15 گام برای افزایش میزان امنیت اطلاعات مالی
چقدر سرقت اطلاعات کارت بانکی، حساب بانکی و غیره را برای مجرمین سایبری سخت کردهاید؟

همه ما از کامپیوتر برای پرداخت قبض، خرید آنلاین، چت و برقراری تماس با دوستانمان در شبکههای اجتماعی استفاده میکنیم. شاید دقت نکرده باشید اما این موضوع باعث آسیبپذیر شدن ما میشود.
با توجه به این که ما به راحتی اطلاعات ارزشمند خودمان مثل اطلاعات کارت بانکی یا حساب بانکی را منتشر میکنیم؛ اطلاعاتی که مجرمین سایبری به آن علاقه و نیاز دارند، برای محافظت از تراکنشهای مالی یا اطلاعات شخصی خودمان دقت چندانی نداریم.
یک گزارش در سال 1395 توسط شرکت PricewaterhouseCoopers عنوان کرد که جرائم سایبری اقتصادی بیشترین گزارش را از میان جرائم به خود اختصاص دادهاند و در رتبه دوم قرار دارند، همچنین 32 درصد از سازمانها را تحت تأثیر قرار دادهاند. همین مطالعه جدا از تأثیرات اقتصادی، یک دلیل دیگر برای این نگرانیها عنوان کرد:
ماهیت مخفیانه و مرموز این خطرات به نحوی است که 56 درصد از افرادی که فکر کردند قربانی چنین خطراتی نشدهاند، بدون این که اطلاع داشته باشند، در معرض خطر بودهاند.
این اطلاعات به وضوح نشان میدهند که مجرمین سایبری بر رشد اقتصاد جهانی و اقتصاد فردی تأثیرگذار هستند. حملات سایبری به مؤسسات مالی یا حملاتی که دارای عواقب مالی و اقتصادی برای کاربران هستند، سرمایههای اقتصادی را در معرض خطر قرار میدهند. در نتیجه، لازم است امنیت اطلاعات مالی برای همه ما یک نگرانی مهم باشد.
آیا راهی برای خصوصی ماندن فعالیتهای ما در فضای آنلاین و ایمن ماندن در برابر جرائم سایبری وجود دارد؟
قطعاً بله! در ادامه توصیههای لازم برای محافظت در برابر جرائم سایبری را مطرح میکنیم:
1. قبل از کلیک بر روی هر لینکی آن را بررسی کنید.
به لینکهایی که بر روی آنها کلیک میکنید توجه داشته باشید. برای این کار اشارهگر ماوس را روی لینک ببرید و ببینید که آیا این لینک شما را به یک محل مجاز و مورد اطمینان هدایت میکند یا خیر.
مثلاً اگر قرار بوده به سایت خبری محبوبتان مثل “www.cnn.com” هدایت شوید اما این لینک مسیر “hfieo88.net“ را نشان میدهد، از کلیک کردن بر روی این لینک خودداری کنید. استفاده ازهایپرلینک (Hyperlinking) یکی از روشهای متداول در حملات فیشینگ است و بهترین کار در برابر این خطرات این است که همیشه URLها را کاملاً بررسی کنید.
خیلی از ما از سرویسهای کوتاه کننده لینک مثل goo.gl یا tinyurl استفاده میکنیم. اما در بعضی موارد ممکن است یک لینک ناشناس ما را به یک وبسایت مخرب هدایت کند که در نتیجه آن، بر روی سیستم ما بدافزار نصب میشود. اما، چطور باید متوجه شوید که بعد از کلیک روی یک لینک به کجا هدایت میشوید؟
از سرویسهای کوتاه کننده لینک مثل bitly، tinyurl ،goo.gl و غیره زیاد استفاده میشود. این سرویسها افراد را از تایپ کردن URLهای طولانی بینیاز میکنند. اما دانستن این که این لینکها ما را دقیقاً به کجا ارجاع میدهند، کار سختی است. در بعضی موارد ممکن است این لینکها افراد را به وبسایتهای مخربی هدایت کنند تا بر روی کامپیوترشان، بدافزار نصب کنند.
برای اطمینان از این که با کلیک روی یک لینک به مقصد درستی هدایت میشوید، از یک ابزار رایگان مثل Redirect Detective استفاده کنید. این ابزار مسیر کامل لینکهای کوتاه شده را به شما نشان میدهد.
همچنین میتوانید لینکهای مشکوک را با استفاده از یک ابزار چک کننده URL قابلاطمینان مثل VirusTotal بررسی کنید.
2. قبل از کلیک روی هر فایلی آن را به دقت بررسی کنید.
