اخیرا بخشنامهای به شبکه بانکی ابلاغ شد که بیانگر تهدید هکرها و نفوذ آنها به نرمافزارهای بانکی تلفن همراه و انجام برداشتهای غیرمجاز از حسابها و به تبع آن ایجاد نگرانی سازمانهای ذیربط در این رابطه است. با این حال بانک مرکزی اعلام کرده که ملاحظات سیستمعامل تلفن همراه و امنیت شبکه مخابراتی با وجود اهمیت فراوان در اختیار حوزه بانکی نیست.
به گزارش ایسنا، مسائل امنیتی حوزه بانکی همواره از اهم مسائل حاکم بر این شبکه به شمار رفته و وجود برخی نقایص این رابطه گاهی موجب زیانهایی برای مشتریان و مجموعه شبکه بانکی شده است؛ موضوعی که البته با وجود اذعان به آن، مسئولیت آن به طور کامل از سوی سازمانهای ذیربط پذیرفته شده نیست. بعد از اینکه چندی پیش بانکها با هشدار به مشتریان خود اعلام کردند ایمیلهایی که مبنی بر دریافت اطلاعات و تکمیل فرمهای ارائه شده برای آنها ارسال میشود به هیچ عنوان از سوی بانکها نیست و میتواند عامل نفوذ به حسابهای مشتریان باشد، اخیرا نیز بانک مرکزی با ابلاغ بخشنامهای به بانکها موضوع را به طور جدیتری مطرح کرده است.
این در حالی است که در اسفندماه سال جاری بانک مرکزی ضمن ارائه بخشنامهای فوری به مدیران عامل بانکها و موسسات عضو مرکز شتاب، تهدید حسابهای بانکی از سوی بدافزارهای نفوذکننده از طریق همراه بانک خبر داده و با اعلام هشدار در رابطه با نفوذ هکرها از طریق نرمافزارهای بانکی تلفن همراه نسبت به انجام سرقت از حسابهای بانکی، وجود شکایات در دادسراهای کشور را تایید این موضوع اعلام کرده است.
بدافزارها اینگونه عمل میکنند که ابتدا پیامکی حاوی لینک نصب بدافزار برای کاربر ارسال میشود و وی پس از دریافت پیامک از طریق کلیک کردن روی لینک اقدام به نصب آن میکند. در ادامه بدافزار از نقاط ضعف برنامه همراه بانکی که روی تلفن همراه کاربر وجود دارد استفاده کرده و از حساب بانکی وی سرقت میکند. همچنین از سویی دیگر، عملکرد هکرها بهگونهای است که مانع رسیدن پیامکهای اطلاعرسانی از واریز یا برداشت از حساب شخصی که میتواند نشانگر تراکنشهای مالی غیرمجاز باشد، خواهد شد.
البته بانک مرکزی در این رابطه اعلام کرده که راهکارهای مقابله با تهدید بدافزارهای تلفن همراه در حوزههای مختلف از جمله امنیت سیستم عامل، امنیت برنامههای کاربردی تلفن همراه، امنیت شبکه مخابراتی و هوشیاری کاربران نهایی قابل بررسی است، اما ملاحظات سیستم عامل تلفن همراه و امنیت شبکه مخابراتی با وجود اهمیت فراوان در حوزه کنترل نظام بانکی نبوده و با توجه به هزینهبر بودن بهکارگیری برخی راهکارهای نوین از جمله ارتقای امنیت بانک نیاز به تحویل مخاطره و هزینه – فایده نیز خواهد داشت.
اظهارات متفاوت درباره امنیت بانکی در حالی است که چندی پیش جلالی، رئیس سازمان پدافند غیرعامل در اظهاراتی درباره امنیت بانکداری الکترونیک، با بیان اینکه «بخش مربوط به جرائم در حوزه کار پلیس قرار میگیرد، اما اینکه چقدر در سامانههای بانکی پایداری داریم، موضوع دیگری است»، گفته بود که با توجه به اینکه بخش زیادی از سامانههای بانکی کشور در بانک مرکزی وابسته به سامانههای خارجی است، آسیبپذیریهایی در این زمینه وجود دارد.
رئیس سازمان پدافند غیرعامل با بیان اینکه در بانکهای کوچکتر، معمولا استفاده از سامانههای داخلی مورد توجه قرار گرفته و ما آنها را تحت کنترل داریم گفته بود که با این وجود از نظر سازمان آسیبپذیری در بانک مرکزی و در حوزه سامانههای بانکی جدی است و باید مورد توجه قرار گیرد.
با این حال بانک مرکزی این موضوع را چندان نپذیرفته و اعلام کرده بود که از نظر این بانک امنیت در حوزه بانکداری الکترونیک وجود دارد و اگر بانکداری الکترونیکی امنیت نداشت، چگونه روزی 30 تا 40 میلیون خرید انجام شده و از حساب کسی هم بهصورت غیرمجاز برداشت نمیشود؟ اما با توجه به مسائل موجود در رابطه با امنیت همراه بانک، بانک مرکزی با تاکید بر اینکه بدافزارهای نفوذکننده به نرمافزارهای بانکی تلفن همراه تهدیدی جدی برای کاربران است چند توصیه را در این رابطه اعلام کرده که مشتریان ملزم به رعایت آنها خواهند بود.
نخستین موضوع اینکه مشتریان باید نرمافزارهای همراه بانک را از وبسایت اصلی بانکها یا منابع قابل اعتماد و مورد تایید بانک دریافت کنند و تا حد ممکن هنگام اتصال به شبکههای بیسیم عمومی از نرمافزارهای همراه بانک استفاده نکنند. به مشتریان تاکید شده که از کلیک کردن روی لینکها یا دریافت فایلهای ضمیمه پیامهایی که از اشخاص ناشناس برای آنها یا در گروههای دیگر ارسال میشود خودداری و در این رابطه بهشدت دقت کنند. در عین حال که مشتریان باید از نرمافزارهای ضد بدافزار تلفن همراه که به روزرسانی میشود استفاده کرده و از نصب برنامههای کاربردی تلفن همراه که مجوزهای بیش از اندازه درخواست میکنند، پرهیز کنند.
همچنین باید از فراهمسازی مجوز دسترسی ریشه (Root) در سیستم عامل اندروید یا قید آزاد کردن (IoS) و دورزدن سازوکارهای امنیتی خودداری کنند. مشتری نباید اطلاعات حساس مربوط به حساب بانکی از قبیل رمز کارت، تاریخ انقضای کارت بانکی و رمز دوم را در تلفن همراه ذخیره کند. همچنین تاکید شده که مشتریان باید اطلاعات حسابهایی که گردش قابل توجه دارند به خدمات همراه جدا خودداری کنند.