15 گام برای افزایش میزان امنیت اطلاعات مالی‌

همه ما از کامپیوتر برای پرداخت قبض، خرید آنلاین، چت و برقراری تماس با دوستانمان در شبکه‌های اجتماعی استفاده می‌کنیم. شاید دقت نکرده باشید اما این موضوع باعث آسیب‌پذیر شدن ما می‌شود.

با توجه به ‌این که ما به راحتی اطلاعات ارزشمند خودمان مثل اطلاعات کارت بانکی یا حساب بانکی را منتشر می‌کنیم؛ اطلاعاتی که مجرمین سایبری به آن علاقه و نیاز دارند، برای محافظت از تراکنش‌های مالی یا اطلاعات شخصی خودمان دقت چندانی نداریم.

یک گزارش در سال 1395 توسط شرکت PricewaterhouseCoopers عنوان کرد  که جرائم سایبری اقتصادی بیشترین گزارش را از میان جرائم به خود اختصاص داده‌اند و در رتبه دوم قرار دارند، همچنین 32 درصد از سازمان‌ها را تحت تأثیر قرار داده‌اند. همین مطالعه جدا از تأثیرات اقتصادی، یک دلیل دیگر برای این نگرانی‌ها عنوان کرد:

ماهیت مخفیانه و مرموز این خطرات به نحوی است که 56 درصد از افرادی که فکر کردند قربانی چنین خطراتی نشده‌اند، بدون این که اطلاع داشته باشند، در معرض خطر بوده‌اند.

این اطلاعات به وضوح نشان می‌دهند که مجرمین سایبری بر رشد اقتصاد جهانی و اقتصاد فردی تأثیرگذار هستند. حملات سایبری به مؤسسات مالی یا حملاتی که دارای عواقب مالی و اقتصادی برای کاربران هستند، سرمایه‌های اقتصادی را در معرض خطر قرار می‌دهند. در نتیجه، لازم است امنیت اطلاعات مالی برای همه ما یک نگرانی مهم باشد.

آیا راهی برای خصوصی ماندن فعالیت‌های ما در فضای آنلاین و ایمن ماندن در برابر جرائم سایبری وجود دارد؟

قطعاً بله! در ادامه توصیه‌های لازم برای محافظت در برابر جرائم سایبری را مطرح می‌کنیم:

1. قبل از کلیک بر روی هر لینکی آن را بررسی کنید.

به لینک‌هایی که بر روی آن‌ها کلیک می‌کنید توجه داشته باشید. برای این کار اشاره‌گر ماوس را روی لینک ببرید و ببینید که آیا این لینک شما را به یک محل مجاز و مورد اطمینان هدایت می‌کند یا خیر.

مثلاً اگر قرار بوده به سایت خبری محبوبتان مثل “www.cnn.com” هدایت شوید اما این لینک مسیر “hfieo88.net“ را نشان می‌دهد، از کلیک کردن بر روی این لینک خودداری کنید. استفاده از‌هایپرلینک (Hyperlinking) یکی از روش‌های متداول در حملات فیشینگ است و بهترین کار در برابر این خطرات این است که همیشه URLها را کاملاً بررسی کنید.

خیلی از ما از سرویس‌های کوتاه کننده لینک مثل goo.gl یا tinyurl استفاده می‌کنیم. اما در بعضی موارد ممکن است یک لینک ناشناس ما را به یک وب‌سایت مخرب هدایت کند که در نتیجه­ آن، بر روی سیستم ما بدافزار نصب می‌شود. اما، چطور باید متوجه شوید که بعد از کلیک روی یک لینک به کجا هدایت می‌شوید؟

از سرویس‌های کوتاه کننده لینک مثل bitly، tinyurl ،goo.gl و غیره زیاد استفاده می‌شود. این سرویس‌ها افراد را از تایپ کردن URLهای طولانی بی‌نیاز می‌کنند. اما دانستن این که این لینک‌ها ما را دقیقاً به کجا ارجاع می‌دهند، کار سختی است. در بعضی موارد ممکن است این لینک‌ها افراد را به وب‌سایت‌های مخربی هدایت کنند تا بر روی کامپیوترشان، بدافزار نصب ‌کنند.

برای اطمینان از این که با کلیک روی یک لینک به مقصد درستی هدایت می‌شوید، از یک ابزار رایگان مثل Redirect Detective  استفاده کنید. این ابزار مسیر کامل لینک‌های کوتاه شده را به شما نشان می‌دهد.

همچنین می‌توانید لینک‌های مشکوک را با استفاده از یک ابزار چک کننده URL قابل‌اطمینان مثل VirusTotal بررسی کنید.

2. قبل از کلیک روی هر فایلی آن را به دقت بررسی کنید.

