در اين نوشتار، نخست با نوعي از حملات براي سرقت اطلاعات و رمز‌هاي عبور (به ويژه رمز‌هاي مربوط به حساب‌هاي بانكي) آشنا مي‌شويم كه در اصطلاح pharming ناميده مي‌شود و سپس موارد امنيتي نرم‌افزاري و سخت‌افزاري در رابطه با مقابله با اين حملات را بررسي مي‌كنيم. بي‌شك هدف از اين مقاله، آشنايي هر بيشتر شما عزيزان با بانكداري نوين الكترونيك و تشويق به استفاده از اين خدمات مي‌باشد. ضمن اينكه درك و شناخت ضعف‌ها و عيوب امنيتي و راه‌كارهاي مقابله، از موارد اصلي مطرح شده مي‌باشد.

با گسترش عمليات بانكي از طريق اينترنت، اخيرا با افزايش موج تهديدهاى جديدى كه هويت و اطلاعات كاربران را هدف قرار داده‌اند، رويكردهاى جديد امنيتى و مراقبتي ويژه‌اي طلب مي‌شود.‌ در حقيقت امروزه حملات phishing، ساده‌تر و كم خطرتر از تهديدهاى آنلاينى كه در حال تجربه شدن هستند، به نظر مى‌رسند. به عبارتي امروزه، كاربران با اشكال موذيانه‌ترى از حمله مواجه مى‌شوند كه كشف و مقابله عليه آنها، بسيار مشكل‌تر است. اين گونه جديد حمله، به عنوانpharming  شناخته مى‌شود.

Pharming بجاى اينكه كاربر را فريب دهد تا به يك ايميل تقلبى پاسخ دهد، يا او را به يك وب سايت جعلى هدايت كند (كاري كه در حملات phishing معمول است)، براى فريب دادن كاربر براى تسليم هويت و اطلاعات حساسش، از روش‌هاى زيركانه‌ترى استفاده مى‌كند. اين حملات اغلب از اسب‌‌هاى تروا (تروجان) براى نصب برنامه‌هاى كليدخوان و برنامه‌هاى هدايت كننده استفاده مى‌كنند تا به يك نفوذگر اجازه دهند كلمات عبور و شماره كارت‌هاى اعتبارى و رمز عبور حساب‌هاي بانكي قابل دسترس از طريق اينترت را بدست آورد، بدون اينكه كاربر مجبور به انجام كارى غيرعادى باشد.

براي روشن شدن بحث، در اينجا دو نمونه از چگونگى اين حمله را بررسي مي‌كنيم تا کاربران بيشتر با اين گونه حملات آشنا شوند.

حملات Pharming چه نوع حملاتي هستند و چه فرقي با حملات Phishing دارند؟

فرض كنيد كاربر يك ايميل ظاهراً صحيح را باز مى‌كند كه او را تشويق مى‌كند تا فايل الحاقى به ايميل را باز كند. اين فايل الحاقى به صورت مخفيانه يك برنامه كليدخوان (برنامه‌اى است كه كليدهايى را كه توسط كاربر زده مى‌شود، ثبت مى‌كند) نصب مى‌كند. از اين لحظه به بعد، هنگامى كه كاربر به بانك آنلاين خود سر مى‌زند تا مثلا به حسابي پول واريز كند، برنامه كليدخوان اين پروسه را تشخيص مى‌دهد و ورودى‌هاى صفحه كليد كاربر را هنگامى كه وى اسم و كلمه عبور را تايپ مى‌كند، ثبت مى‌كند. سپس اين اطلاعات براى نفوذگر ارسال مى‌شود تا براى دسترسى به حساب كاربر استفاده شود.

در مثالي ديگر، يك كاربر ممكن است با دانلود كردن يك فايل يا مشاهده يك وب سايت كه حاوى ActiveX control است، سهواً يك هدايت كننده (redirector) را روى سيستم خود نصب كند. اين كار باعث مى‌شود كه فايل‌هاى موجود در سيستم، دچار تغييراتى شود و هنگامى كه كاربر به بانك آنلاين خود سر مى‌زند، به وب سايت نفوذگر هدايت شود. اين عمل مى‌تواند با مسموم كردن سرور DNS انجام گيرد كه براى آدرس بانك آنلاين كاربر، IP وب سايت نفوذگر را مى‌فرستد.

