومی ۳۰ باگ در پروژههای فناوری شدهاند.
پاداش کشف هر باگ میتواند بسته به میزان آسیبی که در بر دارد تغییر کند. طبق آمار منتشر شده توسط رسانهی هارد فورک، بیشترین میزان پاداش توسط شرکت بلاک چین محور OmiseGo با مبلغ تقریباً ۱۰۰ دلار به کلاهسفیدها ارائه شده بود. بااینحال میزان پاداش اعطا شده توسط شرکت بلاک.وان (Block.one) و استارتاپ اترنیتی (Aeternity)، در طول این دو ماه ۱۰٬۰۰۰ دلار بوده است.
بر اساس گزارشهای موجود، ترون بابت کشف یک آسیبپذیری بسیار خطرناک در شبکه ۳٬۵۰۰ دلار به کلاهسفیدها پاداش داده است. با وجود این آسیبپذیری هکرها میتوانستند حافظه موجود در یک کامپیوتر را پر کنند و سپس از طریق کد مخرب در قراردادهای هوشمند، یک حمله دی داس (DDoS) را در شبکه ترون عملی کنند.
در برنامه P1: Critical صرافی بزرگ بایننس برای کشف هر آسیبپذیری مهم در پروژهها، پاداشی بیش از ۱۰ هزار دلار، و برای آزمایش هر چه بهتر صرافی غیرمتمرکز آن، اهدای توکنهای BNB به ارزش تقریبا ۱۰۰ هزار دلار در نظر گرفته شده است. بایننس برنامه P1 را مطابق رتبه آسیب پذیری در پلتفرم Bugcrowd رده بندی میکند.
همانطور که پیش از این گزارش شده بود، درآمد سال ۲۰۱۸ کلاهسفیدها از راه کشف آسیبپذیری در شبکهی ارزهای دیجیتال پاداشی به ارزش ۸۷۸ هزار دلار بوده است. از میان شرکتهایی که به کلاهسفیدها پاداش دادهاند میتوان به بایننس (۲۹۰٬۳۸۱ دلار) و ترون (۷۶٬۲۰۰ دلار) اشاره کرد.
گوگل پسوردهای برخی کاربران را ذخیره کرد
گوگل در یک پست وبلاگی فاش کرده به دلیل وجود یک باگ پسوردهای برخی کاربران شرکت «جی سویت» در یک فایل متنی واضح در سرورهای شرکت ذخیره شده بوده اند.
به گزارش ورج، به نظر میرسد فیس بوک تنها شرکتی نیست که پسوردهای کاربران را در یک فایل متنی واضح ذخیره کرده است. گوگل در یک پست وبلاگی فاش کرد که در این اواخر باگی را کشف کرده است. این باگ سبب شده پسورد برخی از کاربران G Suit در فایل متنی واضح ذخیره شود.
این باگ از سال ۲۰۰۵ میلادی وجود داشته است. البته گوگل ادعا میکند هیچ شواهدی مبنی بر سواستفاده از پسورهای افراد کشف نکرده است. این شرکت پسوردهایی که احتمالاً در معرض خطر قرار دارند را ریست کرده است.
G Suit یکی از نسخههای شرکتی جی میل و اپلیکیش های دیگر گوگل است و به نظر میرسد دلیل ایجاد این باگ طراحی یک ویژگی مخصوص شرکتها بوده است.
در اوایل ارائه سرویس G Suit، مجری اپلیکیشنهای آن در شرکتها میتوانست پسورهای کاربران به طور دستی تغییر دهد. در صورت این کار پسوردها به صورت یک فایل متنی در کنسول ادمین ذخیره میشد. به هرحال این شرکت ادعا میکند فایلهای متنی مذکور درون سرورهای گوگل ذخیره شده اند بنابراین دسترسی به آنها سختتر بوده است.
به هرحال این رویداد و نمونههای مشابه آن نشانگر مشکل فزاینده امنیت در فضای اینترنت هستند. روشهای امنیتی ضعیف گذشته برای شرکتها مشکل ساز شده اند.
جلوی سرقت آنلاین را بگیرید
در حالی که اجرای طرح رمز دوم یکبار مصرف به تعویق افتاده، میتوان با تفکیک حسابهای اصلی و فرعی، ریسک کلاهبرداریهای اینترنتی و سرقتهای آنلاین را کاهش داد.