همه ما اطلاع داریم که این روزها بدافزارها همه‌جا هستند. اما چطور مطمئن شویم که یک فایل (یا یک فایل اجرایی) که به تازگی دانلود کردیم، همان چیزی هست که وانمود می‌کند؟ آیا می‌توان تفاوت بین یک فایل ایمن و یک فایل مخرب را تشخیص داد؟

یکی از گام‌های مهم برای همه این است که از مرورگرهایی که اعتبار و آلوده نبودن وب‌سایت‌ها را بررسی می‌کنند استفاده کنند. مرورگرهایی با بهره‌مندی از این فنّاوری از یک سیستم امتیازدهی مبتنی بر فناوری ابر (cloud) برای تحلیل اپلیکیشن‌های دانلود شده و بررسی منشأ این اپلیکیشن‌ها استفاده می‌کنند. در نتیجه این تحلیل، وب‌سایت‌هایی که نرم‌افزارهای مخرب را منتشر می‌کنند و توسط مکانیزم‌های دفاعی موجود شناسایی نشده‌اند، به آسانی مسدود می‌شوند.

برای اطمینان از این که فایل اجرایی مخربی را اجرا و نصب نمی‌کنید (که ممکن است این فایل یک تروجان روی سیستم شما نصب کند)، از VirusTotal استفاده کنید که فایل‌های مشکوک را با چند آنتی ویروس مختلف بررسی و تحلیل می‌کند.

3. برای اجرای تراکنش‌های مالی از وب‌سایت‌های امن استفاده کنید.

همیشه باید به تراکنش‌های مالی بیشترین امنیت را تخصیص بدهید، چون غفلت در این کار ممکن است باعث سرقت کل سرمایه شما توسط مجرمین سایبری شود.

برای اطمینان از اینکه از یک وب‌سایت ایمن بازدید می‌کنید:

1. به قسمت سمت چپ آدرس سایت توجه کنید و آیکن “قفل” را پیدا کنید. وجود این آیکن نشان‌دهنده این است که شما در حال بازدید از یک وب‌سایت رمزنگاری‌شده و یا تائید شده هستید.
2. بررسی کنید که آدرس سایت با “https://” شروع شود. حرف s از ابتدای کلمات secure socket layer (امنیت لایه انتقال) گرفته شده و نشان می‌دهد که شما به وب‌سایتی متصل شدید که در آن داده‌های تبادل شده، رمزنگاری می‌شوند.

4. برای حساب‌های خودتان از پسوردهایی قوی استفاده کنید

پسوردهای شما همیشه باید حداقل حاوی 20 کاراکتر باشند. حتماً از ترکیب حروف بزرگ و کوچک، اعداد و سمبل‌ها استفاده کنید. از یک پسورد یکسان برای تمام حساب‌های خودتان استفاده نکنید. سعی کنید هر 30 روز یک بار پسوردهای مهم خودتان را عوض کنید. داشتن پسوردهایی مجزا برای هر اکانت باعث می‌شود حتی در صورت هک، میزان آسیب به حداقل برسد.

5. از احراز هویت دو مرحله‌ای استفاده کنید

این راهکار یکی از بهترین راهکارها برای اطمینان از این است که هیچ کس به غیر از خود شما به حساب‌های آنلاین یا اینباکس ایمیلتان دسترسی ندارد.

فعال کردن این گزینه، یعنی برای ورود به حسابتان به‌جز وارد کردن اطلاعات لاگین باید کد یک بار مصرفی که به موبایلتان فرستاده می‌شود را هم وارد کنید. از این روش جهت محافظت از اطلاعات لاگین خودتان در شبکه‌های اجتماعی مثل فیس‌بوک و توییتر و همچنین اطلاعات ارزشمند موجود در ایمیل خودتان استفاده کنید.

6. لاگ اوت (Log out) یا خروج کامل از صفحه را فراموش نکنید

همین که عملیات و تراکنش‌های موردنظرتان را در پلتفرم بانکی انجام دادید، پنجره مرورگر را نبندید و حتماً لاگ اوت کرده و از سیستم خارج شوید.

توصیه می‌کنیم که برای تراکنش‌های مالی از یک مرورگر مجازی (ترجیحاً مجهز به سیستم سندباکس (sandbox)) استفاده کنید که برای محافظت از بانکداری آنلاین طراحی شده است. در این مطلب نکات و توصیه‌هایی برای ابزارهای رایگان محافظتی مرورگر قرار دارد.

در صورتیکه می‌خواهید از ذخیره شدن اطلاعات احراز هویت خودتان (یا کوکی‌ها) پیشگیری کنید، استفاده از نشست‌های (session) مرور به صورت خصوصی (private) را توصیه می‌کنیم.

7. به ایمیل‌های ناشناس پاسخ ندهید

به ایمیل‌هایی که یک پیشنهاد غیرمنتظره ارائه می‌دهند یا از شما می‌خواهند اطلاعات امنیتی خودتان را به‌روزرسانی کنید، پاسخ ندهید.

