Dinamik bir parolayla kimlik avı saldırılarından nasıl korunulur

İkinci tek kullanımlık şifrenin veya dinamik şifrenin kullanılması 1 Ocak 2017’den itibaren zorunlu hale geldi; Ancak banka müşterilerine, ikinci bir sabit şifre ile günde 100.000 tomanın altındaki çevrimiçi alışverişlerine devam etme fırsatı verildi. İran’ın FATA polis şefine göre, ülkedeki ilk beş “siber suç” arasında ve bunların üçte biri arasında yer alan İnternet dolandırıcılıklarını önlemek için dinamik şifreler gerekiyordu.

Dinamik şifrenin uygulanmasından sorumlu yetkililer, programın başlamasıyla birlikte banka bilgilerinin çalınmasının kademeli olarak sıfıra indirileceğini iddia etti. Dinamik parolaya olan yüksek güvenin nedeni, tek kullanımlık parolanın, e-posta ve mesajlaşma hizmetlerini kullanırken birlikte çalışırken deneyimlediğimiz bir tür “çok faktörlü kimlik doğrulama” (MFA) olmasıdır. Microsoft, çok faktörlü kimlik doğrulama kullanmanın kullanıcıları saldırılara karşı yüzde 99,9 koruduğunu söylüyor. Google ayrıca çok adımlı doğrulama kullanılarak% 99 kimlik avı saldırılarının önlenebileceğini iddia ediyor.

Merkez Bankası’na göre, Mart 2017’de hassas banka kartı bilgilerinin ifşa edilmesi, dinamik şifre ve kimlik avı portalı ödemesinin uygulanmasından önceki aylara göre yaklaşık% 85 oranında azaldı. Kimlik avı, kullanıcıları bilgi edinmeleri ve cezai eylemlerde bulunmaları için kandırmak için kullanılan sosyal mühendislik yöntemlerinden biridir.

Dinamik şifre uygulanmadan önce, 16 basamaklı sayı, CVV2, son kullanma tarihi ve statik şifre gibi banka kartı bilgilerini hackleyerek veya hackleyerek phishing yapıldı. Dinamik şifrelemenin getirilmesiyle birlikte, bu bilginin başkalarına açık hale getirilmesi artık önemli değil ve bu, dinamik şifrelemenin faydalarından biridir; Bunun nedeni, çalınma veya banka kartının bir kopyasını alma olasılığının bilgi hırsızlığı olasılığını büyük ölçüde artırmasıdır. Bu aldatmaca artık soldu; Ancak vurguncular da işsiz değil. Dinamik kodun uygulanmasıyla, dolandırıcılar artık banka müşterilerinin bilgisizliğinden veya dikkatsizliğinden kaynaklanan yollara başvuruyor. Dinamik bir parola kullanılarak kimlik avı yapılması mümkün müdür? Cevap Evet; ama nasıl?

Sahte ödeme ağ geçidi

Dinamik şifrenin uygulanmasıyla dolandırıcıların tüm enerjisi, kullanıcıyı sahte bankacılık portalına çekmek için harcanır.

Dinamik şifrenin uygulanmasıyla, ödeme ağ geçidini taklit etmek, kullanıcıların banka hesaplarına kimlik avı yapmanın tek önemli yöntemidir. Dolandırıcıların tüm enerjisi, kullanıcıyı sahte bankacılık portalına çekmek için harcanmaktadır. Bu, metin mesajları (tanıtım amaçlı veya reklamsız), e-posta, sanal sosyal ağlarda hikayeler veya yazılar göndererek, mesajlaşma programlarında ve web sitelerinde çevrimiçi kayıt, yazılım veya uygulama satın alma, VIP’ler, adalet hisse senetleri vb. Gibi cazip teklifler gönderilerek yapılabilir.

Duvardan ve eşler arası sistemden kimlik avı, son aylarda çok sayıda protesto çeken şüpheli vakalardan biriydi. Duvar, kullanıcıların para yatırırken anonim numaralardan gelen sahte mesajlara güvenmemesi gerektiğini söylüyor. Duvar, reklam talebinin hemen ardından duvar resmi sayımından bir metin mesajı gönderileceğini duyuran duvar, “Ödeme ile ilgili hiçbir yazılı mesaja güvenmeyin” uyarısı yaptı. Kullanıcılar böyle bir metin mesajı alırsa, 43000300 duvar destek numarasını bildirmelidir, böylece telefon numarası ve bağlantı hızlı bir şekilde filtrelenebilir.

Cep telefonu aktivasyon işlemleri alanında oluşturulan eş sistem, hamta.ntsw.ir adresindeki sistemin tüm adımlarının ve bölümlerinin ücretsiz olduğu ve buradan kayıt ve sorgulama işleminin herhangi bir ödeme gerektirmediği bilgisini vermiştir. Bu nedenle cep telefonu alırken ve satarken para isteyen kişilerin sistemle çalışması veya ona katılma taleplerine dikkat edilmemelidir.