همه ما اطلاع داریم که این روزها بدافزارها همهجا هستند. اما چطور مطمئن شویم که یک فایل (یا یک فایل اجرایی) که به تازگی دانلود کردیم، همان چیزی هست که وانمود میکند؟ آیا میتوان تفاوت بین یک فایل ایمن و یک فایل مخرب را تشخیص داد؟
یکی از گامهای مهم برای همه این است که از مرورگرهایی که اعتبار و آلوده نبودن وبسایتها را بررسی میکنند استفاده کنند. مرورگرهایی با بهرهمندی از این فنّاوری از یک سیستم امتیازدهی مبتنی بر فناوری ابر (cloud) برای تحلیل اپلیکیشنهای دانلود شده و بررسی منشأ این اپلیکیشنها استفاده میکنند. در نتیجه این تحلیل، وبسایتهایی که نرمافزارهای مخرب را منتشر میکنند و توسط مکانیزمهای دفاعی موجود شناسایی نشدهاند، به آسانی مسدود میشوند.
برای اطمینان از این که فایل اجرایی مخربی را اجرا و نصب نمیکنید (که ممکن است این فایل یک تروجان روی سیستم شما نصب کند)، از VirusTotal استفاده کنید که فایلهای مشکوک را با چند آنتی ویروس مختلف بررسی و تحلیل میکند.
3. برای اجرای تراکنشهای مالی از وبسایتهای امن استفاده کنید.
همیشه باید به تراکنشهای مالی بیشترین امنیت را تخصیص بدهید، چون غفلت در این کار ممکن است باعث سرقت کل سرمایه شما توسط مجرمین سایبری شود.
برای اطمینان از اینکه از یک وبسایت ایمن بازدید میکنید:
- به قسمت سمت چپ آدرس سایت توجه کنید و آیکن “قفل” را پیدا کنید. وجود این آیکن نشاندهنده این است که شما در حال بازدید از یک وبسایت رمزنگاریشده و یا تائید شده هستید.
- بررسی کنید که آدرس سایت با “https://” شروع شود. حرف s از ابتدای کلمات secure socket layer (امنیت لایه انتقال) گرفته شده و نشان میدهد که شما به وبسایتی متصل شدید که در آن دادههای تبادل شده، رمزنگاری میشوند.
4. برای حسابهای خودتان از پسوردهایی قوی استفاده کنید
پسوردهای شما همیشه باید حداقل حاوی 20 کاراکتر باشند. حتماً از ترکیب حروف بزرگ و کوچک، اعداد و سمبلها استفاده کنید. از یک پسورد یکسان برای تمام حسابهای خودتان استفاده نکنید. سعی کنید هر 30 روز یک بار پسوردهای مهم خودتان را عوض کنید. داشتن پسوردهایی مجزا برای هر اکانت باعث میشود حتی در صورت هک، میزان آسیب به حداقل برسد.
5. از احراز هویت دو مرحلهای استفاده کنید
این راهکار یکی از بهترین راهکارها برای اطمینان از این است که هیچ کس به غیر از خود شما به حسابهای آنلاین یا اینباکس ایمیلتان دسترسی ندارد.
فعال کردن این گزینه، یعنی برای ورود به حسابتان بهجز وارد کردن اطلاعات لاگین باید کد یک بار مصرفی که به موبایلتان فرستاده میشود را هم وارد کنید. از این روش جهت محافظت از اطلاعات لاگین خودتان در شبکههای اجتماعی مثل فیسبوک و توییتر و همچنین اطلاعات ارزشمند موجود در ایمیل خودتان استفاده کنید.
6. لاگ اوت (Log out) یا خروج کامل از صفحه را فراموش نکنید
همین که عملیات و تراکنشهای موردنظرتان را در پلتفرم بانکی انجام دادید، پنجره مرورگر را نبندید و حتماً لاگ اوت کرده و از سیستم خارج شوید.
توصیه میکنیم که برای تراکنشهای مالی از یک مرورگر مجازی (ترجیحاً مجهز به سیستم سندباکس (sandbox)) استفاده کنید که برای محافظت از بانکداری آنلاین طراحی شده است. در این مطلب نکات و توصیههایی برای ابزارهای رایگان محافظتی مرورگر قرار دارد.
در صورتیکه میخواهید از ذخیره شدن اطلاعات احراز هویت خودتان (یا کوکیها) پیشگیری کنید، استفاده از نشستهای (session) مرور به صورت خصوصی (private) را توصیه میکنیم.