البته حملات پيچيده‌تر مى‌توانند ارتباط را با بانك كاربر برقرار كنند و هنگامى كه پروسه در حال انجام است، ترافيك عبورى بين كاربر و بانك (شامل كلمات عبور و اطلاعات شخصى) را مشاهده كنند. در اين روش، در اصل نفوذگر خود را بين كاربران و بانك قرار مى‌دهد.

حالا چه بايد کرد؟

براي جلوگيري از چنين تهاجمي، نخست بايد ورود موارد زيان‌رسان را به كامپيوتر متوقف كنيد و از ورود به سايت‌هاي مشكوك، آلوده و مخرب خودداري كنيد. همچنين همواره و به عنوان يك اصل هزار بار تكرار شده، از يك ضديروس قوي و معتبر با قابليت به روزرساني به همراه يك فايروال نيرومند استفاده كنيد. اين دو مورد (يعني ضدويروس و وفايروال)، مي‌بايست هميشه و دائما بر روي سيستم شما نصب باشند. در عين حال بدون اينكه نيازي به نصب و فعال بودن هميشگي باشد، بهتر است حداقل هر دو هفته يك بار، سيستم خود را توسط برنامه‌هاي ضدجاسوس (Spyware) چك و بررسي كنيد. چنين برنامه‌هايي را لازم نيست حتما به طور دائم فعال يا نصب كنيد، زيرا بعضا مي‌توانند مداخلاتي در سيستم كرده و يا عملكرد آن را كند و تضعيف كنند. پس هر از چند گاهي به فواصل معين و كوتاه، يكي از آنها را نصب كنيد و پس از انجام كار و اسكن، مجددا عزل نماييد. ضمنا تاكيد مي‌شود كه هر بار يكي از اين نوع برنامه‌‌هاي ضدجاسوس را نصب كنيد (تعداد و گستره آنها وسيع است)، زيرا هر يك داراي نقاط قوت و ضعف مربوط به خود هستند و هنوز يك برنامه كامل ضدجاسوس، در دسترس نيست.

بي‌ترديد و به هر حال، همچنانكه در پهنه اينترنت، اينگونه حملات به رشد خود ادامه مى‌دهند و پيچيده‌تر مى‌شوند، نمى‌توان از احتمال نصب شدن موفقيت‌آميز يك كليدخوان يا هدايت كننده، عليرغم اين گاردهاى مرزى، غافل ماند.

در عين حال براى سروكار داشتن با اين احتمال، رويكرد متفاوت ديگرى مورد نياز است. در واقع علاوه بر ابزارهايى كه ذكر آنها رفت، نياز است كه هويت و اطلاعات كاربران توسط محافظ شخصى (body guard) مراقبت شود. يعنى، نياز است كه هويت و اطلاعات شخص، بدون در نظر گرفتن نوع حمله و جايى كه اطلاعات كاربر به آنجا مى‌رود، همواره امن باقى بماند. اين نوع امنيت،  قابليت‌هاى محافظ شخصى را براى هويت كاربر ايجاد مى‌كند و اهميتى ندارد كه اطلاعات كاربر به كجا فرستاده مى‌شود و كليدخوان نصب شده است و يا اينكه نفوذگر مى‌تواند ترافيك اينترنت را نظارت كند.

در حقيقت دو قابليت امنيتى وجود دارد كه مى‌توانند توانايى اين محافظ شخصى را پياده كند. اولى تصديق هويت قوى(strong authentication) است. امروزه، كاربران عموماً براى محافظت از هويتشان، به يك كلمه عبور اطمينان مى‌كنند، اما احتمال زيادى وجود دارد كه كلمه عبور توسط كسى كه نظاره‌گر login است، دزديده شود. بنابراين داشتن يك عامل اضافى براى تصديق هويت، يعنى چيزى كه كاربر بايد به صورت فيزيكى داشته باشد، علاوه بر آنچه كه مى‌داند، مى‌تواند يك هويت آنلاين را در برابر حمله محافظت كند. اين كار قابل مقايسه با چگونگى تأييد هويت كاربران در ماشين هاى خودپرداز بانك است. به به عبارت ديگر، كاربران هم كارت بانكى دارند و هم شمارهPIN  را مى‌دانند. با تصديق هويت قوى، اگر كليدخوان هم نصب شده باشد، مى‌تواند فقط كلمه عبور را بگيرد و نه عامل فيزيكى استفاده شده در پروسه تصديق هويت را. يعني كلمه عبور به تنهايى و بدون فاكتور فيزيكى (در اينجا كارت بانك)، نمى‌تواند توسط نفوذگر براى دسترسى به حساب كاربر مورد استفاده قرار گيرد.