Dinamik şifreyi çalıştırmadan önce, ödeme sayfası sahteciliği yöntemi kullanıldı; Ancak şimdi ülkenin bankacılık portallarının sahte sayfalarının sayısı önemli ölçüde arttı; Öyle ki sahte bir web sitesi bile arama motoru sonuçlarında orijinal bankanın web sitesinden daha üst sıralarda yer alabilir. Bununla birlikte, makalenin bir sonraki bölümünde bahsedeceğimiz sahte bağlantı noktalarını tanımlamanın yolları vardır. Her şeyden önce bilmemiz gerekiyor Kimlik avı amaçlı sahte mesajlar nasıl tespit edilir?

  • Şüpheli mesajlar ve istekler, özellikle Kişisel hatlar Dikkat etme;
  • Metin mesajı alırken, gönderilen numaraya dikkat edin;
  • Bankalar hiçbir şekilde SMS ile kayıt olmak için banka bilgileri talep etmezler;
  • Saygın web siteleri ve şirketler bilgileri tamamlamak veya önemli öğeleri göndermek için e-posta kullanmazlar ve yalnızca e-postalarda uyarıları kullanırlar.

Dinamik şifreli sahte uygulamalar

Kullanıcıların banka hesaplarına kimlik avı yapmanın bir başka yöntemi de sahte şifreleme uygulamaları kullanmaktır, bu uygulamalar birçok uyarıya rağmen bazı insanlar tarafından hala yüklenmektedir. Şifreleme uygulamasının yüklenmesi, bazı çeşitli web siteleri veya sosyal ağlar veya telgraf kanalları aracılığıyla sağlanabilir. Dinamik şifre kodlayıcıyı kurmak ve etkinleştirmek için gerekli uygulamaları her zaman saygın ve resmi kaynaklardan almanız gerektiği gerçeğinin yanı sıra, kartınızı veren bankanın resmi web sitesine de başvurmalısınız.

Dinamik parola uygulamasındaki boşluklar

Kurban CyrusZomit ile yaptığı röportajda güvenlik uzmanı, dinamik şifre uygulandıktan sonra kimlik avı yöntemlerinden bahsediyor. Mağdura göre saldırgan, sunucuya bir kimlik avı sistemi kurarak suç işleme sürecini otomatikleştiriyor. Kullanıcı, veri tabanı portalının sahte sayfasına kartını girer ve bu sayfanın arka planında gizlenen hacker, bankaya dinamik bir şifre talebi göndermek için kullanıcı bilgilerini kullanır. Bu şekilde kurban sahte portal üzerinden bankacılık işlemleri yapar ve hesabı boşaltılır. Dolandırıcı, metin mesajlarını eskisinden farklı şekilde göndermek için artık Banka API’sini (Programlama Arayüzü veya Yazılım Geliştirme) kullanıyor. Kurban, kısa mesaj kullanımda olmadığı sürece dinamik şifrenin güvenli olduğunu söyledi.

Kimlik avı, küçük yasal miktarlarda 100.000 Toman’dan daha az dolandırıcılığı ortadan kaldırdı.

Dinamik şifreyi kırmak veya atlamak o kadar kolay değil; Telefonunuza kasıtlı olarak metin mesajını veya hash’i okuyabilen bir program yüklemediğiniz sürece, banka belirteçleri programını kopyalayın (hash, giriş verilerini şifreli çıktıya dönüştürür). Ancak portallarda, kullanıcının satın alma talebine göre daha fazla nakit çekimine yol açabilecek sorunlar vardır. Bu sorunlardan biri, bazı bankacılık portallarında kullanıcının satın alma talebine SMS gönderme seçeneğini sabitleyememektir. Kurban, bunun bankacılık sisteminde bir protokol olarak uygulanıp uygulanmadığı veya gündeme getirilip getirilmediğinin veya tüm bankaların uygulayıp uygulayamayacağının belirsiz olduğunu söylüyor. Ancak kullanıcının satın alma talebinde dinamik şifre SMS butonuna tıklanırsa, ikinci şifre sadece bir satın alma talebi için geçerlidir ve dolandırıcı daha fazla para çekemez.

Dinamik bir şifre gönderme seçeneğini sabitlemeyerek, şifrenin bir banka veya başka bir yazılım tarafından oluşturulup oluşturulmadığı net değildir. Kourosh Ghorbani’ye göre, dinamik şifre uygulanmadan önce kart bilgileri yanlış girilmişse, bu sayfaların az bir kısmı kartın durumunu ve bilgilerin doğru olup olmadığını belirleyebiliyordu; Ancak şimdi API doğrudan bir teşhis koyuyor. Bankacılık sisteminin mevcut problemine bakılmaksızın, uygulamalar gibi programlar da program ile sunucu arasında iletişim için özel ve programın kendisi için gizli olan API’lere sahiptir ve bilgileri tersine mühendislik yoluyla ortaya çıkar.

