اطلاعات سجام سرقت نشده است

امید ارباب زاده، مدیر امنیت اطلاعات شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه (سمات) با بیان اینکه کلاهبرداران سایت‌های جعلی سجام با همکاری شرکت سپرده‌گذاری مرکزی و تلاش نیروهای پلیس فضای تبادل اطلاعات (فتا) شناسایی و دستگیر شدند، افزود: انتشار برخی اخبار مبنی بر سرقت اطلاعات کابران سجام صحت ندارد.رییس پلیس فتا ناجا روز یکشنبه از دستگیری باند کلاهبرداری سایت جعلی سجام خبر داده بود. در این کلاهبرداری، اعضای باند تنها اطلاعات کارت بانکی 30 هزار کاربر را از طریق سایت جعلی سجام به سرقت برده بودند به‌طوری که هیچ گونه اطلاعاتی از سایت اصلی سجام به سرقت نرفته است. ارباب‌زاده درباره نحوه کلاهبرداری از سامانه‌های جعلی سجام گفت: کلاهبرداران با راه‌اندازی سایت‌های مشابه سامانه جامع اطلاعات مشتریان (سجام)، اطلاعات کارت بانکی اشخاص را به دست می‌آورند و کاربر را تحت عنوان پرداخت حق ثبت نام سجام به سامانه‌های جعلی و مشابه سایت‌های پرداخت الکترونیکی هدایت می‌کردند. وی افزود: اشخاصی که قربانی این تله‌گذاری شدند پس از وارد کردن اطلاعات کارت بانکی خود متوجه می‌شدند که مبلغی غیر متعارف از حسابشان کسر شده است. اینگونه سایت‌ها اینگونه عمل می‌کنند که اطلاعات کارت بانکی قربانی را دریافت و در اختیار شخص مهاجم قرار داده و این شخص بلافاصله با استفاده از اطلاعات کارت بانکی اقدام به خرید یا جابه‌جایی پول می‌کند. در فرآیند ثبت نام سجام، ابتدا هزینه ثبت نام پرداخت می‌شود و پس از پرداخت موفق، اشخاص اطلاعات هویتی، مالی و … را اعلام می‌کنند. در سایت‌های فیشینگ سجام که با هدف کلاهبرداری مالی راه‌اندازی شده، در ابتدای فرآیند اطلاعات کارت بانکی دریافت و پس از آن وارد مرحله بعد، که جهت دریافت اطلاعات است، نمی‌شود. به عبارت دیگر در سایت اصلی سجام، اشخاص اطلاعات خود را ارایه نداده‌اند که بخواهد افشاء شود یا مورد سوءاستفاده قرار گیرد. ارباب‌زاده با اشاره به اتفاقات اخیر و سوءاستفاده از نام سامانه سجام عنوان کرد که فیشینگ یا تله‌گذاری به حملاتی گفته می‌شود که مهاجم با راه‌اندازی سایت جعلی کاملا مشابه سایت اصلی تلاش می‌کند تا به اطلاعات کاربران از جمله نام کاربری، اطلاعات هویتی، اطلاعات مالی، اطلاعات کارت بانکی و…. دست پیدا کرده و با سوءاستفاده از این اطلاعات مشکلاتی را برای قربانی به وجود آورد. این نوع از حمله به راحتی و با کمی هوشیاری کاربران قابل دفاع خواهد بود. وی همچنین به افرادی که در فضای مجازی اقدام به خرید و وارد کردن اطلاعات کارتی خود می‌کنند پیشنهاد کرد قبل از وارد کردن اطلاعات کارت بانکی خود جهت هرگونه خرید در اینترنت به چند نکته ساده توجه کنند و در صورتی که هر یک از این موارد وجود نداشت از ارایه اطلاعات خودداری کنند.

 با توجه به اینکه چک کردن کلیه پارامترها برای همه اشخاص ممکن است سهولت نداشته باشد، یا به خاطر عجله مورد سهل انگاری قرار گیرد افزونه ضد فیشینگ درگاه بانکی با حمایت مرکز ماهر و با قابلیت نصب در مرورگرهای رایج مانند کروم فایرفاکس جهت نسخه سیستم عامل‌های رایج مانند ویندوز و اندروید توسعه یافته و جهت استفاده عموم به صورت رایگان در نشانی https: //antiphish.cert.ir/ قرار گرفته است. توجه به نشانی اصلی سامانه‌ای که می‌خواهند اطلاعات خود را به آن ارایه کنند؛ به عنوان مثال نشانی رسمی سجام https: //sejam.ir است و کلیه اطلاعات لازم شامل نام و نشانی کارگزاری‌های مورد تایید جهت ثبت نام سجام همچنین لیست و نشانی مراکز احراز هویت حضوری و الکترونیکی در آن آورده شده است. این در صورتی است که سایت‌های جعلی با پسوندهای غیر متعارف مانند  .LTD، .CC، Press یا با تغییر جزئی در نام دامنه مانند sajam راه‌اندازی می‌شود. کلیه سامانه‌های پرداخت مجاز دارای قالب آدرس https: //bankname.shaparak.ir/abc  هستند و ابتدا حتما با httpS شروع می‌شوند. در واقع حرف S بیانگر این است که اطلاعات بین کاربر و سرور رمزگذاری شده و برای اشخاص غیرمجاز قابل استراق سمع نیست. همچنین قبل از اولین تک خط مورب حتما باید با shaparak.ir خاتمه یابد. در اینجا باید دقت داشت که تمام حروف انگلیسی باشد به عنوان مثال shapārak.ir به دلیل وجود خط بالای a جعلی است.در تمامی مرورگرهای اینترنت امکان چک کردن گواهی SSL سایت وجود دارد که برای شاپرک حتما “Shaparak Electronic Card Payment Network Co. (PJS) “  است. این کار در مرورگرهای مختلف مشابه است. رصد اطلاعاتی پلیس فتا در فضای مجازی موجب شده تا سایت‌های فیشینگ شناسایی و بلافاصله فیلتر شوند. استفاده از فیلتر شکن‌ها موجب می‌شود امکان دسترسی و سوءاستفاده از طریق سایت‌های تقلبی برای قربانیان فراهم شود. به صورت کلی استفاده از فیلترشکن‌ها و  VPNهایی که جهت تلاش برای دور زدن فیلترینگ استفاده می‌شوند یک تهدید امنیتی است که ریسک را بسیار بالا می‌برند.صفحه کلید مجازی جهت وارد کردن اطلاعات مهم در تمامی درگاه‌های پرداخت بانکی پیاده‌سازی شده و اکیداً توصیه شده هنگام خرید اینترنتی هم از طریق کامپیوتر و هم موبایل از آن استفاده شود. در پایان مدیر امنیت سمات با اشاره به اینکه رعایت نکات امنیتی بسیار ساده است و اکثریت مردم آگاهی لازم در این خصوص را دارند درخواست کرد، این موارد را جدی بگیرند و باکمی تامل و حوصله از اتفاقاتی که باعث زیان مالی و اعتباری می‌شود جلوگیری کنند.