توانايى مهم دوم، تكنيك رمزنگارى مداوم است. لازم به ذكر است امروزه، SSL (Secure Socket Layer) از اطلاعات ارسال شده توسط كاربران بگونه‌اى محافظت مى‌كند كه فقط در سرور هدف قابل بازگشايي مى‌شوند. براى مثال، اگر يك كاربر، كلمه عبور خود را وارد كند، تا زمان رسيدن به وب سرور در طرف ديگر،  قابل مشاهده نيست. اما در يك حمله هدايت كننده، ارتباط امن در سايت نفوذگر پايان مى‌پذيرد و قبل از اينكه به سازمان آنلاين قانونى ارسال شود، ديتاى كاربر در معرض افشا قرار مى‌گيرد.

در نتيجه رمزنگارى مستمر مى‌تواند از ديتا، بدون در نظر گرفتن امنيت ارتباط، محافظت كند. يعني ورودى‌هاى كاربر قبل از ترك كامپيوتر كاربر رمز مى‌شوند و مى‌توانند فقط توسط سازمان قانونى كه به سرورهاى طرف ديگر دسترسى دارد، رمزگشايى شوند. در اين وضعيت، حتى اگر ديتا به اين سرور نرسد، رمزشده باقى خواهد ماند و براى يك نفوذگر قابل استفاده نيست. اين دو قابليت به همراه هم، مى‌توانند نقش محافظ شخصى را براى محافظت از هويت و اطلاعات كاربر در دنياى خصمانه اينترنت ايفاء كنند (به ويژه در دنياي تجارت الكتروينك و بانكداري آنلاين).

از سوي ديگر به عنوان يك عامل و فاكتور تكميل كننده ديگر در حفظ صحت و اطمينان از انجام پروسه عمليات بانكي الكترونيك، حفظ امنيت پسوردها، به وسيله تكنيك "لحظه‌اي و غيريكتا نمودن" آنهاست. براي تشريح اين تكنيك به زبان ساده، لازم به توضيح است كه در اين وضعيت، فرضا شما از شعبه بانك خود، درخواست مي‌كنيد كه براي تسهيل وسرعت بخشيدن در انجام امور بانكي، قابليت پرداخت از طريق اينترنت را در اختيار شما بگذارند. در اين حالت، دو وضعيت متصور است:

))  در وضعيت اول كه تعدادي از بانك‌هاي ايران نيز بر طبق آن عمل مي‌كنند، به شما يك كد كاربري و يك رمز عبور اختصاص داده مي‌شود (كمابيش شبيه به وضعيت پرداخت از طريق دستگاه ATM يا همان دستگاه‌هاي خودپرداز). همچنين از شما خواسته مي‌شود كه از كلمه عبور و رمز آن به دقت محافظت كنيد.