Dinamik şifrelerin uygulanmasındaki bir diğer sorun, sabit şifrelerin kullanımına bir sınır getirmekti. Mağdura göre, bu sadece hırsızlığı artırdı; Ancak parasal değeri daha azdır. Sorun, dolandırıcılığın küçük yasal değerinin hem yasama organını hem de davacıyı ortadan kaldırmasıdır. Ek olarak, ne banka ne de yasama organı dinamik şifreleme sorunlarının sorumluluğunu kabul etmez; Ancak mağdura göre, İnternet dolandırıcılığını önlemenin etkili yolu kesinlikle kullanıcı tarafında değildir.

Sahte web siteleri nasıl tespit edilir?

Banka portalının sahte adresi, orijinal web sitesinin adresine çok benzer. Bu adres, orijinal adresten yalnızca bir harf farklı veya yalnızca farklı bir alan adı olabilir. Balıkçılar, kurbanın adresin yanlış olduğundan şüphelenmemesi için adres çubuğundaki adresi değiştirmek için JavaScript kullanır. Sahte web sitelerini tanımlamanın bazı yolları:

İlgili makale:

  • Tüm gerçek bankacılık portalları Shapark.ir’de sona ermektedir;
  • Sanal klavyedeki sayıların sırası, sayfa yenilenirken değişmelidir; Aksi takdirde, sahte bir portal sayfası girdiniz;
  • SSL şifrelemesinin kurulu olduğu bankacılık ağ geçitlerini kullanın. Çevrimiçi satın almak için karttan karta transfer yöntemini kullanmamanız gerektiğini unutmayın. Saygın herhangi bir web sitesinden satın almak için ödeme ağ geçidini kullanmanız gerekir; Çünkü hiçbir saygın çevrimiçi mağaza, satın alma tutarını aktarmak için kişisel kartınızı kullanmaz. Bu nedenle, web sitenizin güvenliğini artırmak için, bankacılık ağ geçitleri güvenli SSL protokollerini kullanarak banka ile iletişim kuran bir satın alma işlemi yapın. Bunu anlamak için sitenin //: https ile başlamış olması gerekir. Https URL’si ile başlayan büyük sitelerin ve bağlantı noktalarının URL’leri, S’ye sahip değilse güvenli olmadığı kabul edilir. Tarayıcınızın adres çubuğunda bir kilit işareti olduğundan da emin olmalısınız;
  • Saygın dahili siteler, veritabanlarında da kayıtlı olan “Inamad” logosuna sahiptir. Bilgisayar korsanları tarafından tasarlanmış web siteleri genellikle daha ucuz fiyatlarla mal satarlar; Bu yüzden herhangi bir web sitesine güvenmeyin.

tavsiyeler

  • Bankacılık uygulamaları İnternet bankacılığından daha güvenlidir; Çünkü internet ve banka kullanıcı adı ve şifresinin dolandırılması mümkündür. Fisher, söz konusu bankacılık portalının yeteneklerine bağlı olarak, bu bilgileri hackleyerek kullanıcının hesabını kötüye kullanabilir ve hatta nakit para çekebilir;
  • Düşük maliyetli satın alımlar için, bakiyesi az olan ayrı bir hesabınız olsun;
  • Alışveriş yaparken sanal klavye kullanın;
  • Ücretsiz halka açık Wi-Fi ağı, kullanıcı bilgilerinize erişebilir. Halka açık WiFi kullanırken mümkün olduğunca bankacılık portalı gibi hassas web sitelerini çalıştırmayın;
  • Sitede banka sayfasının adını arayarak enamad.ir Sahte bir siteyi tespit edebilirsiniz;
  • Tarayıcıya bir anti-phishing eklentisi kurarak ve ödeme ağ geçidine bağlanarak eğer orijinal ise buna dayalı bir mesaj ekrana gelecek ve eğer sahte ise size bir uyarı mesajı (bir eklenti gibi) gönderilecektir. Shaparak Doğrulayıcı);
  • Korsanlık önleme ve kimlik avı yazılımları kullanın. Gibi programlar Komodo Güçlü güvenlik duvarları ile korsanlığı önlerler. Bazı ünlü kimlik avı web sitelerini öğrenerek saygın web siteleri bulabilirsiniz. Güvenli Gezinti Google tarafından sağlanan en popüler kara liste hizmetlerinden biri. SysCloud’dan Kimlik Avı Koruması gibi araçlar, her tür sahtecilik saldırılarına karşı en yüksek düzeyde koruma sağlar. BitDefender ayrıca phishing ve bireylere karşı (dolandırıcılık önleme) olan güçlü bir antivirüs yazılımıdır. Bu antivirüsün ücretsiz sürümünü indirebilirsiniz Bu bağlantıdan Almak;
  • Sistem tarayıcınızı düzenli olarak güncelleyin. Güncel bir tarayıcı kullanmak, kimlik avı saldırılarına karşı ek bir güvenlik katmanı görevi görür.

Leave a Reply

Your email address will not be published. Required fields are marked *