7. به ایمیلهای ناشناس پاسخ ندهید
به ایمیلهایی که یک پیشنهاد غیرمنتظره ارائه میدهند یا از شما میخواهند اطلاعات امنیتی خودتان را بهروزرسانی کنید، پاسخ ندهید.
این روش یکی از روشهای کلاسیک فیشینگ است که از این طریق افراد را تشویق به ارسال اطلاعات شخصی خودشان مثل اطلاعات کارت بانکی و غیره میکنند. در صورتیکه نسبت به ارسال کننده ایمیل مشکوک هستید، مستقیماً با بانک تماس بگیرید و از آنها بپرسید که آیا این ایمیل از سوی آنها ارسال شده یا خیر.
8. برای بانکداری آنلاین از اپلیکیشنهای رسمی استفاده کنید
در صورتیکه میخواهید تراکنشهای مالی را از طریق موبایل انجام دهید، اپلیکیشن رسمی موبایل از بانک موردنظرتان را نصب کنید. برای اطمینان از این که نسخه مطمئن اپلیکیشن را نصب میکنید، مستقیماً با بانک تماس گرفته یا به وبسایت رسمی بانک مراجعه کنید.
9. اطلاعات شخصی خودتان را در شبکههای اجتماعی منتشر نکنید
افشای اطلاعات شخصی ممکن است باعث شود هکرها اطلاعات مالی شما را پیدا کنند. به همین دلیل همواره رفتار کودکان خودتان را در شبکههای اجتماعی کنترل کنید تا مطمئن شوید که اطلاعات شخصی که ممکن است در حملات فیشینگ علیه شما استفاده شوند را افشا نکنند.
10. وارد وبسایت مشکوک نشوید
هیچ محتوایی را از محلهای ناشناخته یا بحث برانگیز دانلود نکنید. همیشه به وبسایتهایی مراجعه کنید که ایمن بودنشان اثبات شده و مطمئن هستید که میتوان به آنها اعتماد کرد.
با این وجود هیچ تضمینی وجود ندارد که در معرض خطر و آلودگی نباشید. امروزه مجرمین سایبری از آسیبپذیریهای موجود در وبسایتهای مجاز و مطمئن استفاده کرده و کدهای مخربی را در آنها تزریق میکنند تا حملات درایوبای (drive-by) را از این طریق انجام دهند. شاید یک محافظ صفحهنمایش (screen saver) یا نوار ابزار مرورگر، کامپیوتر شما را به کیلاگر آلوده کند که اطلاعات شخصی شما را ثبت کرده و به مجرمین سایبری ارسال میکند.
11. از یک آنتی ویروس خوب استفاده کنید
بسیار مهم است که از یک آنتی ویروس قابلاطمینان روی دستگاهتان استفاده کنید، آنتیویروسی که قابلیتهایی مثل اسکن بلادرنگ، بهروز رسانی خودکار (برای محافظت در برابر جدیدترین خطرات) و یک فایروال داشته باشد تا فعالیتهای شبکه شما را بررسی کرده و از آن محافظت کند.
برای انتخاب بهترین گزینه، نتایج تستهای انجام شده بر آنتیویروسهای معتبر در صنعت امنیت مثل AV Comparatives, PC Magazine, AV-TEST یا Virus Bulletin را بررسی کرده و بهترین راهکار را برای سیستم خودتان انتخاب کنید.
لازم به ذکر است که راهکارهای امنیتی قدیمی و سنتی به سختی میتوانند از شما در برابر بدافزارهای اقتصادی پیشرفته که با هدف سرقت اطلاعات شخصی مهم شما طراحی شدهاند، محافظت کنند. برای محافظت از خودتان در برابر حملات خطرناکی که اطلاعات لاگین کاربران را به سرقت میبرند از جمله Zeus Gameover) P2P) و Cryptolocker نیاز به راهکارهای امنیتی دارید که مخصوصاً برای مقابله با این خطرات طراحی شدهاند.
12. برای محافظت در برابر بدافزارهای مالی از یک راهکار امنیتی اختصاصی استفاده کنید
از یک راهکار امنیتی که برای محافظت از سیستم شما در برابر فیشینگ و بدافزارهای مالی طراحی شده، استفاده کنید.
جهت افزایش کنترل حسابهای بانکی خودتان میتوانید هشدارهای سیستم بانکی را فعال کنید تا بر فعالیتهای حساب شما نظارت کنند. برای انجام این کار مستقیماً با بانک تماس گرفته و از آنها تقاضای کمک کنید.