بر طبق آنچه كه در سطور قبل به عرض رسيد، وب سايت بانك ارائه دهنده خدمات،‌ فاكتورهاي امنيتي قدرتمندي مانند "تصديق هويت قوي" و همچنين "رمز‌نگاري مداوم يا همان SSL"  و ساير اصول امنيتي را نيز به طور كامل رعايت نموده است و همچنين شما نيز ضمن مراقبت شديد و كامل از كد كاربري و رمز عبوري كه از بانك دريافت نموده‌ايد، كليه مراتب امنيتي را رعايت مي‌نماييد. اما متاسفانه در اين روش يك نقص بزرگ وجود دارد و آن يگانه بودن رمز عبور شماست. در اين روش بديهي است كه كد كاربري شما نيز يگانه و منحصربفرد است و شما مي‌بايست هر با بر داخل شدن به حساب خود و انجام امور بانكي از طريق اينترنت آن را وارد نماييد، اما اشكال كار اينجاست كه رمز عبور شما نيز چنين خاصيتي دارد و شما در هر بار آن را پس از كد كاربري وارد مي‌‌كنيد. خب، بديهي است كه همه شرايط امن، تا حد ممكن لحاظ شده است. اما حال اگر يك نفوذكننده به طريقي به اين كد كاربري و رمز عبور دسترسي پيدا كند، آن وقت فاتحه همه چيز خوانده شده است و در حقيقت شخص ديگري مي‌تواند بدون اجازه شما، هر آنچه مايل باشد، با حساب بانكي شما انجام دهد. فرضا پولي از حساب شما به حساب خود واريز كند و . . .  (زيرا كدكاربري و رمز عبور را يكجا در اختيار دارد).

حال بياييد اين تصور را داشته باشيد كه اي كاش براي حفظ امنيت بيشتر، اين امكان وجود داشت كه رمز عبور، هر بار تغيير كند. يعني كد كاربري شما ثابت باشد، اما براي ورود به سيستم بانكي اينترنتي و حساب شما، براي هر بار (حتي از سوي خود شما)، نياز به يك رمز عبور جديد، تازه و منحصربفرد باشد. ملاحظه مي‌‌كنيد كه در اين روش، امنيت حساب بانكي شما، تا چه اندازه افزايش پيدا مي‌كند. زيرا در اين شرايط حتي اگر نفوذگري از طرق مختلف و با زحمات فراوان به اطلاعات شما (كد كاربري و رمز عبور)، دست پيدا كند، زماني كه قصد دارد تا به حساب بانكي شما از طريق اينترنت دستبرد بزند، پس از وارد نمودن كد كاربري و رمز عبور، متوجه مي‌شود كه رمز عبور نامعتبر و منقضي شده مي‌باشد و نياز به يك رمز عبور جديد وجود دارد و اينجاست كه عليرغم تلاش و سعي و كوشش فراوان، آه از نهاد وي برخواهد خواست، و اين يعني تضمين امنيت به مراتب بيشتر در عمليات بانكي الكترونيك و تشويق بيشتر كاربران و صاحبان حساب‌هاي بانكي به روي آوردن به خدمات الكترونيك نوين بانكي.

)) در وضعيت دوم كه مقدمه آن در انتهاي وضعيت اول ذكر شد، شما علاوه بر كدكاربري، يك دستگاه "رمزياب" نيز از بانك طرف حساب خود دريافت مي‌كنيد. هر يك از اين دستگاه‌ها منحصربفرد بوده و از لحاظ انجام عمليات دقيقا مانند يك دزدگير ماشين عمل مي‌كنند (هر ريموت دزدگير، فركانس مخصوص به خود را دارد و حتي با دو ريموت دزدگير با يك مارك، نمي‌توان دستگاه دزدگير ديگري را فعال كرد و حداكثر امكان اين عمل شايد كمتر از يك در چند ميليون باشد؛ بنابراين عليرغم اينكه دزدگيرهاي مشابه زيادي در بازار اتومبيل وجود دارد، اما همگان اين اطمينان را دارند كه ريموت دزدگير اتومبيل ديگري، قادر نخواهد بود دزدگير اتومبيل آنها را تحت تاثير قرار دهد).

بله، اين دستگاه رمزياب نيز بدينگونه است. شما آن را از بانك در يك پاكت سربسته تحويل مي‌‌گيريد و اكنون انجام عمليات بانكي توسط اين دستگاه مكمل امنيتي، بسيار امن و قابل اطمينان است. زيرا براي هر نوع عمليات بانكي، مي‌بايست آن را فعال نموده و طبق راهنماي ساده آن، در هر بار رمز جديد و منحصربفردي توليد مي‌شود كه البته اين رمز نيز براي همين لحظه كاربرد دارد. ملاحظه مي‌فرماييد كه در اين روش، تا چه حد انجام امور بانكي، مطمئن مي‌باشد و در واقع اشخاص و شركت‌هايي كه عليرغم نياز مبرم به انجام امور بانكي از طريق اينترنت، از روي آوردن به آن واهمه دارند، مي‌توانند با تكيه بر اين روش، وارد دنياي عمليات بانكي از طريق اينترنت شوند كه تا حد زيادي در وقت و هزينه‌ها صرفه‌جويي مي‌كند.