در سالهای اخیر استفاده از کارتهای بانکی برای خریدهای اینترنتی، تراکنشهای غیر حضوری، پرداختهای درون برنامهای و … با افزایش چشمگیری روبرو شده و این در حالی است که به همین نسبت کلاهبرداران اینترنتی و سودجویان نیز بیشتر شدهاند.
کلاهبرداران اینترنتی یا همان سارقان آنلاین سعی میکنند با عملیات فیشینگ (Phishing) به اطلاعات هویتی یا مالی افراد دست پیدا کنند و سودجویی و سرقت خود را از این طریق انجام دهند.
فیشینگ یا سرقت آنلاین در عمل به صورت کپی دقیق رابط گرافیکی یک وبگاه معتبر مانند بانکهای آنلاین انجام میشود که ابتدا کاربر از طریق ایمیل یا آگهیهای تبلیغاتی سایتهای دیگر، به این صفحه قلابی راهنمایی میشود. سپس از کاربر درخواست میشود اطلاعاتی مانند اطلاعات کارت اعتباری خود در آنجا وارد کند که در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود، فیشرها به اطلاعات شخص دسترسی پیدا میکنند.
شاید بارها شنیده باشید که شرکتها و بانکهایی که درگاه پرداخت آنلاین ارائه میکنند، برای مشتریان خود پروتکلهای امنیتی خاصی را در نظر میگیرند و نشانها و فرآیندهایی را ایجاد میکنند که کاربر با استفاده از آنها بتواند به درستی به درگاه پرداخت آنلاین پی ببرد.
شبکههای اجتماعی بزرگ مانند فیسبوک، اینستاگرام، تلگرام و … که این روزها بیشتر مورد استفاده قرار میگیرند، از ضریب امنیتی بالایی برخوردارند و با توجه به افزایش مستمر سطح امنیتی آنها، عملاً نفوذ به این اپلیکیشنها بدون کمک خود کاربر امکانپذیر نیست تا جایی که برخی از این شبکهها برای افرادی که بتوانند باگهای امنیتی پیدا کنند، جایزه قابل توجهی در نظر گرفتهاند.
اما اقدامی که فیشرها انجام میدهند این است که از طریق برخی آگهیهای تبلیغاتی، افراد را به سمت درگاهها و صفحههای ساختگی با شکل شبکههای اجتماعی هدایت میکنند و در صورتی که کاربر به موارد امنیتی توجه نکند، میتواند در تله فیشینگ بیفتد.
جلوگیری از سوءاستفاده در تراکنشهای غیرحضوری و خریدهای اینترنتی، دلیلی بود که بانک مرکزی را مجاب کرد با اجرای طرح رمزهای دوم یکبار مصرف، این تهدیدات را کاهش دهد، اما این طرح به دلیل برخی مشکلات، دیرتر از آن تاریخی که اعلام شده بود، اجرایی خواهد شد.
در این میان یکی از اقداماتی که مردم میتوانند برای کاهش ریسک سرقتهای آنلاین انجام دهند، این است که حسابهای بانکی خود را تفکیک کنند؛ در واقع به جای اینکه بخش عمدهای از پول خود را در حسابی نگه دارند و با کارت متصل به آن حساب، خریدهای آنلاین خود را انجام دهند، یکی از حسابهای خود را برای انجام این کار در نظر بگیرند و پول کمی در آن داشته باشند.
امروزه بسیاری از مردم ایران از کارتهای بانکی برای خریدهای آنلاین، خرید شارژ سیمکارت، پرداخت غیرحضوری قبوض و سایر تراکنشهای بانکی استفاده میکنند که به این ترتیب، افراد بهتر است برای این اقدامات کارت بانکی دیگری جدا از حساب اصلیشان دریافت کنند و پول خود را در آن بریزند و این اقدامات را با آن کارت انجام دهند.
به این ترتیب، ریسک استفاده از تراکنشهای غیرحضوری نیز کاهش مییابد و در صورتی که این اتفاق برای کاربر رخ دهد، ضرر مالی هنگفتی به او نمیخورد.