13. برای پیشگیری از آسیبپذیری، نرمافزارهای خودتان را بهروزرسانی کنید
کارشناسان امنیت سایبری همواره توصیه میکنند که سیستمعامل، مرورگر و اپلیکیشنهای مهم خودتان را بروز نگه داشته و همیشه جدیدترین پچ (patch)های امنیتی را نصب کنید. اکثر آپدیتها برای پوشش رخنههای امنیتی ارائه میشوند. تنها در صورتیکه نرمافزارهای شما بروز باشند، در برابر خطرات جدید، محافظت لازم را دارید.
همچنین سعی کنید از یک محصول رایگان استفاده کنید که بر بهروز رسانی نرمافزارهای شما نظارت کند. این محصولات با نصب جدیدترین آپدیتها و پچ های نرمافزارهای مختلف از جمله موارد زیر، از سیستم شما محافظت میکنند:
- Java
- Adobe Shockwave
- Adobe Flash (plug-in/player)
- Adobe Acrobat reader
- Quicktime
- Google Chrome
- Mozilla Firefox
- Internet Explorer
- CCleaner و غیره
14. پشتیبانگیری
هر چند پیروی از توصیههای ذکر شده میتواند از شما در برابر نرمافزارهای مخرب و مجرمین سایبری محافظت کند اما باز هم ممکن است مشکلات سختافزاری منجر به ایجاد خطراتی برای اطلاعات ارزشمند شما شوند. برای اطمینان از این که امنیت اطلاعات شما حفظ میشود، توصیه میکنیم یک استراتژی مضاعف داشته باشید که شامل استفاده از یک هارددیسک اکسترنال همراه با یک سرویس پشتیبانگیری آنلاین باشد.
توصیه ما این است که قبل از انتخاب سرویس پشتیبانگیری آنلاین، حتماً به دنبال گزینهای باشید که ویژگیهای زیر را داشته باشد:
- پایداری (برای اطمینان از این ویژگی سعی کنید کمپانی را انتخاب کنید که معتبر و مشهور باشد)
- استفاده آسان (برای این که در پشتیبانگیری از فایلهای خودتان دردسر نداشته باشید)
- قابلیت همگامسازی فایلها با سرورهای پشتیبانگیری آنلاین
- ویژگیهای امنیتی مثل استفاده از مکانیزمهای رمزنگاری
15. از عقل سلیم استفاده کنید
مراحلی که در این مقاله ذکر شد، یکسری راهنمای کلی و عمومی هستند و نمیتوانند محافظت در برابر تمام بدافزارها را تضمین کنند. در صورتیکه قصد بازدید از یک وبسایت ناشناس، اجرای بازی آنلاین یا خرید از وبسایتهایی را دارید که پیش از این از آنها خرید نداشتید، استفاده از عقل سلیم بهترین کار است.
نتیجهگیری
گزارشات مربوط به سال 1392 نشان میدهند که بدافزار مالی، مسئول بیش از 55 درصد از حملاتی بوده که در آن شرکتها اطلاعات ارزشمند خودشان را از دست دادهاند، در حالیکه تنها 25 درصد از بدافزارهای سرقت اطلاعات توسط آنتیویروسهای سنتی شناسایی شدهاند.
دلیل این نرخ شناسایی پایین، چندوجهی بودن بدافزارها است، یعنی بدافزار این قابلیت را دارد که مدام رفتار خودش و روش حمله را تغییر بدهد. مشکل سرقت اطلاعات در حال رشد و افزایش است، چون سرقت اطلاعات در حال حاضر فقط یک کامپیوتر را هدف نمیگیرد بلکه کل شبکه را هدف میگیرد و از کامپیوتری به کامپیوتر دیگر منتشر میشود.
در ابتدای تیرماه 1393، پروژه Operation Tovar با همکاری چند کشور و آژانسهای قانونی بزرگ مثل وزارت دادگستری ایالات متحده آمریکا، سازمان دولتی Europol ، FBI و سازمان جرائم ملی انگلیس راهاندازی شد تا این نوع حملات را شناسایی و متوقف کند.
بنابراین در حال حاضر ما در نبرد علیه بدافزارهای مالی، تنها نیستیم. استفاده از یک راهکار امنیتی یک الزام مهم است و ما باید متدهای محافظتی سنتی آنتیویروسهای مبتنی بر امضاء (signature) را با تکنولوژیهای شناسایی جدید ترکیب کنیم تا بتوانیم از خودمان در برابر بدافزارهای مالی چندوجهی محافظت کنیم.
در صورتیکه هر نکته، ابزار یا توصیهای جهت افزایش امنیت اطلاعات مالی میشناسید، با ما در میان بگذارید.