ضمن اينكه در پايان هر نوع عمليات بانكي، براي ايجاد و تاييد امضاي الكترونيك، اين دستگاه به سادگي، يك نوع رمز نهايي و باز هم منحصربفرد توليد مي‌كند كه بر امنيت تعاملات بانكي، به حد قابل توجهي مي‌افزايد.

بديهي است كه در اين حالت حتي اگر برنامه‌ جاسوس و كليد خواني هم در كامپيوتر شما نصب شده باشد و اطلاعات رمز شما نيز براي مهاجم مخابره شود، اين اطلاعات براي وي ارزش نخواهد داشت، زيرا حتي اگر بلافاصله و پس از چند لحظه نيز قصد استفاده از رمز عبور را داشته باشد، آن رمز، به خودي خود منقضي شده و قابل استفاده نيست و فرد مهاجم با در بسته مواجه خواهد شد (يعني هر رمز توليد شده، فقط يكبار اعتبار دارد).

در تكميل اين بحث بايد اشاره نمود كه در حال حاضر بانك ملي ايران، از جمله بانك‌هايي مي‌باشد كه با درك موضوع و در جهت افزايش امنيت صاحبان حساب و كاربران بانكداري الكترونيك خود، به هر صاحب حسابي كه درخواست انجام امور بانكي از طريق اينترنت را داشته باشد، يكي از اين دستگاه‌هاي رمزياب را تحويل مي‌دهد. قيمت اين دستگاه 16500 تومان است و البته پرداخت اين هزينه از سوي درخواست كننده خدمات، با توجه به نقش مهمي كه در ارتقاء امنيت حساب يا حساب‌هاي بانكي وي ايفا مي‌كند، كاملا به صرفه و به صلاح مي‌باشد. ضمن اينكه متاسفانه برخي از بانك‌ها نيز همانطور كه عرض شد، از روش نخست استفاده نموده و صرفا يك كد كاربري و يك رمز عبور ثابت و دائم در اختيار مشتري قرار مي‌دهند كه متاسفانه الگو و خط مشي مناسبي در راستاي بانكداري الكترونيك و صيانت از حساب‌هاي بانكي مشتريان،‌ با توجه به آنچه تاكيد شد، محسوب نمي‌شود.

ضمن اينكه اميد است كه بدون فوت وقت و با توجه به نياز به ارتقاء امنيت هر چه بيشتر تعاملات بانكي از طريق اينترنت و جلوگيري هر بيشتر از اتفاقات ناگوار (به خصوص با توجه و تكيه بر تجربيات بيش از يك دهه گذشته كشورهاي پيشگام در اين امور و مسائلي كه بر آنها رفته است)، بانك‌هاي ايران، هر روز بيش از گذشته بر مسائل امنيتي پافشاري نموده و خود را به جديدترين روش‌هاي حفظ حريم و امنيت كاربران مجهز نمايند تا بدينوسيله، عده بسيار كثيري از صاحبان حساب‌ها، به جاي عمليات سنتي بانكي، به روش‌هاي نوين و پيشرفته بانكي از طريق اينترنت روي آورند. بدين ترتيب و شايد به عنوان تنها راه حل (البته در كنار دستگاه‌هاي خودپرداز ATM)، بدين ترتيب گره كور مشكلات بانكي در كشور از جمله، صف‌هاي طولاني، وقت قابل توجهي كه براي يك كار بانكي كوچك هدر مي‌رود، فشار سنگيني كه بخصوص در اين چند ساله و با افزايش مراجعات متوجه كاركنان بانك‌ها شده است، و ساير هزينه‌ها و مسائل، صرفا با حركت به سوي بانكداري الكترونيك، حل خواهد شد.    

 امير ناصر فلاح