اخیرا بخشنامهای به شبکه بانکی ابلاغ شد که بیانگر تهدید هکرها و نفوذ آنها به نرمافزارهای بانکی تلفن همراه و انجام برداشتهای غیرمجاز از حسابها و به تبع آن ایجاد نگرانی سازمانهای ذیربط در این رابطه است. با این حال بانک مرکزی اعلام کرده که ملاحظات سیستم عامل تلفن همراه و امنیت شبکه مخابراتی با وجود اهمیت فروان در اختیار حوزه بانکی نیست.
مسایل امنیتی حوزه بانکی همواره از اهم مسایل حاکم بر این شبکه به شمار رفته و وجود برخی نقایص در این این رابطه گاهی موجب زیانهایی برای مشتریان و مجموعه شبکه بانکی شده است. موضوعی که البته با وجود اذعان به آن، مسوولیت آن به طور کامل از سوی سازمانهای ذیربط پذیرفته شده نیست.
بعد از اینکه چندی پیش بانکها با هشدار به مشتریان خود اعلام کردند که ایمیلهایی که مبنی بر دریافت اطلاعات و تکمیل فرمهای ارائه شده برای آنها ارسال میشود به هیچ عنوان از سوی بانکها نیست و می تواند عامل نفوذ به حسابهای مشتریان باشد، اخیرا نیز بانک مرکزی با ابلاغ بخشنامه ای به بانکها موضوع را به طور جدی تری مطرح کرده است.
این در حالی است که در اسفندماه سال جاری بانک مرکزی ضمن ارائهی بخشنامهای فوری به مدیران عامل بانکها و موسسات عضو مرکز شتاب تهدید حسابهای بانکی از سوی بدافزارهای نفوذ کننده از طریق همراه بانک خبر داده و با اعلام هشدار در رابطه با نفوذ هکرها از طریق نرمافزارهای بانکی تلفن همراه نسبت به انجام سرقت از حسابهای بانکی وجود شکایات در دادسراهای کشور را تایید این موضوع اعلام کرده است.
حسابها چگونه هک می شوند؟
بدافزارها اینگونه عمل میکنند که ابتدا پیامکی حاوی لینک نصب بدافزار برای کاربر ارسال می شود و وی پس از دریافت پیامک از طریق کلیک کردن روی لینک اقدام به نصب آن میکند. در ادامه بدافزار از نقاط ضعف برنامه همراه بانکی که روی تلفن همراه کاربر وجود دارد استفاده کرده و از حساب بانکی وی سرقت میکند.
همچنین از سویی دیگر عملکرد هکرها به گونهای است که مانع رسیدن پیامکهای اطلاعرسانی از واریز و یا برداشت از حساب شخصی که میتواند که نشانگر تراکنشهای مالی غیرمجاز باشد خواهد شد.
مسوول امنیت ؟!
البته بانک مرکزی در این رابطه اعلام کرده که راهکارهای مقابله با تهدید بدافزارهای تلفن همراه در حوزههای مختلف از جمله امنیت سیستم عامل، امنیت برنامههای کاربردی تلفن همراه، امنیت شبکه مخابراتی و هوشیاری کاربران نهایی قابل بررسی است، اما ملاحظات سیستم عامل تلفن همراه و امنیت شبکه مخابراتی با وجود اهمیت فراوان در حوزه کنترل نظام بانکی نبوده و با توجه به هزینهبر بودن بکارگیری برخی راهکارهای نوین از جمله ارتقاء امنیت بانک نیاز به تحویل مخاطره و هزینه – فایده نیز خواهد بود.
اظهارت متفاوت درباره امنیت بانکی در حالی است که چندی پیش جلالی - رئیس سازمان پدافند غیرعامل - در اظهاراتی درباره امنیت بانکداری الکترونیک، با بیان اینکه «بخش مربوط به جرائم در حوزه کار پلیس قرار میگیرد، اما اینکه چقدر در سامانههای بانکی پایداری داریم، موضوع دیگری است»، گفته بود که با توجه به اینکه بخش زیادی از سامانههای بانکی کشور در بانک مرکزی وابسته به سامانههای خارجی است، آسیبپذیریهایی در این زمینه وجود دارد.
رییس سازمان پدافند غیرعامل با بیان اینکه در بانکهای کوچکتر، معمولا استفاده از سامانههای داخلی مورد توجه قرار گرفته و ما آنها را تحت کنترل داریم گفته بود که با این وجود از نظر سازمان آسیب پذیری در بانک مرکزی و در حوزه سامانههای بانکی جدی است و باید مورد توجه قرار گیرد.
با این حال بانک مرکزی این موضوع را چندان نپذیرفته و اعلام کرده بود که از نظر این بانک امنیت در حوزه بانکداری الکترونیک وجود دارد و اگر بانکداری الکترونیکی امنیت نداشت، چگونه روزی 30 تا 40 میلیون خرید انجام شده و از حساب کسی هم به صورت غیر مجاز برداشت نمیشود؟
چند توصیه برای مقابله با نفوذ هکرها
اما با توجه به مسائل موجود در رابطه با امنیت همراه بانک بانک مرکزی با تاکید بر اینکه بدافزارهای نفوذکننده به نرمافزارهای بانکی تلفن همراه تهدیدی جدی برای کاربران است چند توصیه را در این رابطه اعلام کرده که مشتریان ملزم به رعایت آنها خواهند بود.
اولین موضوع اینکه مشتریان باید نرمافزارهای همراه بانک را از وبسایت اصلی بانکها و یا منابع قابل اعتماد و مورد تایید بانک دریافت کنند و تا حد ممکن در هنگام اتصال به شبکههای بیسیم عمومی از نرمافزارهای همراه بانک استفاده نکنند.
به مشتریان تاکید شده که از کلیک کردن برروی لینکها و یا دریافت فایلهای ضمیمه پیامهایی که از اشخاص ناشناس برای آنها یا در گروههای دیگر ارسال میشود خودداری و در این رابطه به شدت دقت کنند.
در عین حال که مشتریان باید از نرمافزارهای ضد بدافزار تلفن همراه که به روزرسانی میشود استفاده کرده و از نصب برنامههای کاربردی تلفن همراه که مجوزهای بیش از اندازه درخواست میکنند، پرهیز کنند.
همچنین باید از فراهم سازی مجوز دسترسی ریشه (Root) در سیستم عامل اندروید و یا قید آزاد کردند ( IoS)و دورزدن سازوکارهای امنیتی خودداری کنند.
مشتری نباید اطلاعات حساس مربوط به حساب بانکی از قبیل رمز کارت، تاریخ انقضاء کارت بانکی و رمز دوم را در تلفن همراه ذخیره کند. همچنین تاکید شده که مشتریان باید اطلاع حسابهایی که گردش قابل توجه دارند به خدمات همراه جدا خودداری کنند.