این روش یکی از روش‌های کلاسیک فیشینگ است که از این طریق افراد را تشویق به ارسال اطلاعات شخصی خودشان مثل اطلاعات کارت بانکی و غیره می‌کنند. در صورتیکه نسبت به ارسال کننده‌ ایمیل مشکوک هستید، مستقیماً با بانک تماس بگیرید و از آن‌ها بپرسید که آیا این ایمیل از سوی آن‌ها ارسال شده یا خیر.

8. برای بانکداری آنلاین از اپلیکیشن‌های رسمی‌ استفاده کنید

در صورتیکه می‌خواهید تراکنش‌های مالی را از طریق موبایل انجام دهید، اپلیکیشن رسمی ‌موبایل از بانک موردنظرتان را نصب کنید. برای اطمینان از این که نسخه مطمئن اپلیکیشن را نصب می‌کنید، مستقیماً با بانک تماس گرفته یا به وب‌سایت رسمی بانک مراجعه کنید.

9. اطلاعات شخصی خودتان را در شبکه‌های اجتماعی منتشر نکنید

افشای اطلاعات شخصی ممکن است باعث شود هکرها اطلاعات مالی شما را پیدا کنند. به همین دلیل همواره رفتار کودکان خودتان را در شبکه‌های اجتماعی کنترل کنید تا مطمئن شوید که اطلاعات شخصی که ممکن است در حملات فیشینگ علیه شما استفاده شوند را افشا نکنند.

10. وارد وب‌سایت مشکوک نشوید

هیچ محتوایی را از محل‌های ناشناخته یا بحث برانگیز دانلود نکنید. همیشه به وب‌سایت‌هایی مراجعه کنید که ایمن بودنشان اثبات شده و مطمئن هستید که می‌توان به آن‌ها اعتماد کرد.

با این وجود هیچ تضمینی وجود ندارد که در معرض خطر و آلودگی نباشید. امروزه مجرمین سایبری از آسیب‌پذیری‌های موجود در وب‌سایت‌های مجاز و مطمئن استفاده کرده و کدهای مخربی را در آن‌ها تزریق می‌کنند تا حملات درایوبای (drive-by) را از این طریق انجام دهند. شاید یک محافظ صفحه‌نمایش (screen saver) یا نوار ابزار مرورگر، کامپیوتر شما را به کی‌لاگر آلوده کند که اطلاعات شخصی شما را ثبت کرده و به مجرمین سایبری ارسال می‌کند.

11. از یک آنتی ویروس خوب استفاده کنید

بسیار مهم است که از یک آنتی ویروس قابل‌اطمینان روی دستگاهتان استفاده کنید، آنتی‌ویروسی که قابلیت‌هایی مثل اسکن بلادرنگ، به‌روز رسانی خودکار (برای محافظت در برابر جدیدترین خطرات) و یک فایروال داشته باشد تا فعالیت‌های شبکه شما را بررسی کرده و از آن محافظت ‌کند.

برای انتخاب بهترین گزینه، نتایج تست‌های انجام شده بر آنتی‌ویروس‌های معتبر در صنعت امنیت مثل AV Comparatives, PC Magazine, AV-TEST یا Virus Bulletin را بررسی کرده و بهترین راهکار را برای سیستم خودتان انتخاب کنید.

لازم به ذکر است که راهکارهای امنیتی قدیمی ‌و سنتی به سختی می‌توانند از شما در برابر بدافزارهای اقتصادی پیشرفته که با هدف سرقت اطلاعات شخصی مهم شما طراحی شده‌اند، محافظت کنند. برای محافظت از خودتان در برابر حملات خطرناکی که اطلاعات لاگین کاربران را به سرقت می‌برند از جمله Zeus Gameover) ‌P2P) و Cryptolocker نیاز به راهکارهای امنیتی دارید که مخصوصاً برای مقابله با این خطرات طراحی شده‌اند.

12. برای محافظت در برابر بدافزارهای مالی از یک راهکار امنیتی اختصاصی استفاده کنید

از یک راهکار امنیتی که برای محافظت از سیستم شما در برابر فیشینگ و بدافزارهای مالی طراحی شده، استفاده کنید.

جهت افزایش کنترل حساب‌های بانکی خودتان می‌توانید هشدارهای سیستم بانکی را فعال کنید تا بر فعالیت‌های حساب شما نظارت کنند. برای انجام این کار مستقیماً با بانک تماس گرفته و از آن‌ها تقاضای کمک کنید.

13. برای پیشگیری از آسیب‌پذیری، نرم‌افزارهای خودتان را به‌روزرسانی کنید

کارشناسان امنیت سایبری همواره توصیه می‌کنند که سیستم‌عامل، مرورگر و اپلیکیشن‌های مهم خودتان را بروز نگه داشته و همیشه جدیدترین پچ (patch)های امنیتی را نصب کنید. اکثر آپدیت‌ها برای پوشش رخنه‌های امنیتی ارائه می‌شوند. تنها در صورتیکه نرم‌افزارهای شما بروز باشند، در برابر خطرات جدید، محافظت لازم را دارید.

همچنین سعی کنید از یک محصول رایگان استفاده کنید که بر به‌روز رسانی نرم‌افزارهای شما نظارت کند. این محصولات با نصب جدیدترین آپدیت‌ها و پچ های نرم‌افزارهای مختلف از جمله موارد زیر، از سیستم شما محافظت می‌کنند:

• Java
• Adobe Shockwave
• Adobe Flash (plug-in/player)
• Adobe Acrobat reader
• Quicktime
• Google Chrome
• Mozilla Firefox
• Internet Explorer
• CCleaner و غیره

14. پشتیبان‌گیری

هر چند پیروی از توصیه‌های ذکر شده می‌تواند از شما در برابر نرم‌افزارهای مخرب و مجرمین سایبری محافظت کند اما باز هم ممکن است مشکلات سخت‌افزاری منجر به ایجاد خطراتی برای اطلاعات ارزشمند شما شوند. برای اطمینان از این که امنیت اطلاعات شما حفظ می‌شود، توصیه می‌کنیم یک استراتژی مضاعف داشته باشید که شامل استفاده از یک ‌هارددیسک اکسترنال همراه با یک سرویس پشتیبان‌گیری آنلاین باشد.

توصیه ما این است که قبل از انتخاب سرویس پشتیبان‌گیری آنلاین، حتماً به دنبال گزینه‌ای باشید که ویژگی‌های زیر را داشته باشد:

• پایداری (برای اطمینان از این ویژگی سعی کنید کمپانی را انتخاب کنید که معتبر و مشهور باشد)
• استفاده آسان (برای این که در پشتیبان‌گیری از فایل‌های خودتان دردسر نداشته باشید)
• قابلیت همگام‌سازی فایل‌ها با سرورهای پشتیبان‌گیری آنلاین
• ویژگی‌های امنیتی مثل استفاده از مکانیزم‌های رمزنگاری

15. از عقل سلیم استفاده کنید

مراحلی که در این مقاله ذکر شد، یکسری راهنمای کلی و عمومی ‌هستند و نمی‌توانند محافظت در برابر تمام بدافزارها را تضمین کنند. در صورتیکه قصد بازدید از یک وب‌سایت ناشناس، اجرای بازی آنلاین یا خرید از وب‌سایت‌هایی را دارید که پیش از این از آن‌ها خرید نداشتید، استفاده از عقل سلیم بهترین کار است.

نتیجه‌گیری

گزارشات مربوط به سال 1392 نشان می‌دهند که بدافزار مالی، مسئول بیش از 55 درصد از حملاتی بوده که در آن شرکت‌ها اطلاعات ارزشمند خودشان را از دست داده‌اند، در حالی‌که تنها 25 درصد از بدافزارهای سرقت اطلاعات توسط آنتی‌ویروس‌های سنتی شناسایی شده‌اند.

دلیل این نرخ شناسایی پایین، چندوجهی بودن بدافزارها است، یعنی بدافزار این قابلیت را دارد که مدام رفتار خودش و روش حمله را تغییر بدهد. مشکل سرقت اطلاعات در حال رشد و افزایش است، چون سرقت اطلاعات در حال حاضر فقط یک کامپیوتر را هدف نمی‌گیرد بلکه کل شبکه را هدف می‌گیرد و از کامپیوتری به کامپیوتر دیگر منتشر می‌شود.

در ابتدای تیرماه 1393، پروژه Operation Tovar با همکاری چند کشور و آژانس‌های قانونی بزرگ مثل وزارت دادگستری ایالات متحده آمریکا، سازمان دولتی Europol ، FBI و سازمان جرائم ملی انگلیس راه‌اندازی شد تا این نوع حملات را شناسایی و متوقف کند.

بنابراین در حال حاضر ما در نبرد علیه بدافزارهای مالی، تنها نیستیم. استفاده از یک راهکار امنیتی یک الزام مهم است و ما باید متدهای محافظتی سنتی آنتی‌ویروس‌های مبتنی بر امضاء (signature) را با تکنولوژی‌های شناسایی جدید ترکیب کنیم تا بتوانیم از خودمان در برابر بدافزارهای مالی چندوجهی محافظت کنیم.

در صورتیکه هر نکته، ابزار یا توصیه‌ای جهت افزایش امنیت اطلاعات مالی‌ می‌شناسید، با ما در میان بگذارید.